Organisatiebeheersing en informatieveiligheid

Slides:



Advertisements
Verwante presentaties
Het secundair onderwijs
Advertisements

Privacywetgeving - toegang tot het schooldossier
Analyse van incidenten
De zin en onzin van escrow
Edushock leerfestival
Menno Karres Lead Auditor
Organisatorische gevolgen van de privacywetgeving
2 Wat was toen het grootste het grootste probleem van de van de FOD?
Wie beschermt onze privacy?
Subsetten & Anonimiseren
Veiligheidsincidenten de afgelopen maand? 21 mei
Testdata Management Ketentest
Een gratis website voor uw appartement - waarom?
Inzet van docenten: planning, overzicht en kwaliteit
Ronde (Sport & Spel) Quiz Night !
Voorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014
Betrouwbaarheidstypologie
Gemeentelijke implementatie GFO Zaken
Klassieke AO Leseenheid1
Inkomensverzorger voor de sector zorg en welzijn
Het Nieuwe Werken Samenspel tussen IT en business.
© BeSite B.V www.besite.nl Feit: In 2007 is 58% van de organisaties goed vindbaar op internet, terwijl in 2006 slechts 32% goed vindbaar.
Beoordelen van docenten loont de moeite!
Nieuwe encyclopedie van de Vlaamse Beweging Frankie Schram 1 Nieuwe encyclopedie van de Vlaamse Beweging Werken met een webstek Fr. Schram 26/02/2000.
Welkom bij de presentatie van het
Uitbouw expertisecentrum voor webgebaseerde testing pag. 1 Webbased testing wordt steeds belangrijker Nu werkt elke onderzoeker met eigen middelen: versnippering.
WG archiveringVAC Brugge 17/01/ juli Op te volgen afspraken Aanduiden van coördinatoren per entiteit Contact opnemen met de beleidsdomeinarchivarissen.
Betrouwbaarheidstypologie
1 19 dec Rijnsburg 19 dec Rijnsburg. 2 Hebreeën 8 1 De hoofdzaak VAN ONS ONDERWERP is, dat wij zulk een hogepriester hebben, die gezeten is.
Werken aan Intergenerationele Samenwerking en Expertise.
Beschermde planten en dieren binnen omgevingsvergunning
1 Kwaliteitscultuur Bolognaseminarie Vlaamse Bologna-expertenteam 13 en 19 maart 2009.
User management voor ondernemingen en organisaties
2009 Tevredenheidsenquête Resultaten Opleidingsinstellingen.
PLAYBOY Kalender 2006 Dit is wat mannen boeit!.
Auditprogramma 2007 Resultaten Raadgevend Comité - 27 februari 2008
Coördinatiecel Vlaams e-government 16/09/2014 Studie Interbestuurlijk e-government... één jaar later Coördinatiecel Vlaams e-government (CORVE) Web:
Affligem, 23 april 2003 V-ICT-OR SHOPT IT. Affligem, 23 april 2003 Gebrek aan regelgeving, nood aan duidelijkheid oplossing : e-policy ? wettelijke beperkingen.
“Decentraal wat kan, centraal wat moet”
Schitterende Organisaties®
1 Controleplan 2005 Raadgevend comité Hotel President – donderdag 21 april 2005.
1 PROJECT PLANLAST LOKALE BESTUREN Prof. dr. Geert Bouckaert dr. Ellen Wayenberg dr. Wouter van Dooren Projectstuurgroep 7 maart 2006 – 9.30 uur.
Inleiding tot de multifunctionele aangifte
© de vries business consultancy, 2008
Sportraad 3 december AGENDA n verslag 14/10/2008 n overlijden n ledenbestand n data AV 2009 n aanwezigheid sportraad n sportonderscheidingen n verificatie.
ECHT ONGELOOFLIJK. Lees alle getallen. langzaam en rij voor rij
GIS-coördinator in Westerlo
De financiële functie: Integrale bedrijfsanalyse©
Hoe en waar wordt de keuze voor de nieuwe auto bepaald? AutoRai 2005 Amsterdam, 10 februari 2005 Anne Hoff Research Director Interview-NSS.
De juridische context van de digitale factuur.
september 2009 Aanbevelingen van Compliance professionals
E-Government binnen de sociale zekerheid
1 Zie ook identiteit.pdf willen denkenvoelen 5 Zie ook identiteit.pdf.
Samen sterk in verandering
Voorstelling VTC Informatieveiligheid softwareleveranciers
Vlaamse Reguleringsinstantie voor de Elektriciteits- en Gasmarkt Ervaringen bij opmaak stappenplan en organisatiebeheersing Netwerking organisatiebeheersing.
ZijActief Koningslust
De Bouwplaats-ID, een goed idee?
Privacy Adviesprocedure regelgeving VTC en CBPL Nieuwe privacyverordening Studienamiddag Wetgevingsleer November 2015 CBPL.
V-ICT-OR| Vlaamse ICT Organisatie “Samen het interbestuurlijk gegevensverkeer verbeteren” Regionale kenniskring Midwest dinsdag 26 april 2016 – Staden.
Informatieverkeer bij gemeentelijke handhaving
Wet op de gegevensbescherming
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
Cursus Interne auditor
Privacy Wat moet je weten van de nieuwe privacyverordening
« Noodzaak is de moeder van de uitvindingen»
Transcript van de presentatie:

