SlideShare a Scribd company logo

IMPAKT: Richtsnoeren Vlaamse Overheid

N
Nancy Nimmegeers

Door Eddy Vann der Stockt (voorzitter V-ICT-OR)

Internet
1 of 24
Download to read offline
INFORMATIEVEILIGHEID OMDAT HET KAN …
• Informatie heeft waarde • Waardevolle informatie moet we veilig stellen • Informatie heeft vaak een bepaalde gevoeligheid • Daarnaast moeten we ook de privacy beschermen • We hebben dus een aanpak nodig om informatie te beschermen Kernvragen: Waarom hebben we informatiebeveiliging nodig? Wat is de waarde van informatie? • Geldelijke waarde • Aantrekkelijk voor anderen (insiders of outsiders – met goede en kwade bedoelingen) • Nut voor u en nuttig voor anderen • Kwaliteit & tijdigheid zijn vaak van groot belang • Tenslotte is er ook de (potentiële) schade als gevolg van verkeerd gebruik of compromitteren van informatie
Basisstelling: Informatiebeveiliging is ‘in essentie’ balans • Er is een relatie tussen gebruiksgemak en beveiliging • Als de beveiliging toeneemt, neemt het gebruiksgemak af
Informatieveiligheid – organisatorisch kader ‘Richtsnoeren’ informatiebeveiliging van persoonsgegevens v 3.0 (oorsprong: oprichting KSZ met als toezichthouder POD-MI) Vandaag van toepassing bij verwerking vertrouwelijke persoonsgegevens binnen: 1- sociale context (OCMW) als 2- niet-sociale context (Gemeente) Toepassingsgebied? • Steden en gemeenten • Binnen instellingen die deel uitmaken van het netwerk dat beheerd wordt door de kruispuntbank van de sociale zekerheid • Uiteraard ook bij integratie van gemeente en OCMW (inkanteling) ‘De Richtsnoeren’ vormen een leidraad voor het implementeren van de ISMS-beheerscyclus (Information Security Management System) die de kwaliteit van het informatieveiligheidsproces op langere termijn beoogt te borgen en te verbeteren.
GEMEENTE - OCMW INFORMATIEVEILIGHEID In één bad? …
Minimale veiligheidsmaatregelen gelden voor gemeente en OCMW? • De OCMW behoren tot het netwerk van de sociale zekerheid en moeten voldoen aan de minimale veiligheidsmaatregelen die zijn opgelegd door de Kruispuntbank van de Sociale Zekerheid (KSZ). Daarnaast zijn door de KSZ richtlijnen opgesteld met door iedere instelling na te streven veiligheidsdoeleindenm.b.t. alle domeinen van de informatieveiligheid.
Minimale veiligheidsmaatregelen gelden voor gemeente en OCMW? • De gemeenten behoren niet tot het netwerk van de sociale zekerheid. • Omdat de samenwerking tussen gemeente en OCMW steeds nauwer wordt, is het de bedoeling om het veiligheidsniveau van de gemeente op te tillen naar het niveau van het OCMW. • Dergelijk proces vraagt tijd en inspanning. • Eenvormige richtsnoeren informatieveiligheid die gelden voor zowel OCMW als gemeente in Vlaanderen, gebaseerd op de minimale veiligheidsnormen van de KSZ.
Gemeente en OCMW als één entiteit ‘het lokaal bestuur’? • Gemeente en OCMW zijn afzonderlijke entiteiten en hebben elk hun specifieke finaliteiten. Daardoor worden zij door de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, beschouwd als verschillende verantwoordelijken voor de verwerking.
Gebruik en de machtigingen Privacy Wetgeving & ISO 2700X Kruispuntbank Sociale Zekerheid Rijksregister Minimale Normen KSZ Richtsnoeren Informatieveiligheid POD-MI VTC OCMW Gemeente MachtigingMachtiging Consulent Cel Consulent Cel
Wie moet een informatieveiligheidsconsulent aanstellen? • De verplichting tot het aanstellen ve veiligheidsconsulent wordt in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (e- Gov decreet), vastgelegd voor elke instantie die: - persoonsgegevens verwerkt, - authentieke gegevensbron beheert, - tussenkomt bij mededeling v persoonsgegevens, - ondersteunt bij gebruikers- en toegangsbeheer.
Welke zijn de opdrachten en de rol van een veiligheidsconsulent? • Over het algemeen heeft de dienst belast met de informatieveiligheid een adviserende, stimulerende, documenterende en controlerende opdracht inzake informatieveiligheid. • De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. • Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico's niet voldoende ernstig zijn.
Gemeente en OCMW één gemeenschappelijke netwerk? • Gemeente en OCMW zijn 2 aparte entiteiten met elk hun specifieke finaliteiten. Dit betekent dat zowel de gemeente als het OCMW elk verantwoordelijk zijn voor hun eigen verwerkingen. Toch kunnen zij een gemeenschappelijk netwerk delen, maar er moeten voldoende veiligheidsmaatregelen genomen worden: 1. toegang d.m.v. paswoord; 2. een lijst van gemachtigden van de gemeente en een lijst van gemachtigden van OCMW; 3. toegang voor de gemachtigden van de gemeente moet beperkt worden tot de finaliteiten van de gemeente, toegang voor de gemachtigde van het OCMW moet beperkt worden tot de finaliteiten van het OCMW; 4. bijhouden van loggings. • Als gemeente en OCMW ook een gemeenschappelijk ICT-beleid willen uitbouwen, is een samenwerkingsakkoord tussen beiden vereist.
Gemeente en OCMW persoonsgegevens uitwisselen? • Zij zijn dus elk verantwoordelijke voor de verwerking van persoonsgegevens. • Als zij onderling persoonsgegevens willen uitwisselen, moet voor de elektronische uitwisseling vooraf een machtiging worden gevraagd.
Gemeente en OCMW eenzelfde informatieveiligheidsconsulent? • Ja. Deze persoon zal wel 2 verschillende veiligheidsplannen moeten opmaken, een voor de gemeente en een voor het OCMW. • Meer informatie omtrent het optreden van een veiligheidsconsulent voor gemeente en OCMW vindt u op de website van de Kruispuntbank van de Sociale Zekerheid (KSZ). • Bijkomende informatie vindt u in de rubriek ‘FAQ veiligheid en privacy’ op de website van de KSZ.
Managementsamenvatting 1. Wettelijke basis richtsnoeren • Bescherming persoonsgegevens, sociale en medische gegevens • Privacy (uniek identificeerbaar) – Verplichting informatieveiligheidsconsulent • Meldingsplicht VTC / KSZ – Collectieve informatieveiligheidsconsulent • Ja dit kan maar … 2. De richtsnoeren (website VTC) 3. Veiligheidscel – Minimale samenstelling – Gewenst (zie dashboard) 4. Veiligheidsplan – Risico analyse – Actieplan / uitvoering
ISO 27002 – 2013 norm / Richtsnoeren v3 1. Risicobeoordeling 2. Algemeen beveiligingsbeleid (security policy) 3. Organisatie van informatieveiligheid 4. Personeelsbeleid 5. Beheer van bedrijfsmiddelen 6. Toegang tot Persoonsgegevens 7. Cryptografie 8. Fysieke beveiliging (beveiliging omgeving) 9. Operationele beveiliging (beveiliging bedrijfsactiviteiten) 10. Communicatie beveiliging (netwerk en informatietransport) 11. Beheer van informatiesystemen (verwerving, ontwikkeling, onderhoud) 12. Beheer van leveranciersrelaties 13. Informatiebeveiligingsincidenten (incident management) 14. Bedrijfscontinuïteit (calamiteiten) 15. Naleving (compliance) Tool https://www.privacycommission.be/sites/privacycommission/files/documents/Steden%20en%20gemeenten_v%203.0_0.pdf v3 = 15 domeinen (controls)
Organisatie Ingrediënten informatie- veiligheid Machtigingen Sociale Gegevens Wetgeving Dagelijks beleid Persoons- gegevens Veiligheids- consulent Veiligheids- plan Interne Veiligheids- cel of Team
Informatie- veiligheidscel Verantw. Toegangen Informatie Veiligheids- consulent Interne Veiligheids- cel of Team Preventie- adviseur Dagelijks Bestuur ICT Verantwoordelijke HRM Verantwoordelijke … Planning Opvolging en controle
Veiligheidsplan • Informatieveiligheidsplan • Risico assessment • Acties tav de richtsnoeren (meerjarenplanning) • Jaarlijks verslag • Externe audit (3 jaren)
Behoefte Aanbod Regelgeving (kader) Dreiging Omgevingsanalyse …
Omgevingsanalyse … Behoefte Aanbod Dreiging Regelgeving
Gemeente- personeel
ISO 27002 – 2013 norm / Richtsnoeren v3 Strategisch • Risicobeoordeling • Beveiligingsbeleid • Organisatie Operationeel • Personeel • Bedrijfsmiddelen • Persoonsgegevens • Cryptografie • Fysieke • Operationeel • Communicatie • Informatiesystemen • Leveranciersrelaties Tactisch • Incidenten • Bedrijfscontinuïteit • Naleving
Eddy Van der Stock | V-ICT-OR www.v-ict-or.be | eddy.vds@v-ict-or.be ?

Recommended

Workinprogress - Informatieveiligheid voor uw gemeente
Workinprogress - Informatieveiligheid voor uw gemeenteWorkinprogress - Informatieveiligheid voor uw gemeente
Workinprogress - Informatieveiligheid voor uw gemeenteKING
 
Workin progress2015 gemeentebrede_informatiebeveiliging
Workin progress2015 gemeentebrede_informatiebeveiligingWorkin progress2015 gemeentebrede_informatiebeveiliging
Workin progress2015 gemeentebrede_informatiebeveiligingKING
 
IMPAKT: meten is weten: security audit
IMPAKT: meten is weten: security auditIMPAKT: meten is weten: security audit
IMPAKT: meten is weten: security auditNancy Nimmegeers
 
20160401 Leveranciersdag KING
20160401 Leveranciersdag KING20160401 Leveranciersdag KING
20160401 Leveranciersdag KINGKING
 
03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_web03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_webJan Terpstra
 
7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOC7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOCJan Terpstra
 
Zorg | 140514 | Best Practices Regionale Samenwerking: Informatievoorziening ...
Zorg | 140514 | Best Practices Regionale Samenwerking: Informatievoorziening ...Zorg | 140514 | Best Practices Regionale Samenwerking: Informatievoorziening ...
Zorg | 140514 | Best Practices Regionale Samenwerking: Informatievoorziening ...Flevum
 
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric
 

Recommended

Workinprogress - Informatieveiligheid voor uw gemeente
Workinprogress - Informatieveiligheid voor uw gemeenteWorkinprogress - Informatieveiligheid voor uw gemeente
Workinprogress - Informatieveiligheid voor uw gemeenteKING
 
Workin progress2015 gemeentebrede_informatiebeveiliging
Workin progress2015 gemeentebrede_informatiebeveiligingWorkin progress2015 gemeentebrede_informatiebeveiliging
Workin progress2015 gemeentebrede_informatiebeveiligingKING
 
IMPAKT: meten is weten: security audit
IMPAKT: meten is weten: security auditIMPAKT: meten is weten: security audit
IMPAKT: meten is weten: security auditNancy Nimmegeers
 
20160401 Leveranciersdag KING
20160401 Leveranciersdag KING20160401 Leveranciersdag KING
20160401 Leveranciersdag KINGKING
 
03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_web03-036.15_7 kritische succesfactoren voor een SOC_web
03-036.15_7 kritische succesfactoren voor een SOC_webJan Terpstra
 
7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOC7-kritische-succesfactoren-voor-een-SOC
7-kritische-succesfactoren-voor-een-SOCJan Terpstra
 
Zorg | 140514 | Best Practices Regionale Samenwerking: Informatievoorziening ...
Zorg | 140514 | Best Practices Regionale Samenwerking: Informatievoorziening ...Zorg | 140514 | Best Practices Regionale Samenwerking: Informatievoorziening ...
Zorg | 140514 | Best Practices Regionale Samenwerking: Informatievoorziening ...Flevum
 
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric
 
Leveranciersbijeenkomst ibd
Leveranciersbijeenkomst ibdLeveranciersbijeenkomst ibd
Leveranciersbijeenkomst ibdKING
 
20140422 de wijk wzo overleg
20140422 de wijk wzo overleg20140422 de wijk wzo overleg
20140422 de wijk wzo overlegGGD Zuid Limburg
 
Social Interface
Social InterfaceSocial Interface
Social InterfaceQFD Europe
 
visitiatiecommissie verslag Culemborg Geldermalsen Tiel
visitiatiecommissie verslag Culemborg Geldermalsen Tielvisitiatiecommissie verslag Culemborg Geldermalsen Tiel
visitiatiecommissie verslag Culemborg Geldermalsen TielYouri Lammerts van Bueren MSc
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeHenk Fernald
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01Jim Vlaming
 
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)MKBcyberadvies Nederland
 
Workinprogress ondersteuningsprogramma3 d
Workinprogress ondersteuningsprogramma3 dWorkinprogress ondersteuningsprogramma3 d
Workinprogress ondersteuningsprogramma3 dKING
 
Samenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoeren
Samenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoerenSamenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoeren
Samenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoerenVNG Realisatie
 
20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-Logisch20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-LogischVNG Realisatie
 
Allemaal, Iedereen, Iemand en Niemand
Allemaal, Iedereen, Iemand en Niemand Allemaal, Iedereen, Iemand en Niemand
Allemaal, Iedereen, Iemand en Niemand Maureen van Marle
 
Overzicht workshops sebyde academy
Overzicht workshops sebyde academyOverzicht workshops sebyde academy
Overzicht workshops sebyde academySebyde
 
Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...
Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...
Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...frankvansummeren
 
Peter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarPeter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarAlmereDataCapital
 
cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]Ruben Woudsma
 
De digitale paradox
De digitale paradox De digitale paradox
De digitale paradox SparklingCRM
 
Samenvatting vpt in integrale veiligheid
Samenvatting vpt in integrale veiligheidSamenvatting vpt in integrale veiligheid
Samenvatting vpt in integrale veiligheidExpertisecentrum Veilige Publieke Taak
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscanSebyde
 
Informatiekundige inrichting Sociaal Domein key-note
Informatiekundige inrichting Sociaal Domein key-noteInformatiekundige inrichting Sociaal Domein key-note
Informatiekundige inrichting Sociaal Domein key-noteOdinfo BV
 

More Related Content

Similar to IMPAKT: Richtsnoeren Vlaamse Overheid

Leveranciersbijeenkomst ibd
Leveranciersbijeenkomst ibdLeveranciersbijeenkomst ibd
Leveranciersbijeenkomst ibdKING
 
20140422 de wijk wzo overleg
20140422 de wijk wzo overleg20140422 de wijk wzo overleg
20140422 de wijk wzo overlegGGD Zuid Limburg
 
Social Interface
Social InterfaceSocial Interface
Social InterfaceQFD Europe
 
visitiatiecommissie verslag Culemborg Geldermalsen Tiel
visitiatiecommissie verslag Culemborg Geldermalsen Tielvisitiatiecommissie verslag Culemborg Geldermalsen Tiel
visitiatiecommissie verslag Culemborg Geldermalsen TielYouri Lammerts van Bueren MSc
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeHenk Fernald
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01Jim Vlaming
 
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)MKBcyberadvies Nederland
 
Workinprogress ondersteuningsprogramma3 d
Workinprogress ondersteuningsprogramma3 dWorkinprogress ondersteuningsprogramma3 d
Workinprogress ondersteuningsprogramma3 dKING
 
Samenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoeren
Samenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoerenSamenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoeren
Samenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoerenVNG Realisatie
 
20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-Logisch20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-LogischVNG Realisatie
 
Allemaal, Iedereen, Iemand en Niemand
Allemaal, Iedereen, Iemand en Niemand Allemaal, Iedereen, Iemand en Niemand
Allemaal, Iedereen, Iemand en Niemand Maureen van Marle
 
Overzicht workshops sebyde academy
Overzicht workshops sebyde academyOverzicht workshops sebyde academy
Overzicht workshops sebyde academySebyde
 
Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...
Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...
Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...frankvansummeren
 
Peter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarPeter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarAlmereDataCapital
 
cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]Ruben Woudsma
 
De digitale paradox
De digitale paradox De digitale paradox
De digitale paradox SparklingCRM
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscanSebyde
 
Informatiekundige inrichting Sociaal Domein key-note
Informatiekundige inrichting Sociaal Domein key-noteInformatiekundige inrichting Sociaal Domein key-note
Informatiekundige inrichting Sociaal Domein key-noteOdinfo BV
 

Similar to IMPAKT: Richtsnoeren Vlaamse Overheid (20)

Leveranciersbijeenkomst ibd
Leveranciersbijeenkomst ibdLeveranciersbijeenkomst ibd
Leveranciersbijeenkomst ibd
 
20140422 de wijk wzo overleg
20140422 de wijk wzo overleg20140422 de wijk wzo overleg
20140422 de wijk wzo overleg
 
Social Interface
Social InterfaceSocial Interface
Social Interface
 
visitiatiecommissie verslag Culemborg Geldermalsen Tiel
visitiatiecommissie verslag Culemborg Geldermalsen Tielvisitiatiecommissie verslag Culemborg Geldermalsen Tiel
visitiatiecommissie verslag Culemborg Geldermalsen Tiel
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awareness
 
Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01
 
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
 
Workinprogress ondersteuningsprogramma3 d
Workinprogress ondersteuningsprogramma3 dWorkinprogress ondersteuningsprogramma3 d
Workinprogress ondersteuningsprogramma3 d
 
Samenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoeren
Samenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoerenSamenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoeren
Samenwerksessie - 31 mei 2022 - Beschermingsbewind zelf uitvoeren
 
20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-Logisch20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-Logisch
 
Allemaal, Iedereen, Iemand en Niemand
Allemaal, Iedereen, Iemand en Niemand Allemaal, Iedereen, Iemand en Niemand
Allemaal, Iedereen, Iemand en Niemand
 
Overzicht workshops sebyde academy
Overzicht workshops sebyde academyOverzicht workshops sebyde academy
Overzicht workshops sebyde academy
 
Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...
Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...
Presentatie Het Veiligheidshuis, Samen Onder ééN Dak Symposium Movisie We...
 
Peter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarPeter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminar
 
cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]
 
De digitale paradox
De digitale paradox De digitale paradox
De digitale paradox
 
Samenvatting vpt in integrale veiligheid
Samenvatting vpt in integrale veiligheidSamenvatting vpt in integrale veiligheid
Samenvatting vpt in integrale veiligheid
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscan
 
Informatiekundige inrichting Sociaal Domein key-note
Informatiekundige inrichting Sociaal Domein key-noteInformatiekundige inrichting Sociaal Domein key-note
Informatiekundige inrichting Sociaal Domein key-note
 

IMPAKT: Richtsnoeren Vlaamse Overheid

  • 2. • Informatie heeft waarde • Waardevolle informatie moet we veilig stellen • Informatie heeft vaak een bepaalde gevoeligheid • Daarnaast moeten we ook de privacy beschermen • We hebben dus een aanpak nodig om informatie te beschermen Kernvragen: Waarom hebben we informatiebeveiliging nodig? Wat is de waarde van informatie? • Geldelijke waarde • Aantrekkelijk voor anderen (insiders of outsiders – met goede en kwade bedoelingen) • Nut voor u en nuttig voor anderen • Kwaliteit & tijdigheid zijn vaak van groot belang • Tenslotte is er ook de (potentiële) schade als gevolg van verkeerd gebruik of compromitteren van informatie
  • 3. Basisstelling: Informatiebeveiliging is ‘in essentie’ balans • Er is een relatie tussen gebruiksgemak en beveiliging • Als de beveiliging toeneemt, neemt het gebruiksgemak af
  • 4. Informatieveiligheid – organisatorisch kader ‘Richtsnoeren’ informatiebeveiliging van persoonsgegevens v 3.0 (oorsprong: oprichting KSZ met als toezichthouder POD-MI) Vandaag van toepassing bij verwerking vertrouwelijke persoonsgegevens binnen: 1- sociale context (OCMW) als 2- niet-sociale context (Gemeente) Toepassingsgebied? • Steden en gemeenten • Binnen instellingen die deel uitmaken van het netwerk dat beheerd wordt door de kruispuntbank van de sociale zekerheid • Uiteraard ook bij integratie van gemeente en OCMW (inkanteling) ‘De Richtsnoeren’ vormen een leidraad voor het implementeren van de ISMS-beheerscyclus (Information Security Management System) die de kwaliteit van het informatieveiligheidsproces op langere termijn beoogt te borgen en te verbeteren.
  • 6. Minimale veiligheidsmaatregelen gelden voor gemeente en OCMW? • De OCMW behoren tot het netwerk van de sociale zekerheid en moeten voldoen aan de minimale veiligheidsmaatregelen die zijn opgelegd door de Kruispuntbank van de Sociale Zekerheid (KSZ). Daarnaast zijn door de KSZ richtlijnen opgesteld met door iedere instelling na te streven veiligheidsdoeleindenm.b.t. alle domeinen van de informatieveiligheid.
  • 7. Minimale veiligheidsmaatregelen gelden voor gemeente en OCMW? • De gemeenten behoren niet tot het netwerk van de sociale zekerheid. • Omdat de samenwerking tussen gemeente en OCMW steeds nauwer wordt, is het de bedoeling om het veiligheidsniveau van de gemeente op te tillen naar het niveau van het OCMW. • Dergelijk proces vraagt tijd en inspanning. • Eenvormige richtsnoeren informatieveiligheid die gelden voor zowel OCMW als gemeente in Vlaanderen, gebaseerd op de minimale veiligheidsnormen van de KSZ.
  • 8. Gemeente en OCMW als één entiteit ‘het lokaal bestuur’? • Gemeente en OCMW zijn afzonderlijke entiteiten en hebben elk hun specifieke finaliteiten. Daardoor worden zij door de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, beschouwd als verschillende verantwoordelijken voor de verwerking.
  • 9. Gebruik en de machtigingen Privacy Wetgeving & ISO 2700X Kruispuntbank Sociale Zekerheid Rijksregister Minimale Normen KSZ Richtsnoeren Informatieveiligheid POD-MI VTC OCMW Gemeente MachtigingMachtiging Consulent Cel Consulent Cel
  • 10. Wie moet een informatieveiligheidsconsulent aanstellen? • De verplichting tot het aanstellen ve veiligheidsconsulent wordt in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (e- Gov decreet), vastgelegd voor elke instantie die: - persoonsgegevens verwerkt, - authentieke gegevensbron beheert, - tussenkomt bij mededeling v persoonsgegevens, - ondersteunt bij gebruikers- en toegangsbeheer.
  • 11. Welke zijn de opdrachten en de rol van een veiligheidsconsulent? • Over het algemeen heeft de dienst belast met de informatieveiligheid een adviserende, stimulerende, documenterende en controlerende opdracht inzake informatieveiligheid. • De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. • Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico's niet voldoende ernstig zijn.
  • 12. Gemeente en OCMW één gemeenschappelijke netwerk? • Gemeente en OCMW zijn 2 aparte entiteiten met elk hun specifieke finaliteiten. Dit betekent dat zowel de gemeente als het OCMW elk verantwoordelijk zijn voor hun eigen verwerkingen. Toch kunnen zij een gemeenschappelijk netwerk delen, maar er moeten voldoende veiligheidsmaatregelen genomen worden: 1. toegang d.m.v. paswoord; 2. een lijst van gemachtigden van de gemeente en een lijst van gemachtigden van OCMW; 3. toegang voor de gemachtigden van de gemeente moet beperkt worden tot de finaliteiten van de gemeente, toegang voor de gemachtigde van het OCMW moet beperkt worden tot de finaliteiten van het OCMW; 4. bijhouden van loggings. • Als gemeente en OCMW ook een gemeenschappelijk ICT-beleid willen uitbouwen, is een samenwerkingsakkoord tussen beiden vereist.
  • 13. Gemeente en OCMW persoonsgegevens uitwisselen? • Zij zijn dus elk verantwoordelijke voor de verwerking van persoonsgegevens. • Als zij onderling persoonsgegevens willen uitwisselen, moet voor de elektronische uitwisseling vooraf een machtiging worden gevraagd.
  • 14. Gemeente en OCMW eenzelfde informatieveiligheidsconsulent? • Ja. Deze persoon zal wel 2 verschillende veiligheidsplannen moeten opmaken, een voor de gemeente en een voor het OCMW. • Meer informatie omtrent het optreden van een veiligheidsconsulent voor gemeente en OCMW vindt u op de website van de Kruispuntbank van de Sociale Zekerheid (KSZ). • Bijkomende informatie vindt u in de rubriek ‘FAQ veiligheid en privacy’ op de website van de KSZ.
  • 15. Managementsamenvatting 1. Wettelijke basis richtsnoeren • Bescherming persoonsgegevens, sociale en medische gegevens • Privacy (uniek identificeerbaar) – Verplichting informatieveiligheidsconsulent • Meldingsplicht VTC / KSZ – Collectieve informatieveiligheidsconsulent • Ja dit kan maar … 2. De richtsnoeren (website VTC) 3. Veiligheidscel – Minimale samenstelling – Gewenst (zie dashboard) 4. Veiligheidsplan – Risico analyse – Actieplan / uitvoering
  • 16. ISO 27002 – 2013 norm / Richtsnoeren v3 1. Risicobeoordeling 2. Algemeen beveiligingsbeleid (security policy) 3. Organisatie van informatieveiligheid 4. Personeelsbeleid 5. Beheer van bedrijfsmiddelen 6. Toegang tot Persoonsgegevens 7. Cryptografie 8. Fysieke beveiliging (beveiliging omgeving) 9. Operationele beveiliging (beveiliging bedrijfsactiviteiten) 10. Communicatie beveiliging (netwerk en informatietransport) 11. Beheer van informatiesystemen (verwerving, ontwikkeling, onderhoud) 12. Beheer van leveranciersrelaties 13. Informatiebeveiligingsincidenten (incident management) 14. Bedrijfscontinuïteit (calamiteiten) 15. Naleving (compliance) Tool https://www.privacycommission.be/sites/privacycommission/files/documents/Steden%20en%20gemeenten_v%203.0_0.pdf v3 = 15 domeinen (controls)
  • 19. Veiligheidsplan • Informatieveiligheidsplan • Risico assessment • Acties tav de richtsnoeren (meerjarenplanning) • Jaarlijks verslag • Externe audit (3 jaren)
  • 23. ISO 27002 – 2013 norm / Richtsnoeren v3 Strategisch • Risicobeoordeling • Beveiligingsbeleid • Organisatie Operationeel • Personeel • Bedrijfsmiddelen • Persoonsgegevens • Cryptografie • Fysieke • Operationeel • Communicatie • Informatiesystemen • Leveranciersrelaties Tactisch • Incidenten • Bedrijfscontinuïteit • Naleving
  • 24. Eddy Van der Stock | V-ICT-OR www.v-ict-or.be | eddy.vds@v-ict-or.be ?