De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

KSZ-BCSS eGovernment, eHealth en bescherming van de privacy Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Gedelegeerd bestuur Smals.

Verwante presentaties


Presentatie over: "KSZ-BCSS eGovernment, eHealth en bescherming van de privacy Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Gedelegeerd bestuur Smals."— Transcript van de presentatie:

1 KSZ-BCSS eGovernment, eHealth en bescherming van de privacy Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Gedelegeerd bestuur Smals vzw Sint-Pieterssteenweg 375 B-1040 Brussel Website KSZ: Persoonlijke website:

2 KSZ-BCSS 2 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 eGovernment: verwachtingen gebruikers n effectieve dienstverlening door de overheid n degelijke ondersteuning van het overheidsbeleid n geïntegreerde diensten -afgestemd op de concrete situatie van de gebruikers, waar mogelijk gepersonaliseerd -aangeboden bij evenementen die zich voordoen tijdens hun levenscyclus (geboorte, school, werk, verhuis, ziekte, pensioen, overlijden, start van een onderneming, …) -over overheidsniveaus, overheidsdiensten en private instanties heen n afgestemd op de eigen processen n met een minimum aan kosten en administratieve formaliteiten n zo mogelijk automatisch verstrekt n met actieve inbreng van de gebruiker (zelfbediening - zelfsturing) n performant en gebruiksvriendelijk aangeboden n betrouwbaar, veilig en permanent beschikbaar n via de kanalen van hun keuze (rechtstreeks contact, telefoon, elektronisch, …) n met respect voor de bescherming van de persoonlijke levenssfeer

3 KSZ-BCSS 3 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 eHealth: verwachtingen gebruikers n optimale kwaliteit van de gezondheidszorg n optimale veiligheid van de patiënt n degelijke ondersteuning van het gezondheidszorgbeleid n geïntegreerde diensten -multidisciplinair -holistisch -continu -over zorginstellingen en zorgverstrekkers heen n met een minimum aan kosten en administratieve formaliteiten n met actieve inbreng van de gebruiker (zelfbediening - zelfsturing) n performant en gebruiksvriendelijk aangeboden n betrouwbaar, veilig en permanent beschikbaar n via de kanalen van hun keuze (rechtstreeks contact, telefoon, elektronisch, …) n met respect voor de bescherming van de persoonlijke levenssfeer

4 KSZ-BCSS 4 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Kruispuntbankmodel n organisatie van een goed beveiligde en efficiënte elektronische gegevensuitwisseling en procesoptimalisatie tussen tal van autonome actoren n met respect voor hun autonomie en de hen toebedeelde opdrachten n zonder massale centrale opslag van persoonsgegevens n met het oog op een geïntegreerde elektronische dienstverlening die beantwoordt aan de verwachtingen van de gebruikers (burgers, ondernemingen, beroepsbeoefenaars, …) n op basis van gemeenschappelijke principes inzake -modellering van informatie -eenmalige inzameling en hergebruik van informatie -beheer van informatie in gedistribueerde authentieke bronnen -elektronische uitwisseling van informatie -beveiliging van informatie en bescherming van de persoonlijke levenssfeer n gecoördineerd, gestimuleerd en georganiseerd door een dienstenintegrator met een kruispuntfunctie

5 KSZ-BCSS 5 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Privacy: basisprincipes in reglementering n goed uitgewerkte reglementering inzake bescherming van de persoonlijke levenssfeer bevat basisprincipes -eerlijke en rechtmatige verwerking -doelbinding: verwerking voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden zowel bij de verwerving van de persoonsgegevens als bij de verdere verwerking ervan (verenigbaarheid met initieel doeleinde) -evenredigheid: de verwerkte persoonsgegevens moeten, in functie van het doeleinde van de verwerking, toereikend ter zake dienend en niet overmatig zijn -kwaliteit bijwerken verbeteren verwijderen

6 KSZ-BCSS 6 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Privacy: basisprincipes in reglementering n goed uitgewerkte reglementering inzake bescherming van de persoonlijke levenssfeer bevat basisprincipes -redelijke bewaarduur -informatieverstrekking bij inzameling van persoonsgegevens bij de betrokkene bij registratie/mededeling van persoonsgegevens -gepaste technische en organisatorische veiligheidsmaatregelen, gebaseerd op een afweging tussen stand van de techniek en kosten van de maatregelen aard van de gegevens en potentiële risico’s -rechten van het datasubject informatie kennisname verbetering verwijdering -specifieke regels voor de verwerking van gevoelige, gezondheids- en gerechtelijke gegevens

7 KSZ-BCSS 7 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Privacy: concrete vormgeving n homogeen geheel van maatregelen over alle betrokken instanties heen: de zwakste schakel bepaalt de graad van veiligheid -structureel: beveiligende effecten voortvloeiend uit het concept -organisatorisch -qua personeel -juridisch -technisch -fysisch n informatieveiligheid en privacybescherming moeten opgenomen zijn in het waardenkader van elke informatieverwerkende instantie en dus een dagdagelijkse bekommernis zijn van elkeen bij elke taakuitvoering, en vanaf de ontwerpfase in informatiesystemen worden ingebouwd

8 KSZ-BCSS 8 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Structurele maatregelen n vermijden van onnodige centrale gegevensopslag: dienstenintegratie, geen gegevensintegratie Internet VPN over internet FedMAN Diensten- repository FOD POD FOD ISZ Diensten- repository Extranet sociale zekerheid ISZ Diensten- repository Extranet gewest of gemeenscha p GOD Diensten- repository Diensten- integrator (Fedict) Diensten- integrator (KSZ) Diensten- integrator (eHealth-platform) Diensten- integrator (Corve, Easi-wal CIBG, …) Ziekenhuis Huisarts

9 KSZ-BCSS 9 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Structurele maatregelen n verwijzingsrepertoria -structuur wie-waar-hoe-wanneer-tabel (personenrepertorium): welke personen bezitten in welke hoedanigheden dossiers bij welke actoren m.b.t. welke periodes ? wat-waar-tabel (gegevensbeschikbaarheidstabel): welke soorten persoonsgegevens zijn beschikbaar bij welke soorten actoren in de verschillende soorten dossiers ? wie-krijgt-wat-tabel (toegangsmachtigingstabel): welke persoonsgegevens mogen welke soorten actoren verkrijgen m.b.t. de verschillende soorten dossiers en m.b.t. welke periodes ? welke persoonsgegevens worden m.b.t. de verschillende soorten dossiers in welke omstandigheden automatisch meegedeeld ? -functies routering van informatie preventieve toegangscontrole automatische mededeling van gewijzigde gegevens -geen massale centrale opslag van inhoudelijke persoonsgegevens

10 KSZ-BCSS 10 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Structurele maatregelen n oprichting van Sectorale Comités in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL) -bestaande uit vertegenwoordigers van de CBPL onafhankelijke specialisten inzake het domein (bvb. sociale zekerheid, gezondheidszorg, …), aangewezen door de Kamer van Volksvertegenwoordigers -taken verstrekken van machtigingen tot (elektronische) uitwisseling van persoonsgegevens, buiten de gevallen waarin dit is toegelaten bij wet vaststellen van organisatie en policies inzake informatieveiligheid bij de verwerking van persoonsgegevens in het betrokken domein verstrekking van adviezen en aanbevelingen inzake informatieveiligheid bij de verwerking van persoonsgegevens in het betrokken domein behandeling van klachten inzake inbreuken op informatieveiligheid bij de verwerking van persoonsgegevens in het betrokken domein

11 KSZ-BCSS 11 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Structurele maatregelen n preventieve controle op de rechtmatigheid van de uitwisseling van persoonsgegevens door een dienstenintegrator (KSZ, eHealth-platform, Fedict, Corve, Easi-Wal, CIBG, …) -die onafhankelijk is van de leverancier en de gebruiker van de persoonsgegevens (trusted third party of TTP) -die zelf geen inhoudelijke verwerking van persoonsgegevens verricht -die idealiter wordt beheerd door vertegenwoordigers van de datasubjecten n elke elektronische uitwisseling van persoonsgegevens wordt gelogd om eventueel oneigenlijk gebruik ex post te kunnen traceren

12 KSZ-BCSS 12 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Structurele maatregelen n informatieveiligheidsdienst bij elke betrokken organisatie met een adviserende, stimulerende, documenterende en intern controlerende functie n erkende, gespecialiseerde informatieveiligheidsdienst(en) die interne informatieveiligheidsdiensten ondersteunen n werkgroepen inzake informatieveiligheid en privacybescherming in de onderscheiden domeinen n transparantie t.a.v. de datasubjecten -de machtigingen van de Sectorale Comités zijn publiek -telkens persoonsgegevens worden gebruikt voor een beslissing, worden aan de betrokkene de gebruikte persoonsgegevens meegedeeld bij de mededeling van de beslissing -elke persoon heeft recht op toegang en, in geval de gegevens onjuist zijn, op verbetering van zijn eigen persoonsgegevens, inclusief de loggings

