Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN

Vergelijkbare documenten
Voorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT Informatieveiligheid omdat het moet!

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Organisatiebeheersing en informatieveiligheid

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer & Commissie voor de bescherming van de persoonlijke levenssfeer

Organisatie Informatieveiligheid.

Overheidscommunicatie en privacy

Informatieveiligheidsconsulent. 23 sept 2014 Gent

Het belang van informatieveiligheid van persoonsgegevens vandaag en morgen

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 29;

DE VLAAMSE REGERING, Gelet op het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, artikel 9;

1. De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer (hierna: "de VTC");

Privacy in de (MAGDA)kijker

NOTA AAN DE VLAAMSE REGERING

Impact AVG op de lokale overheden

Informatieveiligheid. Omdat het moet!? ShoptIT 8 mei 2014 Ivan Stuer

Praktijkgerichte aanpak van informatieveiligheid: hoe overeenstemmen met GDPR?

Gelet op de aanvraag van het Belgische Rode Kruis ontvangen op 11/10/2011;

Sectoraal comité van het Rijksregister

Gelet op de aanvraag van het Instituut voor Gerechtelijke Opleiding ontvangen op 15/03/2012;

SHOPT-IT Informatieveiligheid omdat het kan! Organisatiebeheersing en informatieveiligheid

Beraadslaging VTC nr. 16/2016 van 30 maart 2016

1. De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer (hierna: "de VTC");

#vvsg_gdpr Impact van het AVG-Decreet op lokale overheden rol VTC

BERAADSLAGING RR Nr 26 / 2007 van 12 september 2007

VLAAMS AGENTSCHAP VOOR PERSONEN MET EEN HANDICAP

1. De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer (hierna: "VTC");

Gelet op de aanvraag van het Vlaams Agentschap Kind en Gezin ontvangen op 16 mei 2017;

Gelet op de aanvraag van het Parlement van het Brussels Hoofdstedelijk Gewest ontvangen op 15/10/2013;

Het Sectoraal comité van het Rijksregister, (hierna "het Comité");

1. De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer (hierna: "VTC");

Gelet op de aanvraag van VMSW en de e-ib ontvangen op 19/04/2012;

Gelet op de aanvraag van het intern verzelfstandigd agentschap met rechtspersoonlijkheid Kind en Gezin ontvangen op 04/02/2011;

BERAADSLAGING RR Nr 25 / 2007 VAN 18 JULI 2007

Wat met de privacy? 19 januari

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Advies VTC nr. 02/2012 van 10 juli 2012

HOOGDRINGENDE PUNTEN. Samenwerkingsovereenkomst met Rimo voor de ondersteuning van Het Open Poortje OPENBARE VERGADERING

Betreft: aanvraag van het Departement Financiën en Begroting tot aanpassing van de beraadslaging RR nr. 45/2009 van 15 juli 2009 (RN-MA )

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Beraadslaging VTC nr. 37/2013 van 11 september 2013

BERAADSLAGING RR Nr 27 / 2007 van 12 september 2007

Gelet op de aanvraag van het Agentschap Inspectie RWO ontvangen op 12/09/2011;

Beraadslaging VTC nr. 17/2016 van 30 maart 2016

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Toegang tot persoonsgegevens. Stuurgroep lokaal e-government, Gent, 6 maart 2019

De Commissie voor de bescherming van de persoonlijke levenssfeer;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

3. Gelet op het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten;

VAST BUERAU VERGADERING VAN 4 FEBRUARI 2019

Gelet op de aanvraag van het Vlaams Woningfonds van de Grote Gezinnen cvba ontvangen op 27/06/2011;

Gelet op de bijkomende informatie ontvangen op 22/03 en 12/05/2016;

Gelet op de aanvraag van de Vlaamse Overheid, het Agentschap Binnenlands Bestuur ontvangen op 02/03/2016;

Het Sectoraal comité van het Rijksregister (hierna "het Comité");

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Gelet op het decreet van 8 mei 2009 betreffende het Centraal Referentieadressenbestand (hierna: het CRABdecreet );

DE VLAAMSE REGERING, Gelet op het decreet van 20 februari 2009 betreffende de Geografische Data- Infrastructuur Vlaanderen, artikel 22, laatste lid;

