Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016

Vergelijkbare documenten
HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

VRAGENLIJST VOOR EEN DERDE PARTIJ DIE INFORMATIE VAN DE OPENBARE INSTELLING SOCIALE ZEKERHEID

Praktijkgerichte aanpak van informatieveiligheid: hoe overeenstemmen met GDPR?

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT Informatieveiligheid omdat het moet!

ISMS. Minimale Normen. Versie (Information Security Management System)

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN

Gegevensverzameling en gegevensverwerking

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Beveiligingsbeleid Stichting Kennisnet

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Clausules betreffende de verwerking van persoonsgegevens

Informatieveiligheid in Lokale besturen. gezamenlijk veiligheidsbeleid uitwerken! uitwerken?

Doel van de opleiding informatieveiligheid

ISMS. Minimale Normen. Versie 2015 (ISO 27002:2013) (Information Security Management System)

RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS. Juni 2012

ISMS. Minimale Normen. Versie (Information Security Management System)

Thema-audit Informatiebeveiliging bij lokale besturen

Beleidslijn informatieveiligheid en privacy Draadloze netwerken

Analyse Security Audits 2016

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Dataprotectie op school

Informatieveiligheid, de praktische aanpak

Identiteits- en toegangsbeheer

Privacy in de eerstelijnspraktijk Checklist & tips

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Organisatiebeheersing en informatieveiligheid

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Verklaring van Toepasselijkheid

Sectoraal comité van het Rijksregister

Hoe operationaliseer ik de BIC?

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HUISREGELS COMPUTERGEBRUIK

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Voorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Checklist Beveiliging Persoonsgegevens

WELZIJNSBAND MEETJESLAND. Jaarverslag Veiligheidsconsulent Sandra Claeys

CLOUD COMPUTING. Wat is het? Wie zijn de aanbieders? Is het veilig? Wat kun je er mee? Robert K Bol PVGE Best

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?

Gecertificeerde informatieveiligheidsconsulent - richtsnoeren

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer & Commissie voor de bescherming van de persoonlijke levenssfeer

Mobiele Gegevensdragers

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Security Awareness Sessie FITZME, tbv de coaches

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Sectoraal comité van het Rijksregister en sectoraal comité van de sociale zekerheid en van de gezondheid

Bijlage: Algemene voorwaarden / Disclaimer Magentazorg

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Competentieprofiel deskundige ICT

Bijlage 2: Communicatie beveiligingsincidenten

Het belang van informatieveiligheid van persoonsgegevens vandaag en morgen

Cloud computing Helena Verhagen & Gert-Jan Kroese

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht

Werkplekbeveiliging in de praktijk

Informatiebeveiligingsbeleid

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP

IT2BUILD Online Backup. Betrouwbaar, veilig en betaalbaar

VLAAMS AGENTSCHAP VOOR PERSONEN MET EEN HANDICAP

Handboek Hecla Professional Audio & Video Systems INFORMATIEBEVEILIGINGSBELEID. Versie: 3 Datum: Pagina: 1 van 8

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

BIJLAGE 11: Bepalingen inzake de verwerkingen van persoonsgegevens door de opdrachtnemer in het kader van dit bestek

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens 1

Uw praktijk en de Wet Bescherming Persoonsgegevens

Transcriptie:

Gemeenteraad van 31 maart 2016

Inhoud 1. Inleiding... 3 2. Informatieveiligheidsbeleid... 3 3. Interne organisatie... 3 4. Medewerkers... 3 5. Bedrijfsmiddelen... 3 6. Logische toegangsbeveiliging... 4 7. Transparantie... 4 8. Cryptografie of versleuteling... 5 9. Fysieke beveiliging en omgeving... 5 10. IT-beheer... 5 11. Bedrijfscontinuïteit... 5 12. Audit... 6 p. 2 / 6

1. Inleiding Een lokaal bestuur krijgt heel wat privacygevoelige informatie te verwerken. De burger of cliënt verwacht van de overheden dat zij hier zeer zorgvuldig mee omspringen. Door de razendsnelle evolutie van digitale informatiesystemen, is de bescherming van persoonsgegevens een complexe zaak geworden en kunnen we dit niet enkel overlaten aan de goede wil van de medewerkers: er is nood aan een voortdurend bijgestuurd, systematisch beleid voor informatieveiligheid. 2. Informatieveiligheidsbeleid Het bestuur erkent dat er een welomschreven beleid moet zijn inzake informatieveiligheid. Dit beleid moet gericht zijn. Dit beleid moet regelmatig herbekeken en geactualiseerd worden. Het beleid steunt op 3 basispijlers: - Vertrouwelijkheid: informatie mag enkel beschikbaar zijn voor personen die hiertoe geautoriseerd zijn. - Integriteit: informatie moet correct, actueel en betrouwbaar zijn - Beschikbaarheid: informatie moet te allen tijde opvraagbaar zijn, ook na incidenten of schade aan apparatuur. 3. Interne organisatie Het bestuur stelt een veiligheidsconsulent aan. Het is de taak van de consulent om adviezen te geven om de informatieveiligheid te verbeteren. De consulent rapporteert aan de gemeentesecretaris en zal een schriftelijke motivatie vragen indien er beslist wordt om een advies niet op te volgen. De consulent zal ook een veiligheidsplan opstellen en dit plan regelmatig actualiseren. Het plan bevat werkpunten, een tijdschema en duidt ook de verantwoordelijken aan om de werkpunten te realiseren. Hiervoor is het noodzakelijk dat de veiligheidsconsulent voldoende informatie krijgt over de gebruikte systemen en procedures. De consulent moet ook betrokken worden in projecten waar informatieveiligheid een rol kan spelen. 4. Medewerkers Het is essentieel dat elke medewerker die persoonsgegevens verwerkt, zich bewust is van de mogelijke problemen rond informatieveiligheid. Er moet actief worden ingezet op bewustmaking door middel van campagnes en opleidingen. Elke medewerker dient zich te engageren om bij te dragen tot de informatieveiligheid door het onderschrijven van richtlijnen. Dit kan door clausules in het arbeidsreglement, een deontologische code of afzonderlijke reglementen. 5. Bedrijfsmiddelen Er dient steeds een actuele inventaris te zijn van informaticamateriaal en software. Er moet vermeden worden dat de toegang tot een informatiebron zich beperkt tot één persoon. p. 3 / 6