13 KSZ-BCSS 13 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Principe van "cirkels van vertrouwen" n doel -vermijden van onnodige centralisatie -vermijden van onnodige bedreigingen voor de bescherming van de persoonlijke levenssfeer -vermijden van meervoudige identieke controles en opslag van loggings n methode: taakverdeling tussen de bij elektronische dienstverlening betrokken instanties met duidelijke afspraken inzake -wie welke authenticaties, verificaties en controles verricht aan de hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is -hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld -wie welke loggings bijhoudt -hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een controle-orgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt

14 KSZ-BCSS 14 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Kader voor andere maatregelen n kader voor maatregelen op organisatorisch, technisch, fysisch en personeelsvlak: ISO-normenreeks beveiligingsbeleid, stapsgewijze verfijnd via policies -beveiligingsorganisatie -classificatie en beheer van bedrijfsmiddelen -beveiligingseisen t.a.v. personeel -fysieke beveiliging van de omgeving (oa encryptie) -beheer van communicatie- en bedieningsprocessen -toegangsbeveiliging -ontwikkeling en onderhoud van systemen -bijzondere eisen bij de verwerking van persoonsgegevens -continuïteitsmanagement -interne en externe controle op de naleving -communicatie t.a.v. de klanten en publieke opinie over het beleid en de maatregelen inzake informatieveiligheid en privacybescherming

15 KSZ-BCSS 15 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Voorbeeld: gebruikers- & toegangsbeheer n doel -waarborgen dat enkel toegangsgerechtigde instanties toegang krijgen -tot die persoonsinformatie waartoe zij toegang mogen hebben overeenkomstig de wet of de machtigingen van het bevoegde Sectoraal Comité -en m.b.t. de personen waarover zij de betrokken persoonsinformatie nodig hebben voor de uitoefening van hun taken n vereisten -beheer van toegangsautorisaties met aanduiding welke instantie/toepassing in welke hoedanigheid in welke situatie toegang mag hebben tot welke soorten gegevens m.b.t. welke personen over welke periode

16 KSZ-BCSS 16 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Gebruikers- en toegangsbeheer n vereisten -authentisering van de identiteit van de gebruiker, bijvoorbeeld aan de hand van diens elektronische identiteitskaart -eventueel on-line verificatie van de hoedanigheid van de gebruiker door een elektronische raadpleging van de authentieke gegevensbank(en) met de hoedanigheden -eventueel on-line verificatie van de mandaten van de gebruiker om op te treden namens een persoon door een elektronische raadpleging van de authentieke gegevensbank(en) met de mandaten -identificatie van het datasubject

17 KSZ-BCSS 17 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Gebruikers- en toegangsbeheer n uitgewerkte organisatie -de autorisatie tot gebruik van een dienst wordt verstrekt door de aanbieder van de dienst, indien nodig mits een machtiging door het bevoegde Sectoraal Comité -de conformiteit van een concrete vraag om toegang met de toegangsautorisaties wordt preventief gevalideerd door de bevoegde onafhankelijke dienstenintegrator, o.a. door gebruik van de verwijzingsrepertoria -alle toegangen worden elektronisch gelogd op het niveau van de gebruiker om in geval van klachten achteraf te kunnen nagaan of de toegang rechtmatig was (enkel wie-wat-wanneer, geen inhoud) -de toegang tot de loggings is strikt beveiligd

18 KSZ-BCSS 18 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Gebruikers- en toegangsbeheer n uitgewerkte organisatie -de authenticatie van de identiteit van de gebruiker geschiedt in functie van het vereiste beveiligingsniveau door de elektronische identiteitskaart een gebruikersnummer, paswoord en burgertoken een gebruikersnummer en paswoord -de verificatie van hoedanigheden en mandaten geschiedt door een toegang tot gevalideerde authentieke bronnen -het geheel is uitgebouwd via een generiek policy enforcement model

