Informatieveiligheidsconsulent
23 sept 2014 Gent
Wie zijn ze wat doen ze …?
VERANTWOORDELIJKHEDEN INFORMATIEVEILIGHEIDSCONSULENTEN
Wie moet een informatieveiligheidsconsulent aanstellen? • De verplichting tot het aanstellen ve veiligheidsconsulent wordt in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (eGov decreet), vastgelegd voor elke instantie die: - persoonsgegevens verwerkt, - authentieke gegevensbron beheert, - tussenkomt bij mededeling van persoonsgegevens, - ondersteunt bij gebruikers- en toegangsbeheer.
Wie moet een informatieveiligheidsconsulent aanstellen? • De veiligheidsconsulent moet aangesteld worden door de directie, dagelijkse leiding van de organisatie. • De veiligheidsconsulent moet ook rapporteren aan de directie.
Welke zijn de opdrachten en de rol van een veiligheidsconsulent? • Over het algemeen heeft de dienst belast met de informatieveiligheid een adviserende, stimulerende, documenterende en controlerende opdracht inzake informatieveiligheid. • De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. • Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico's niet voldoende ernstig zijn.
Welke zijn de opdrachten en de rol van een veiligheidsconsulent? • Het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten geeft uitvoering aan artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (e-govdecreet), nl. het bepalen van de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. • De Memorie van Toelichting bij het voornoemde artikel 9 van het egovdecreet verduidelijkt dat bij de verdere omschrijving van de taken van de veiligheidsconsulenten de strengste voorwaarden die bij de Kruispuntbank van de Sociale Zekerheid (KSZ) gelden, eveneens voor de Vlaamse veiligheidsconsulenten zullen gelden. • Vandaar dat in het specifieke uitvoeringsbesluit de bepaling van de opdrachten en de aanwijzingsvereisten zijn omschreven naar analogie met de KSZ-wet van 15 januari 1990 en het KB van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid.
Welke zijn de opdrachten en de rol van een veiligheidsconsulent? • De veiligheidsconsulent zal er op toezien dat de verschillende verantwoordelijkheden inzake veiligheid (preventie, toezicht, opsporing en verwerking) duidelijk in kaart zijn gebracht en dat de personen belast met de veiligheid in alle onafhankelijkheid kunnen handelen en ervan gevrijwaard blijven dat ze voor persoonlijke - of tegenstrijdige belangen onder druk worden gezet. • Rechtstreeks rapporterend aan de directie van de instelling, moet hij kunnen beschikken over voldoende middelen (tijd, human ressources, uitrusting en budget) en vrijuit toegang hebben tot de informatie die noodzakelijk is voor zijn functie en voor zover hij binnen het kader van het veiligheidsbeleid blijft.
Welke zijn de opdrachten en de rol van een veiligheidsconsulent? • De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een termijn van drie jaar, met vermelding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren. Veiligheidsplan/jaarverslag: Art. 10. “De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een termijn van drie jaar, met vermelding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren. Dat ontwerp wordt minstens eenmaal per jaar herzien en zo nodig aangepast. Het ontwerp van veiligheidsplan wordt beschouwd als een advies als vermeld in artikel 3, 1°.” Art. 11. “De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie jaarlijks een verslag op. (…)”
De veiligheidsconsulent als personeelslid Art. 7. De veiligheidsconsulent en zijn eventuele adjuncten kunnen niet uit hun functie worden ontheven wegens meningen die zij uiten of daden die zij stellen in het kader van de goede uitoefening van hun functie. Art. 8. De veiligheidsconsulent werkt onder het rechtstreekse functionele gezag van de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie. Hij werkt nauw samen met de diensten waarin zijn optreden vereist is of kan zijn, inzonderheid met de informaticadienst en de preventieadviseur van de instantie of de entiteit in kwestie.
Advies • Een veiligheidsconsulent (of zijn adjuncten) wordt pas aangesteld na gunstig advies van de Vlaamse Toezichtcommissie. U kan de adviesvraag richten aan de Vlaamse Toezichtcommissie via het daarvoor ontworpen formulier. • Er moet geen advies over de aanstelling van de veiligheidsconsulent gevraagd worden aan de Vlaamse Toezichtcommissie als de persoon in kwestie al is aangewezen als consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer overeenkomstig artikel 10 en 16 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen of overeenkomstig artikel 4, §5, of artikel 24, 25 en 46 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid.
Beoordelingselementen kandidaten • Voor de toezichtcommissie advies uitbrengt, gaat ze na of de kandidaat: 1. voldoende gevormd is om zijn functie van veiligheidsconsulent uit te oefenen; 2. over de vereiste tijd beschikt om zijn veiligheidsopdrachten uit te voeren; 3. geen activiteiten uitoefent die onverenigbaar zijn met de functie van veiligheidsconsulent. Meer duiding vindt u in de antwoorden op onderstaande vragen.
Welke kennis moet een informatieveiligheidsconsulent hebben? • De veiligheidsconsulent bezit een gedegen kennis van de informaticaomgeving van de instantie of de entiteit in kwestie en van de informatieveiligheid. Hij houdt die kennis permanent op peil. Artikel 2, §2, van het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten bepaalt de criteria waarmee rekening wordt gehouden: 1. Is de kandidaat voldoende gevormd? De veiligheidsconsulent hoeft geen informaticus te zijn, maar dient wel een goede kennis van informatica en informatieveiligheid te bezitten door het volgen van opleidingen of door werkervaring. 2. Beschikt de kandidaat over voldoende tijd om de specifieke opdrachten van de functie te vervullen? 3. Oefent de kandidaat geen activiteiten uit die onverenigbaar zijn met de functie van veiligheidsconsulent?