Gelet op de aanvraag van het Fonds voor bestaanszekerheid van de metaalverwerkende nijverheid, ontvangen op 02/10/2014;

Betreft: Advies op eigen initiatief inzake het decreet betreffende de Vlaamse sociale bescherming

HUISHOUDELIJK REGLEMENT VAN DE VLAAMSE TOEZICHTCOMMISSIE VOOR HET ELEKTRONISCHE BESTUURLIJKE GEGEVENSVERKEER

Huishoudelijk reglement van de Commissie voor de bescherming van de persoonlijke levenssfeer van 26 juni 2003 (reglement CBPL) 17

Beraadslaging VTC nr. 35/2016 van 14 september 2016

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Beraadslaging VTC nr. 05/2016 van 2 maart 2016

Het Sectoraal comité van het Rijksregister, (hierna "het comité");

Gelet op de aanvraag van het Vlaams Subsidieagentschap voor Werk en Sociale Economie ontvangen op 25/10/2011;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING FO Nr 01 / 2005 van 10 januari 2005

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer;

Gelet op de aanvraag van de VMM en AIV ontvangen op 29 maart 2017;

Sectoraal comité van het Rijksregister

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

1. De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer (hierna: "VTC");

Betreft: aanvraag van het Vlaams Agentschap Zorg en Gezondheid tot uitbreiding van beraadslagingen nrs. 36/2008 en 01/2009 (RN/MA/2011/303)

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Informatiesessies december 2010

Informatieveiligheid in Lokale besturen. gezamenlijk veiligheidsbeleid uitwerken! uitwerken?

Gelet op de aanvraag van het Vlaams Energieagentschap ontvangen op 18/08/2017;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer;

Gelet op de aanvraag van het Agentschap voor Kwaliteitszorg in Onderwijs en Vorming ontvangen op 14/10/2010;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Gelet op de aanvraag van de Vlaamse Toezichtcommissie (ten behoeve van Vlabel) ontvangen op 21/01/2014;

Het Sectoraal comité van het Rijksregister (hierna "het comité"); Gelet op de aanvraag van van de FOD Financiën, ontvangen op 23 maart 2017;

Betreft: mededeling van persoonsgegevens van burgers uit het lokaal contactenbestand van de stad Gent (GLoC) aan het OCMW Gent.

3. Gelet op het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten;

Aanvragen van een machtiging bij het Sectoraal comité voor de Federale Overheid

Beraadslaging VTC nr. 28/2017 van 13 september 2017

Gelet op de aanvraag van het Vlaams Zorgfonds ontvangen op 08/08/2016;

Betreft: Advies inzake het besluit van de Vlaamse Regering van 30 september 2011 tot instelling van een tegemoetkoming voor kandidaat-huurders

Het Sectoraal comité van het Rijksregister (hierna "het comité");

3. Gelet op het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten;

1. De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer (hierna: "VTC");

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer;

Beraadslaging VTC nr. 38/2016 van 12 oktober 2016

Gelet op de aanvraag van de provincie Luik ontvangen op 11/02/2013;

1. De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer (hierna: "VTC");

3. Gelet op het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten;

BERAADSLAGING RR Nr 28 / 2007 van 12 september 2007

Sectoraal comité van het Rijksregister. Beraadsiaging RR nr 62/2013 van 31 juli 2013

Sectoraal comité van het Rijksregister en sectoraal comité van de sociale zekerheid en van de gezondheid

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

1. De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer (hierna: "VTC");

Transcriptie:

voor het elektronische bestuurlijke gegevensverkeer Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN Anne Teughels & Caroline Vernaillen juni 2013

Wie zijn wij o adviseurs van de VTC o De voor het elektronische bestuurlijke gegevensverkeer WIE Opgericht bij E-GOV decreet 18 juli 2008 Verantwoording aan Vlaams Parlement Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie (cf. decreet openbaarheid bestuur) ook lokale besturen Hoe:1 machtigen van die stromen 2 adviezen (regelgeving, VDI-decreet) 3 beantwoorden van vragen en begeleiding 2