19 KSZ-BCSS 19 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Policy Enforcement Model Gebruiker Policy Toepassing (PEP) Toepassing Policy Beslissing(PDP) Actie op toepassing Beslissings aanvraag Beslissings antwoord Actie op toepassing TOEGESTAAN Policy Informatie (PIP) Informatie Vraag/ Antwoord Policy Administratie (PAP) Ophalen Policies Authentieke bron Policy Informatie (PIP) Informatie Vraag/ Antwoord Policy repository Actie op toepassing GEWEIGERD Beheerder Autorisatie beheer Authentieke bron

20 KSZ-BCSS 20 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Policy Enforcement Point (PEP) n onderscheppen van de autorisatieaanvraag met alle beschikbare informatie inzake de gebruiker, de gevraagde actie, de resources en de omgeving n de autorisatieaanvraag doorsturen naar het Policy Decision Point (PDP) en een autorisatiebeslissing afdwingen n toegang verlenen tot de toepassing en relevante credentials meegeven Gebruiker Policy Toepassing (PEP) Toepassing Policy Beslissing(PDP) Actie op toepassing Beslissings aanvraag Beslissings antwoord Actie op toepassing TOEGESTAAN Actie op toepassing GEWEIGERD

21 KSZ-BCSS 21 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Policy Decision Point (PDP) n op basis van de ontvangen autorisatieaanvraag de passende autorisation policy opzoeken in de Policy Administration Point(s) (PAP) n de policy evalueren en, zo nodig, de relevante informatie ophalen uit de Policy Information Point(s) (PIP) n de autorisatiebeslissing (permit/deny/not applicable) nemen en doorsturen naar het PEP Policy Toepassing (PEP) Policy Beslissing(PDP) Beslissings aanvraag Beslissings antwoord Policy Informatie (PIP) Vraag / Antwoord Policy Administratie (PAP) Ophalen Policies Policy Informatie (PIP) Informatie Vraag/ Antwoord Informatie

22 KSZ-BCSS 22 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Policy Administration Point (PAP) n omgeving voor het bewaren en beheren van de autorisation policies door de bevoegde perso(o)n(en) aangeduid door de verantwoordelijke voor de toepassing n ter beschikking stellen van de autorisation policies aan het PDP PDP PAP Ophalen Policies Beheerder Autorisatie beheer Policy repository

23 KSZ-BCSS 23 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Policy Information Point (PIP) n ter beschikking stellen aan het PDP van informatie voor het beoordelen van de autorisation policies (authentieke bronnen met hoedanigheden, mandaten, …) PDP PIP1 Informatie Vraag/ Antwoord Authentieke bron PIP2 Authentieke bron Informatie Vraag/ Antwoord

24 KSZ-BCSS 24 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 APPLICATIONS AuthorisationAuthen- tication PEP Role Mapper USER PAP ‘’Kephas’’ Role Mapper DB PDP Role Provider PIP Attribute Provider Role Provider DB UMAF PIP Attribute Provider DB XYZ WebApp XYZ APPLICATIONS AuthorisationAuthen- tication PEP Role Mapper USER WebApp XYZ PIP Attribute Provider PAP ‘’Kephas’’ Role Mapper DB PDP Role Provider Role Provider DB Beheer GAB PIP Attribute Provider DB XYZ PIP Attribute Provider DB Gerechts- deurwaar- ders PIP Attribute Provider DB Mandaten eHealth APPLICATIONS AuthorisationAuthen- tication PEP Role Mapper USER PAP ‘’Kephas’’ Role Mapper DB PDP Role Provider PIP Attribute Provider Role Provider DB RIZIV PIP Attribute Provider DB XYZ WebApp XYZ Beheer GAB PIP Attribute Provider DB Mandaten Sociale sector (KSZ) Niet-sociale FOD’s (Fedict) Beheer GAB DB XYZ Implementatie over sectoren heen

25 KSZ-BCSS 25 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 UN Public Service Award 2006

26 KSZ-BCSS 26 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 European Public Service Award 2007

27 KSZ-BCSS 27 Kruispuntbank Sociale ZekerheidBrussel, 18 april 2008 Voor meer informatie n website van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer -http://www.privacycommission.behttp://www.privacycommission.be n website Kruispuntbank van de Sociale Zekerheid -http://www.ksz.fgov.behttp://www.ksz.fgov.be n persoonlijke website Frank Robben -http://www.law.kuleuven.ac.be/icri/frobbenhttp://www.law.kuleuven.ac.be/icri/frobben


Download ppt "KSZ-BCSS eGovernment, eHealth en bescherming van de privacy Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Gedelegeerd bestuur Smals."

Verwante presentaties


Ads door Google