Welke functies zijn onverenigbaar met informatieveiligheidsconsulent? • Het is niet mogelijk een exhaustieve lijst te geven van functies die onverenigbaar zijn met de functie van veiligheidsconsulent. • Het is aangewezen geval per geval te evalueren, rekening houdend met de specificiteit van elke instelling. • Het principe dat wordt toegepast is dat een persoon niet tegelijk controleur en gecontroleerde mag zijn. • Onderstaande functies zijn niet compatibel met deze van veiligheidsconsulent: – hoofd van de informaticadienst, coördinator informatisering, hoofd van de personeelsdienst, … in het algemeen de verantwoordelijke van de betrokken dienst.
Deontologische regels informatieveiligheidsconsulent • Een aantal deontologische regels voor de informatieveiligheidsconsulent werden uitgewerkt door de Kruispuntbank van de Sociale Zekerheid (KSZ) in een ethische gedragscode. Deze code beoogt een grotere waardering te geven aan de functie van veiligheidsconsulent en omvat deontologische regels m.b.t. onder meer: – – – –
zijn objectiviteit, onpartijdigheid en onafhankelijkheid; zijn professionele ingesteldheid; zijn loyaliteit ten opzichte van zijn werkgever; het interdisciplinair en vertrouwelijk karakter van zijn functie.
• De code kan u raadplegen op de website van de KSZ.
Wie zijn ze wat doen ze …?
GEMEENTE - OCMW INFORMATIEVEILIGHEIDSCONSULENTEN
Gemeente en OCMW eenzelfde informatieveiligheidsconsulent? • Ja. Deze persoon zal wel 2 verschillende veiligheidsplannen moeten opmaken, een voor de gemeente en een voor het OCMW. • Meer informatie omtrent het optreden van een veiligheidsconsulent voor gemeente en OCMW vindt u op de website van de Kruispuntbank van de Sociale Zekerheid (KSZ). • Bijkomende informatie vindt u in de rubriek ‘FAQ veiligheid en privacy’ op de website van de KSZ.
Minimale veiligheidsmaatregelen gelden voor gemeente en OCMW? • De OCMW behoren tot het netwerk van de sociale zekerheid en moeten voldoen aan de minimale veiligheidsmaatregelen die zijn opgelegd door de Kruispuntbank van de Sociale Zekerheid (KSZ). Daarnaast zijn door de KSZ richtlijnen opgesteld met door iedere instelling na te streven veiligheidsdoeleindenm.b.t. alle domeinen van de informatieveiligheid.
Minimale veiligheidsmaatregelen gelden voor gemeente en OCMW? • De gemeenten behoren niet tot het netwerk van de sociale zekerheid. • Omdat de samenwerking tussen gemeente en OCMW steeds nauwer wordt, is het de bedoeling om het veiligheidsniveau van de gemeente op te tillen naar het niveau van het OCMW. • Dergelijk proces vraagt tijd en inspanning. • Eenvormige richtsnoeren informatieveiligheid die gelden voor zowel OCMW als gemeente in Vlaanderen, gebaseerd op de minimale veiligheidsnormen van de KSZ.
Gemeente en OCMW als één entiteit ‘het lokaal bestuur’? • Gemeente en OCMW zijn afzonderlijke entiteiten en hebben elk hun specifieke finaliteiten. Daardoor worden zij door de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, beschouwd als verschillende verantwoordelijken voor de verwerking.
Gemeente en OCMW één gemeenschappelijke netwerk? • Gemeente en OCMW zijn 2 aparte entiteiten met elk hun specifieke finaliteiten. Dit betekent dat zowel de gemeente als het OCMW elk verantwoordelijk zijn voor hun eigen verwerkingen. Toch kunnen zij een gemeenschappelijk netwerk delen, maar er moeten voldoende veiligheidsmaatregelen genomen worden: 1. 2. 3.
4.
toegang d.m.v. paswoord; een lijst van gemachtigden van de gemeente en een lijst van gemachtigden van OCMW; toegang voor de gemachtigden van de gemeente moet beperkt worden tot de finaliteiten van de gemeente, toegang voor de gemachtigde van het OCMW moet beperkt worden tot de finaliteiten van het OCMW; bijhouden van loggings.
• Als gemeente en OCMW ook een gemeenschappelijk ICT-beleid willen uitbouwen, is een samenwerkingsakkoord tussen beiden vereist.
Gemeente en OCMW persoonsgegevens uitwisselen? • Zij zijn dus elk verantwoordelijke voor de verwerking van persoonsgegevens. • Als zij onderling persoonsgegevens willen uitwisselen, moet voor de elektronische uitwisseling vooraf een machtiging worden gevraagd.
Gemeente en OCMW persoonsgegevens uitwisselen? • Aan wie moet een machtiging gevraagd worden? Worden persoonsgegevens vanuit de gemeente meegedeeld aan het OCMW, dan is een machtiging van de Vlaamse Toezichtcommissie vereist. • Worden persoonsgegevens vanuit het OCMW meegedeeld aan de gemeente, dan is in principe (op een paar uitzonderingen na die Vlaamse bevoegdheid zijn het sectoraal comité van de Sociale Zekerheid en de Gezondheid), afdeling Sociale Zekerheid, bevoegd.
Aanbod V-ICT-OR …
BEGELEIDING - SENSIBILISEREN
Opleidingen • Ééndaagse – Voor management – Info aanvullen
• Vijfdaagse – Voor consulenten – Info aanvullen
Besturen opstarten • Begeleiding ter plaatse – Veiligheidscel … – Info aanvullen