6 effectieve leden o 3 leden uit CBPL (voorzitter CBPL=voorzitter VTC) o jurist, informaticus, beroepservaring in beheer van persoonsgegevens 6 plaatsvervangende leden WIE Mandaat 5 jaar en hernieuwbaar Vergaderingen: 1x maand 3

Volgen van reglementen en procedures Voor Vlaamse instanties gelden de privacywet het e-govdecreet Risicobeheersing - informatieveiligheid sensu stricto 4

Volgen van reglementen en procedures owaarom? Garanties bieden aan burgers voor veilige verwerking van persoonsgegevens door de Vlaamse instanties 2 ledig - evenwicht: o efficiënte en effectieve dienstverlening garanderen; o bescherming persoonlijke levenssfeer. 5

ode privacywet: wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP) http://vtc.corve.be/wetgeving.php 6

Definitie van persoonsgegeven: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon = zeer ruim = niet beperkt tot privacy/persoonlijke levenssfeer 7

Definitie van verantwoordelijke voor de verwerking Niet de IT-dienst Niet de personeelsleden WEL het management het hoofd van de entiteit = verantwoordelijk voor de naleving van de privacywet 8

De principes van de privacywet naleven: Finaliteit Proportionaliteit Transparantie Veiligheid 9

ohet e-govdecreet: Decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer http://vtc.corve.be/docs/egov_decreet.pdf 10

Artikel 6: verplichtingen Vlaamse Bestuursinstanties 1. De instanties zijn in ieder geval verplicht : 1 persoonsgegevens te verwerken overeenkomstig de privacywet; 2 bij iedere nieuwe toepassing van het elektronische bestuurlijke gegevensverkeer vooraf adequate technische en organisatorische maatregelen in te bouwen voor de naleving van de privacywet; 3 op elk moment te waken over de kwaliteit en de veiligheid van gegevens en alle maatregelen te treffen om een perfecte bewaring van persoonsgegevens te garanderen; 4 de toezichtcommissie te ondersteunen bij de vervulling van haar opdrachten; 5 de toezichtcommissie informatie te verstrekken en inzage in alle dossiers en informatieverwerkende systemen te verschaffen telkens als ze daarom vraagt. 11

Artikel 8: machtigingsverplichting De elektronische mededeling van persoonsgegevens door een instantie vereist een machtiging van de Toezichtcommissie[...] 12

Artikel 9: Veiligheidsconsulent Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. 13

Artikel 9: Veiligheidsconsulent o advies en aanbevelingen omtrent de uitvoering van het veiligheidsbeleid; o onder rechtstreeks gezag van verantwoordelijke voor dagelijks bestuur; o kennis over informatieveiligheid en informaticaomgeving van de instantie; o voldoende tijdsbesteding; o geen onverenigbaarheid http://vtc.corve.be/docs/e_gov_decreet_bvr_veiligheid.pdf http://vtc.corve.be/docs/aanvraag_advies_aanstelling_veiligheidscons ulent.doc 14

Voorwaarden in machtigingen oveiligheidsconsulent oveiligheidsplan vb: VTC: mobile mapping AGIV machtiging zal pas in werking treden voor lokale besturen die voldoen aan voorwaarden vb: CBPL: machtiging RR nr. 13/2013: machtiging treedt pas in werking voor lokale besturen die voldoen aan voorwaarden 15

CBPL: machtiging RR nr. 13/2013: Machtiging toegang Rijkregister voor niet-inwoners http://www.privacycommission.be/sites/privacycommission/fil es/documents/beraadslaging_rr_13_2013.pdf Voorheen: KB van 3 april 1984 KB van 30 augustus 1985 toegang tot alle gegevens: de personen die in haar bevolkingsregisters of in haar vreemdelingenregisters ingeschreven zijn beperkte toegang (artikel 3, eerste lid): de personen die ingeschreven zijn in een andere gemeente = ex-inwoner dus iemand die nooit in de gemeente heeft gewoond valt buiten het toepassingsgebied van de machtiging 16

CBPL: machtiging RR nr. 13/2013: OM DEZE REDENEN het Comité 1 machtigt de gemeenten, bedoeld in punt I, die aan het Comité een schriftelijke en ondertekende verbintenis zullen sturen van instemming met de voorwaarden van de onderhavige beraadslaging, om voor onbepaalde duur een permanente toegang te hebben tot de informatie vermeld in artikel 3, eerste lid, 1 tot 6 (de plaats van geboorte en overlijden uitgezonderd), 8 tot 10, 12, 13 en 14 (alleen IT 195) WRR, alsook opeenvolgende wijzigingen. 17

CBPL: machtiging RR nr. 13/2013: OM DEZE REDENEN het Comité Deze beraadslaging zal slechts uitwerking krijgen ten overstaan van een gemeente, nadat het Comité op basis van de documenten en inlichtingen verstrekt door de betrokken gemeente, heeft vastgesteld dat: een consulent inzake informatiebeveiliging die alle noodzakelijke garanties biedt, werd aangesteld; alle nuttige informatie over de informatiebeveiliging werd verstrekt. De gemeente ten overstaan van wie deze beraadslaging uitwerking krijgt, zal worden vermeld op een lijst die op de website van de Commissie zal worden gepubliceerd, samen met deze beraadslaging. 18

CBPL: machtiging RR nr. 13/2013: aandachtspunten wijzigingen van de gegevens van de niet-inwoners ontvangen: proportionaliteit vereist dat deze mededeling beperkt is tot de personen m.b.t. dewelke een gemeente over een dossier beschikt - vereist het werken met verwijzingsrepertoria Voor kleine gemeenten niet vanzelfsprekend om iemand met de taak van VC te belasten: geen bezwaar tegen dat meerdere gemeenten afspreken om beroep te doen op eenzelfde consulent inzake informatiebeveiliging 19

Veiligheidsconsulent: mogelijkheden voor lokale overheden o Intern (niet ICT verantwoordelijke!) of extern o Per stad of gemeente (nodige aantal uren per week) o Delen: tussen gemeenten en steden met OCMW (cf. welzijnskoepel West-Brabant) met provincie o Ondersteunen: V-ICT-OR (tool & pool) Centrumsteden Provincie VVSG (zie randnummer 54 van de machtiging niet-inwoners) 20

o Sancties: niet naleven privacywet is strafbaar verwerking/gegevensstroom kan worden stopgezet tuchtsancties/ontslag o Schadeclaims o Vertrouwen in de overheid krijgt een deuk 21

Informatieveiligheid - risicobeheersing Informatieveiligheid ook informatie op papier betreft niet alleen persoonsgegevens maar ook o andere vertrouwelijke informatie o de beschikbaarheid en betrouwbaarheid van de informatie voor beleid, voor dossierverwerking, 22

Informatieveiligheidsplan - ISO 27002 norm als inspiratie (cf. IT-dienst) - Richtsnoeren privacycommissie http://www.privacycommission.be/sites/privacycommission/files/documents/ richtsnoeren_informatiebeveiliging_0.pdf - Richtsnoeren voor steden en gemeenten en integratie met OCMW http://vtc.corve.be/infoveiligheid.php 23

Informatieveiligheidsplan! risico-analyse! awareness! voldoende middelen! stappenplan! contract met de verwerker (dataleverancier, (onder)aannemer) 24

Informatieveiligheidsplan Hoofdstukken: 1. Risico 2. Beleid 3. Organisatie: intern + externe partijen 4. Bedrijfsmiddelen: classificatie informatie! 5. Personeel 6. Fysieke omgeving 7. Communicatie en operationele procedures 8. Toegang tot persoonsgegevens 9. Aanschaffen, ontwikkelen en onderhouden informatiesystemen 10. Informatiebeveiligingsincidenten 11. Bedrijfscontinuïteit 12. Naleving 25

Datalekken: recente aanbeveling privacycommissie http://vtc.corve.be/docs/cbpl_gegevenslekken_aanbeveling_01_2013.pdf Cloud: aanbeveling privacycommissie op komst 26

Linken o www.vlaamsetoezichtcommissie.be o www.vtc.corve.be/infoveiligheid.php o www.privacycommission.be Vragen? toezichtcommissie{at}vlaanderen{dot}be 27

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback