Informatieveiligheid en DPO

Driekwart van de Vlamingen is bezorgd dat persoonlijke gegevens online niet veilig worden bewaard. Dat blijkt uit de Digimeter. Het vertrouwen dat we hebben in het veilig bewaren van onze gegevens hangt ook af van de organisatie die onze data verwerkt. We hebben het grootste vertrouwen in ziekenhuizen waarbij de overheid op een mooie gedeelde derde plaats komt met verzekeringen. Zowel KINA als de OCMW-leden maken onderdeel uit van de overheid. Deze lokale overheden besteden tijd en middelen aan informatiebeveiliging en gegevensbescherming om datalekken te vermijden en zo het vertrouwen van de burger in deze geliefde dienstverlening te versterken en te behouden.

In het kader van artificiële intelligentie (AI) geeft de Digimeter aan dat de nieuwsgierigheid naar de mogelijkheden van AI groter is dan de angst voor negatieve impact zoals bijvoorbeeld op de privacy. Ook bij de overheid is er interesse om AI toe te passen. Denk bijvoorbeeld aan het analyseren van mails op basis van AI om phishing mails te detecteren en het gebruik van camera’s uitgerust met AI voor nummerplaat- of gezichtsherkenning. De toepassing van deze relatief nieuwe technologie in ons dagelijks leven vraagt bijzondere aandacht om discriminatie of ongewenste gevolgen zoals het foutief ontzeggen van dienstverlening te voorkomen. Bij gebruik van nieuwe technologie past KINA privacy-by-design toe om na te gaan wat mogelijke risico’s voor burgers zijn.

Beleid en actieplannen die in lijn liggen met de veiligheidsrisico’s zijn belangrijk om het vertrouwen van de burger in digitale dienstverlening te behouden. Lokale besturen weten steeds beter hoe ze hun IT infrastructuur beter kunnen beveiligen en privacy-by-design kunnen toepassen. Dit komt enerzijds door de groeiende aandacht bij media, politiek en andere overheden en anderzijds door een intensief traject om de AVG te implementeren. Waar deze trajecten eenvoudig beginnen met het in kaart brengen van de eigen verwerkingen, eindigt het met uitdagende vraagstukken over internationale doorgiften van persoonsgegevens. Het creëren van draagvlak, positieve attitude en een privacy reflex binnen het lokaal bestuur wordt gerealiseerd met behulp van betrokkenheid, duidelijke afspraken en sensibilisering.

In een samenleving waar beleid steeds vaker geïnspireerd wordt door data, wordt informatie steeds belangrijker. Net zoals bij bedrijven, is het cruciaal voor OCMW ‘s om juiste en volledige informatie te hebben die altijd beschikbaar is. Deze informatie is namelijk belangrijk voor de dagelijkse werking. Informatieveiligheid beschermt gegevens tegen een brede waaier van bedreigingen, die de continuïteit van de dienstverlening kunnen verstoren, schade kunnen veroorzaken en de goede werking kunnen verhinderen. Door in te zetten op informatieveiligheid, wordt de dagelijkse werking van OCMW ’s met redelijke zekerheid gegarandeerd.

Informatieveiligheid en gegevensbescherming verschillen. Waar informatieveiligheid de nadruk legt op risico’s voor organisaties (zoals bijvoorbeeld financiële of reputatieschade), legt gegevensbescherming de nadruk op risico’s voor burgers (zoals bijvoorbeeld discriminatie of identiteitsfraude). Gegevensbescherming werd bovendien bij wet vastgelegd in de AVG. Omdat een eigen informatieveiligheidsconsulent of DPO niet voor alle besturen een haalbare kaart was, heeft KINA gemeenschappelijke stafmedewerkers aangeworven. 

De stafmedewerkers informatieveiligheid en DPO ondersteunen je bij de volgende taken:

• Opmaken en up-to-date houden van het verwerkingsregister faciliteren
• Advies of toelichting geven in het kader van de AVG en informatieveiligheid
• Opmaken van beleid faciliteren (zoals het uitoefenen van rechten van betrokkenen en het informatieveiligheidsbeleid)
• Opmaken van en rapporteren over actieplannen op basis van risicoanalyse en maturiteitsmeting (zoals het informatieveiligheidsplan)
• Opmaken, implementeren, evalueren en bijsturen van procedures (zoals omgaan met datalekken en goed toegangsbeheer)
• Sensibilisering van medewerkers (zoals bijvoorbeeld sterke wachtwoorden gebruiken, persoonsgegevens veilig communiceren en BCC gebruiken in plaats van CC)
• In kaart brengen van de verantwoordelijkheden met betrekking tot informatieveiligheid (preventie, toezicht, opsporing en verwerking)
• Organiseren van externe (of interne) audits om na te gaan of het informatieveiligheidsbeleid de doelstellingen bereikt
• Voorbereiden van de jaarlijkse vragenlijst minimale normen van de Kruispuntbank Sociale Zekerheid (KSZ)
• Deelname aan de werkgroep informatie- en cyberveiligheid van VVSG ter bevordering van kennisdeling

OCMW’s zijn enerzijds aangesloten op de KSZ en verwerken anderzijds op grootschalige wijze persoonsgegevens. Dit brengt een verplichte aanstelling van een veiligheidsconsulent met zich mee als onderdeel van de aansluitingsvoorwaarden van de KSZ en een verplichte aanstelling van een DPO op basis van de AVG.  De veiligheidsconsulent mag ook de rol van DPO opnemen (Artikel 9 van het gewijzigde egov-decreet):

De veiligheidsconsulenten die door de instanties werden aangewezen conform … het decreet van … het elektronische bestuurlijke gegevensverkeer en het besluit van de Vlaamse Regering … betreffende de veiligheidsconsulenten …, kunnen de functie van functionaris voor gegevensbescherming opnemen als ze voldoen aan de vereisten, vermeld in artikel 37, lid 5, van de algemene verordening gegevensbescherming.

Lokale besturen die beroep deden op de veiligheidsconsulenten van KINA, kunnen sinds de aanvang van de AVG beroep doen op dezelfde stafmedewerker om zowel de rol als veiligheidsconsulent als de rol van DPO op te nemen.

De Algemene Verordening Gegevensbescherming (AVG) van 27/04/2016, biedt bescherming aan de burgers door in te zetten op transparantie, toestemming en het uitoefenen van hun rechten. Daarnaast moeten verwerkers van persoonsgegevens ook aan tal van verplichtingen voldoen. De AVG is van toepassing op elke geautomatiseerde en manuele verwerking van persoonsgegevens die binnen de Europese Economische Ruimte, waaronder België, plaatsvindt, ongeacht of deze door de overheid of door particulieren wordt verricht. Elk lokaal bestuur moet volgens Artikel 37, lid 5, van de AVG een functionaris voor gegevensbescherming aan te duiden.

De Kruispuntbank van de Sociale Zekerheid (KSZ) is een openbare instelling die zorgt voor “het machtigen, organiseren en uitvoeren van gegevensuitwisseling tussen de openbare en medewerkende instellingen van sociale zekerheid” (Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid). De KSZ regelt met andere woorden de gegevensstromen tussen instellingen zoals onder andere het RISIV, RVA, RSZ, RSZPPO, het Rijksregister, fondsen voor bestaanszekerheid en het OCMW. De KSZ is dus het knooppunt (kruispunt) tussen de verschillende gegevensbanken van deze sociale zekerheidsinstellingen. Met de aansluiting op de KSZ wordt een rechtstreekse toegang gecreëerd tot de gegevens van andere sociale zekerheidsinstellingen. Deze aansluiting verhoogt de slagkracht, snelheid en nauwkeurigheid van de werking en de maatschappelijke dienstverlening van het OCMW.

De aansluiting van het OCMW op het netwerk van de KSZ bracht verplichtingen en veiligheidsvoorschriften met zich mee. Deze verplichtingen komen uit het Koninklijk Besluit van 18 augustus 1993 over de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid en het document van de minimale veiligheidsnormen. De minimale veiligheidsnormen worden gedefinieerd, regelmatig geactualiseerd en verfijnd door het informatieveiligheidscomité van de KSZ. De minimale veiligheidsnormen beogen in de eerste plaats de naleving van de toepasselijke wettelijke en reglementaire verplichtingen zoals voorzien in de wet (Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid). Daarnaast beogen deze de machtiging van het OCMW tot deelname aan het netwerk van de KSZ.

De minimale veiligheidsnormen omvatten alle maatregelen en procedures ter bescherming van de beschikbare informatie en persoonsgegevens zoals bijvoorbeeld maatregelen in het kader van veilig telewerken.

Elk OCMW aangesloten op het netwerk van de KSZ moet over een formeel, geactualiseerd en door de OCMW-raad goedgekeurd informatie-veiligheidsbeleid beschikken. Het is de taak van de stafmedewerker om in nauwe samenwerking met het OCMW-management dit geïntegreerd beleid op te maken. Het informatieveiligheidsbeleid omvat onder andere het in kaart brengen van bedreigingen en hoe een OCMW hiermee omgaat.

Het informatieveiligheidsplan is een zeer belangrijk element voor de naleving van de wettelijke verplichtingen over de bescherming van persoonsgegevens en van de minimale veiligheidsnormen. De vastgestelde tekorten, aandachtspunten en specifieke behoeften kunnen aanleiding geven tot concrete aanbevelingen van de veiligheidsconsulent. Deze zorgen samen met het officieel gevolg van de OCMW-raad, het vast bureau of de algemeen directeur, voor een duidelijk, concreet en uitvoerbaar veiligheidsplan. Het zijn immers de beleidsverantwoordelijke instanties van het OCMW die bepalen welke van de aanbevelingen en voorstellen in het veiligheidsplan zullen worden opgenomen en wanneer deze zullen worden uitgevoerd. Het veiligheidsplan is een dynamisch trajectplan dat het OCMW en de stafmedewerker gedurende een periode van drie tot vier jaar zullen doorlopen.

De minimale veiligheidsnormen hebben een bindende waarde. De controle op de naleving van de normen gebeurt onder andere door het invullen van een jaarlijkse vragenlijst die door het sectorieel comité worden geëvalueerd. Het behoort tot de verantwoordelijkheid van het OCMW om de jaarlijkse vragenlijst correct in te vullen en om over de naleving van de normen te waken. De stafmedewerker bereidt de invulling van de vragenlijst voor. Het sectorieel comité kan desgevallend controles ter plaatse laten uitvoeren, teneinde op het terrein te peilen naar de naleving van de minimale veiligheidsnormen. Sommige OCMW’s zijn gehuisvest in verschillende gebouwen of beschikken over bijkantoren. Ook daar moeten alle minimale veiligheidsnormen nageleefd worden. Indien het sectorieel comité van de sociale zekerheid vaststelt dat een sociale zekerheidsinstelling tekortschiet wat de naleving van de veiligheidsnormen betreft, kan de KSZ maatregelen nemen.

Elk OCMW dat op het netwerk van de KSZ is aangesloten, is verplicht om een informatieveiligheidsdienst op te richten, die door een informatieveiligheidsconsulent wordt geleid. De opdracht van de stafmedewerker is toezien op de naleving van de minimum veiligheidsnormen door het OCMW.