Informatiesystemen en dragers van persoonsgegevens dienen voldoende fysiek afgeschermd te zijn, door ze bijvoorbeeld te plaatsen in afgesloten lokalen, kasten of kluizen. Dit geld evenzeer voor informatie op papier, zoals archieven en dossiermappen. 6. Logische toegangsbeveiliging Elke logische toegang tot persoonsgegevens moet afgeschermd worden door een beveiliging, die enkel geautoriseerde personen toelaat om de informatiebron te raadplegen. Er moet steeds vermeden worden dat verschillende personen dezelfde aanmeldgegevens gebruiken. Informatiebeheerders (netwerkbeheerders, domain administrators) hebben per definitie veel toegangsrechten. Het aantal informatiebeheerders moet zoveel mogelijk beperkt worden en personen die informatiebeheerder zijn, mogen enkel aanmelden als informatiebeheerder om taken uit te voeren die beheerdersrechten vereisen. Zij dienen te beschikken over een netwerkaccount met gewone toegangsrechten voor hun gewone taken. 7. Transparantie Telkens er systematisch persoonsgegevens worden doorgegeven aan externe partijen (AGB, vzw, andere besturen of overheden, ) dan wordt dit gemeld aan de veiligheidsconsulent. Deze zal nagaan of er een machtiging nodig is van de privacy commissie (CPBL) of de Toezichtcommissie (VTC). De personen van wie er persoonsgegevens worden verwerkt, moeten hiervan op een transparante manier van op de hoogte worden gebracht. Dit kan o.a. door een melding op invulformulieren waarin duidelijk wordt gemaakt voor welke doelen de gegevens zullen gebruikt worden, of door een te ondertekenen document waarin de persoon in kwestie expliciet toestemming geeft om zijn persoonsgegevens te verwerken in functie van een duidelijk doel. p. 4 / 6

8. Cryptografie of versleuteling Zodra privacygevoelige informatie wordt gekopieerd op publiek toegankelijke media, apparaten of diensten, dient de informatie voldoende versleuteld te worden, zodat bij verlies, diefstal of hacking de gegevens onleesbaar zijn voor externen. Dit geldt onder ander voor: - Usb-sticks en usb-disks - Geheugenkaarten - Internetdiensten (cloud diensten) zoals dropbox, google drive of wetransfer - Tablets en laptops 9. Fysieke beveiliging en omgeving De toegang tot gebouwen en lokalen moeten in de mate van het mogelijke worden beperkt tot geautoriseerde personen. Er moeten voldoende maatregelen worden genomen om de informatiesystemen te beschermen tegen inbraak, waterschade of brandschade. Er moeten voldoende maatregelen worden voorzien om schade en informatieverlies te vermijden bij plotse stroomstoringen Er moet een vaste procedure zijn om informatiedragers te wissen of te vernietigen, wanneer ze uit dienst worden genomen. 10. IT-beheer Er moeten geactualiseerde systemen aanwezig zijn om bescherming te bieden tegen malware, zoals virussen, spyware, trojans, Er moeten regelmatig backups genomen worden van alle informatie die nodig is om het bestuur te laten werken. De gegevens moeten aanwezig zijn om verschillende sites, zodat bij een ramp de gegevens kunnen gerecupereerd worden vanop een andere locatie. Alles IT-systemen dienen voldoende gedocumenteerd te zijn, zodat de kennis zich niet beperkt tot bepaalde personen. Het netwerk en de systemen dienen actief beheerd te worden, om nieuwe bedreigingen en potentiële problemen proactief aan te pakken. Indien externe leveranciers persoonsgegevens verwerken, worden er contracten opgesteld zodat deze leveranciers verplicht worden om even zorgvuldig met deze gegevens om te gaan. Er wordt bijzondere aandacht besteed aan redundantie, om in de mate van het mogelijke SPOF s (= Single Point Of Failure) te vermijden. 11. Bedrijfscontinuïteit Er moet een continuïteitsplan zijn, dat gebaseerd is op een risico-analyse om de opdracht van het bestuur te kunnen voortzetten bij ernstige incidenten of rampen. Er moet een uitwijk-centrum worden voorzien, zodat de basis informaticastructuur zo snel mogelijk weer operationeel kan zijn. p. 5 / 6

12. Audit Er wordt minstens éénmaal per 4 jaar een audit uitgevoerd om de actuele veiligheidssituatie af te toetsen aan de minimale normen. p. 6 / 6

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback