Organisatorische gevolgen van de privacywetgeving Beleidsdomein Financiën en Begroting

Vlaams Fiscaal Platform: betrokken partij Referentiedatabank koppeling persoonsgegevens aan informatie van authentieke bronnen Informatie verrijkt met belastinggegevens van burgers en rechtspersonen Gebruik: Vlaams Fiscaal platform Inspectie RWO Wonen O&V (Studietoelagen) Peter Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Agenda Op welke gegevens is de privacywetgeving van toepassing? De 3 criteria inzake goedkeuring en opgelegde beveiligingseisen Organisatorische maatregelen Hoe om te gaan met deze data voor andere doeleinden (finaliteit)? Peter Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Welke data? Authentieke bronnen met persoonsgegevens (rechtspersonen en natuurlijke personen) en zeker met Rijksregisternummer (natuurlijke personen) KBO nummer (KBO nummer) Elke zelf samengestelde set data die persoonsgegevens bevat; Bijvoorbeeld: Adressenlijst van klanten, leden, abonnementen Stakeholders databank (ARA) Maatregelen: Personen in kennis stellen van het aanmaken van de set Personen in kennis stellen van de data binnen de set Personen de mogelijkheid bieden de data te verbeteren Peter Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

De drie criteria voor de verwerking van persoonsgebonden authentieke bronnen De data Het proces (finaliteit) De derde partij (technisch aanleverende organisatie) Inclusief Security officer Veiligheidsconsulent Indienen bij: Privacy commissie Sectorale comités Peter & Rob Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Maatregelen Beleid (aanscherping VO veiligheidsbeleid) Organisatie ISO2700x Organisatie Security office, veiligheidsconsulent Functiescheiding Security awareness Technisch O.a. Fysieke beveiliging, authenticatie, scheiding omgevingen etc. Rob Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Awareness Toename van risico’s inzake security Vereist Toename van informatie die aan natuurlijke personen wordt gekoppeld Sterke groei van de organisatie Interne “kwaadwilligen” Uitbreiding en promotie van Internet diensten Externe “kwaadwilligen” Vereist Cultuuromslag Verscherping van de beveiligingsmaatregelen Bewustzijn bij alle betrokkenen Aansprakelijkheid Charter informatiebeveiliging Rob Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Gebruik voor andere doeleinden dan de aangevraagde processen (finaliteit) Voorbeelden Indicatoren Simulaties Testdata Akties Primaire depersonalisering Secundaire controle naar depersonaliseringsgraad in het kader van de selectie, Bijvoorbeeld: Functie: ICT manager Organisatie: Financiën en Begroting Peter Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Privacycommisie Wanneer komen ze? Wat wordt verlangd? Een klacht van een burger of rechtspersoon Wat wordt verlangd? Loggingsdata en toegangsdata aangaande het gebruik van de persoonsgegevens van de klager: Wanneer, wat, door wie, waarom Peter Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Strategie (technisch) Terughoudendheid mbt cloud technologie Eigen F&B datacenters Gezonde balans Gebruikersvriendelijkheid  Beveiligingsniveau Aanpak bescherming van persoonsgegevens, o.a. door Strikte scheiding van interne en externe netwerken Toegangscontrale (identificatie/authenticatie) EID, token of smartcard vereist voor alle partijen Aanvullende beveiliging gebruikersnetwerk (NAC) Monitoring/rapportering Toezicht veiligheidsconsulent Logging Rob Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Valkuilen bij het nemen van de maatregelen Interne organisatie Gebrek aan awareness Geen aandacht voor juiste proportionaliteit “de persoonsgegevens moeten, uitgaande van die doeleinden, toereikend, ter zake dienend en niet overmatig zijn”  Informatiebeveiliging wordt beschouwd als overhead Relatie derde partijen Positionering/mandaat Security Office Procedures Functiescheiding Reductie van gebruikersrechten (ontneming status?) Rob Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Valkuilen bij het nemen van de maatregelen Externe dienstverleners Geen proactieve sturing of ondersteuning van de klant Sabotage van en blokkeren van security regels naar zichzelf Signalering/rapportering van beveiligingslekken Competenties op het gebied van informatiebeveiliging ondermaats Functiescheiding Rob Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Valkuilen bij het nemen van de maatregelen Technische issues Evenwicht Beveiligingsniveau   Kosten Overhead Investeringen security maatregelen Effectieve registratie van bevraging persoonsgegevens (logging) Forensics Beveiligingsmaatregelen tegen hackers Monitoring Rob Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving

Maatregelen tegen datalekken Maatregelen ter bescherming ten opzichte van de buitenwereld Een volledige scheiding tussen de data en het internet Het asynchroon verlopen van de opvragingen Frequent worden er zelf hacker-testen uitgevoerd; Maatregelen tegen de risico’s van binnenuit De eigen medewerkers en de externen die in dienst zijn, zijn onderworpen aan een specifieke gedragscode inzake privacy data en kunnen enkel met pc’s van de overheid op het intern netwerk worden aangesloten Alle toegangen verlopen via het Eid Alle opvragingen van persoonsgegevens worden gelogd; Maatregelen tegen de risico’s van het gebruik van persoonlijke data Wanneer de data nodig zijn voor andere doelen dan dossiers (bvb.: rapporten, statistieken) worden de gegevens waar mogelijk gedepersonaliseerd. Rob Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving