Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer
SHOPT-IT 2013 Informatieveiligheid omdat het moet!
Caroline Vernaillen 25 april 2013
Vlaamse Toezichtcommissie WIE
• Wie zijn wij o adviseurs van de VTC
o De Vlaamse Toezichtcommissie Opgericht bij E-GOV decreet voor het elektronische bestuurlijke Verantwoording aan Vlaams gegevensverkeer Parlement
Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie
Hoe:1° machtigen van die stromen 2° adviezen (regelgeving, VDI-decreet) 3° beantwoorden van vragen en begeleiding
Vlaamse Toezichtcommissie
2
Informatieveiligheid
Volgen van reglementen en procedures Voor Vlaamse instanties gelden • de privacywet • het e-govdecreet
Risicobeheersing - informatieveiligheid sensu stricto Voorwaarden in machtigingen
Vlaamse Toezichtcommissie
3
Informatieveiligheid Volgen van reglementen en procedures
o Waarom? • Garanties bieden aan burgers voor veilige verwerking van persoonsgegevens door de Vlaamse instanties • 2 ledig - evenwicht: o efficiënte en effectieve dienstverlening garanderen; o bescherming persoonlijke levenssfeer.
Vlaamse Toezichtcommissie
4
Informatieveiligheid
o De privacywet: wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP) http://vtc.corve.be/wetgeving.php
Vlaamse Toezichtcommissie
5
Informatieveiligheid
Definitie van persoonsgegeven: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon … = zeer ruim = niet beperkt tot privacy/persoonlijke levenssfeer
Vlaamse Toezichtcommissie
6
Informatieveiligheid
Definitie van verantwoordelijke voor de verwerking Niet de IT-dienst Niet de personeelsleden WEL het management – het hoofd van de entiteit = verantwoordelijk voor de naleving van de privacywet
Vlaamse Toezichtcommissie
7
Informatieveiligheid HOE De principes van de privacywet naleven:
Finaliteit
Proportionaliteit
Transparantie
Vlaamse Toezichtcommissie
Veiligheid
8
Informatieveiligheid
o Het e-govdecreet: Decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer http://vtc.corve.be/docs/egov_decreet.pdf
Vlaamse Toezichtcommissie
9
Informatieveiligheid Artikel 6: verplichtingen Vlaamse Bestuursinstanties § 1. De instanties zijn in ieder geval verplicht : 1° persoonsgegevens te verwerken overeenkomstig de privacywet; 2° bij iedere nieuwe toepassing van het elektronische bestuurlijke gegevensverkeer vooraf adequate technische en organisatorische maatregelen in te bouwen voor de naleving van de privacywet; 3° op elk moment te waken over de kwaliteit en de veiligheid van gegevens en alle maatregelen te treffen om een perfecte bewaring van persoonsgegevens te garanderen; 4° de toezichtcommissie te ondersteunen bij de vervulling van haar opdrachten; 5° de toezichtcommissie informatie te verstrekken en inzage in alle dossiers en informatieverwerkende systemen te verschaffen telkens als ze daarom vraagt. Vlaamse Toezichtcommissie
10
Informatieveiligheid
Artikel 8: machtigingsverplichting De elektronische mededeling van persoonsgegevens door een instantie vereist een machtiging van de Toezichtcommissie[...]
Vlaamse Toezichtcommissie
11
Informatieveiligheid
Artikel 9: Veiligheidsconsulent Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, § 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten.
Vlaamse Toezichtcommissie
12
Informatieveiligheid Artikel 9: Veiligheidsconsulent o advies en aanbevelingen omtrent de uitvoering van het veiligheidsbeleid; o onder rechtstreeks gezag van verantwoordelijke voor dagelijks bestuur; o kennis over informatieveiligheid en informaticaomgeving van de instantie; o voldoende tijdsbesteding; o geen onverenigbaarheid http://vtc.corve.be/docs/E_GOV_decreet_BVR_VEILIGHEID.pdf http://vtc.corve.be/docs/Aanvraag_advies_aanstelling_veiligheidscons ulent.doc Vlaamse Toezichtcommissie
13
Informatieveiligheid
o Sancties: niet naleven privacywet is strafbaar verwerking/gegevensstroom kan worden stopgezet tuchtsancties/ontslag o Schadeclaims o Vertrouwen in de overheid krijgt een deuk Vlaamse Toezichtcommissie
14
Informatieveiligheid
Informatieveiligheid - risicobeheersing
Informatieveiligheid • ook informatie op papier • betreft niet alleen persoonsgegevens maar ook o andere vertrouwelijke informatie o de beschikbaarheid en betrouwbaarheid van de informatie voor beleid, voor dossierverwerking,… Vlaamse Toezichtcommissie
15
Informatieveiligheid HOE
Belangrijkste instrumenten: • informatieveiligheidsconsulent • informatieveiligheidsplan
Vlaamse Toezichtcommissie
16
Informatieveiligheid
• Informatieveiligheidsplan - ISO 27002 norm als inspiratie (cf. IT-dienst) - Richtsnoeren privacycommissie http://www.privacycommission.be/sites/privacycommission/files/documents/richtsnoere n_informatiebeveiliging_0.pdf
- Richtsnoeren voor steden en gemeenten http://vtc.corve.be/infoveiligheid.php
Vlaamse Toezichtcommissie
17
Informatieveiligheid
• Informatieveiligheidsplan ! risico-analyse ! awareness ! voldoende middelen ! stappenplan ! contract met de verwerker
(dataleverancier, (onder)aannemer)
Vlaamse Toezichtcommissie
18
Informatieveiligheid
• Informatieveiligheidsplan 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.
Hoofdstukken:
Risico Beleid Organisatie: intern + externe partijen Bedrijfsmiddelen: classificatie informatie! Personeel Fysieke omgeving Communicatie en operationele procedures Toegang tot persoonsgegevens Aanschaffen, ontwikkelen en onderhouden informatiesystemen Informatiebeveiligingsincidenten Bedrijfscontinuïteit Naleving
Vlaamse Toezichtcommissie
19
Informatieveiligheid
Voorwaarden in machtigingen oVeiligheidsconsulent oVeiligheidsplan → mobile mapping AGIV: machtiging treedt pas in werking voor lokale besturen die voldoen aan voorwaarden
Vlaamse Toezichtcommissie
20
Informatieveiligheid
• Linken o www.vlaamsetoezichtcommissie.be o www.privacycommission.be
• Vragen?
toezichtcommissie{at}vlaanderen{dot}be
Vlaamse Toezichtcommissie
21
Tool V-ICT-OR
Vlaamse Toezichtcommissie
22
Bevragingstool: Wat? 1. 2. 3. 4.
Richtsnoeren verwerkt in on-line vragenlijst Met maturiteit & risico indicatie Aangevuld met ‘levend’ handboek Aanbod van begeleiding bij ‘invullen’
Maturiteit en Risico • Indicatie van Maturiteit o Van 1 (we voldoen absoluut niet) tot 5 (we zijn een rolmodel) o COBIT idee
• Indicatie van Risico o Weging van het belang van een norm voor en bestuur (vb Waterovelast)
• Indicatie van Impact o Weging van de impact voor het bestuur in kwestie
• Indicatie van Controle o Weging van de inschatting van de mate van controle
Toelichting per vraag • ‘Levend’ handboek o Bijlage per vraag met verklaring op maat van • • • •
Management (secretaris, MT, …) IT beheerder IT specialist Security specialist
o Inhoud door werkgroep security & community o Wiki stijl: • Verwijzing naar wetgeving en interpretaties • Hulp bij implementatie • ….
Voordelen van begeleiding bij invullen • Objectieve begeleiding bij het invullen • Genereren van gestandaardiseerd rapport • Mogelijkheid tot rapportering aan college en raad => Vergelijkbaarheid resultaten => Statistisch terugkoppeling naar centrale overheid
Resultaten blijven zichtbaar voor bestuur • Mogelijkheid om projectmatig te verbeteren o Verder uitwerken van bepaalde topics o Input voor informatieveiligheidsplan o Vergroten van ‘awareness’ rond informatierisico’s