Organisatiebeheersing en informatieveiligheid Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer Organisatiebeheersing en informatieveiligheid Caroline Vernaillen & Anne Teughels 21 maart 2013

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid INLEIDING Wie zijn wij Waarom informatieveiligheid Hoe past informatieveiligheid in organisatiebeheersing Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Overheidscommunicatie en informatieveiligheid WIE Wie zijn wij adviseurs van de VTC De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie Hoe:1° machtigen van die stromen 2° adviezen (regelgeving, VDI-decreet) 3° beantwoorden van vragen en begeleiding Opgericht bij E-GOV decreet Verantwoording aan Vlaams Parlement Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid WAAROM ‘De jongste maanden zagen we de fraudes bij onlinebankieren toenemen’, zegt CEO Michel Vermaerke van Febelfin, de Belgische federatie van de financiële sector. ‘Vaak gebruiken de fraudeurs persoonlijke informatie om het vertrouwen van de slachtoffers te winnen, en hen met een geloofwaardig verhaal te overtuigen om hun codes te openbaren. Met de virale video wilden we mensen duidelijk maken dat ze zulke informatie vaak zelf op het internet hebben achtergelaten. Soms zonder het zelf te beseffen.’ https://www.youtube.com/watch?v=F7pYHN9iC9I en enkele voorbeelden bij overheden … Vlaamse Toezichtcommissie

http://www. computerweekly http://www.computerweekly.com/news/2240084015/UK-government-loses-data-on-25-million-Britons   http://news.cnet.com/U.K.-government-loses-pensioner-data/2100-1029_3-6223493.html http://webwereld.nl/nieuws/108815/weer-certificatenleverancier-overheid-gehackt.html http://frontpage.fok.nl/nieuws/214628/1/1/50/franse-overheid-gehackt.html Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid WAAROM “NMBS heeft een groter probleem dan het denkt De gegevens van 1,5 miljoen NMBS-klanten zijn gelekt. En dat is een veel groter probleem dan wij denken. Dat dit zomaar kon gebeuren is al bedroevend. Maar de manier waarop de NMBS met deze situatie omgaat is nóg bedroevender. De NMBS ondernam via twitter weliswaar een minieme poging tot het aanbieden van verontschuldigingen, op zijn website is van enig excuus geen sprake. Integendeel, het spoorbedrijf gaat direct in de verdediging en minimaliseert het datalek. Het gaat om “een gedeelte” van het klantenbestand (anderhalf miljoen! anderhalf! miljoen!) dat maar “een heel korte tijd” beschikbaar zou zijn geweest (in werkelijkheid ging het om bijna een maand). Het zou bovendien enkel zichtbaar zijn voor wie “geavanceerde kennis heeft van zoekmachines”. Een geruststellende gedachte: je opa kon de gegevens niet raadplegen….” Bron: http://samfeys.be/nmbs-heeft-een-groter-probleem-dan-het-denkt/ Zie ook: http://datanews.knack.be/ict/nieuws/nmbs-lek-naar-justitie/article-4000229416512.htm Vlaamse Toezichtcommissie

De certificatendatabank van de Vlaamse energieregulator VREG staat opnieuw online. Zo luidt het donderdag bij de VREG. Dinsdagavond werd de databank na een programmeerfout offline gehaald. De energieregulator zal zelf contact opnemen met de 21 mensen van wie de gegevens verwijderd werden door het probleem. "We hebben opnieuw de vorige versie van de databank online gezet, nadat er een probleem geslopen was in de nieuwe software", aldus Sofie Lauwaert, woordvoerster van de VREG. Eigenaars van zonnepanelen die dinsdag inlogden op de certificatendatabank van de VREG, konden een tijd lang privégegevens van de 200.000 andere gebruikers bekijken en aanpassen, zelfs hun rekeningnummers. De meterstanden die ingevoerd werden toen er problemen waren met de databank, werden opnieuw verwijderd. "De VREG zal de 21 personen die hun meterstanden dinsdagavond tussen 18 en 22 uur invoerden, persoonlijk contacteren en vragen om de gegevens opnieuw door te geven", legt Lauwaert nog uit. Het is nog niet duidelijk wat er dinsdag precies foutgelopen is. (Belga/RDM) bron: http://ikgabouwen.knack.be/bouwen-renovatie/nieuws/certificatendatabank-vreg-opnieuw-online/article-4000221247672.htm Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid HOE Hoe past informatieveiligheid in organisatiebeheersing ? Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid HOE Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Bescherming van persoonsgegevens geldt in meeste domeinen organisatiebeheersing HR: personeelsgegevens! Communicatie: klantengegevens, cookies, sociale media, … Facilitair: gebouwinfrastructuur, toegang, bewaking Cultuur: deontologie, awareness, sociale media ICT: natuurlijk Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid HOE Bij de uitbouw of optimalisatie van de organisatiebeheersing moeten de volgende principes voor ogen gehouden worden:  Organisatiebeheersing is ingebouwd in de processen en loopt continu. Organisatiebeheersing is een zaak van iedereen. Organisatiebeheersing verschaft redelijke zekerheid. Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid HOE Bij de uitbouw of optimalisatie van de organisatiebeheersing moeten de volgende principes voor ogen gehouden worden:  Informatieveiligheid is ingebouwd in de processen en loopt continu. Privacy by Design Informatieveiligheid is een zaak van iedereen. Informatieveiligheid verschaft redelijke zekerheid. Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Organisatiebeheersing (of interne controle): redelijke zekerheid bekomen in de volgende domeinen: het bereiken van de opgelegde doelstellingen en het effectief en efficiënt beheer van risico's;  de naleving van regelgeving en procedures;  de betrouwbaarheid van de financiële en beheersrapportering;  de effectieve en efficiënte werking van de diensten en het efficiënt inzetten van de middelen; de bescherming van haar activa en de voorkoming van fraude.  Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid HOE Volgen van reglementen en procedures Voor Vlaamse overheidsinstanties gelden de privacywet het e-govdecreet Risicobeheersing of informatieveiligheid sensu stricto Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Volgen van reglementen en procedures De privacywet: wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP) http://vtc.corve.be/wetgeving.php Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Definitie van persoonsgegeven: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon … = zeer ruim = niet beperkt tot privacy/persoonlijke levenssfeer Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Definitie van verantwoordelijke voor de verwerking Niet de IT-dienst Niet de personeelsleden WEL het management – het hoofd van de entiteit = verantwoordelijk voor de naleving van de privacywet Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid HOE De principes van de privacywet naleven: Finaliteit Proportionaliteit Transparantie Veiligheid Finaliteit of doelmatigheid (art. 4, §1, 2°): Doeleinde van de verdere verwerking van persoonsgegevens? Oorspronkelijk doeleinde? De persoonsgegevens dienen te worden verkregen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, en enkel niet verder mogen worden verwerkt op een wijze die onverenigbaar is met de oorspronkelijk doeleinden van de gegevensverwerking. + eerlijk en rechtmatig (art. 4, §1, 1°) Proportionaliteit (art. 4, §1, 3°): de persoonsgegevens moeten toereikend, ter zake dienend en niet overmatig zijn, uitgaande van de doeleinden waarvoor ze worden verkregen of waarvoor ze verder worden verwerkt. + nauwkeurig, up to date (art. 4, §1, 4°) Bewaartermijn: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden (art. 4, §1, 5°).. Transparantie (art. 9-15): de gegevensverwerker heeft de verplichting tot informatie van de betrokken personen van wie de gegevens worden gebruikt (art. 9). Veiligheid (art. 16): gepaste technische en organisatorische maatregelen die nodig zijn voor de bescherming van persoonsgegevens tegen vernietiging, verlies, diefstal, wijziging van en toegang tot en iedere andere niet toegelaten verwerking = passend beveiligingsniveau. Veiligheidsconsulent: verplichting art. 9 e-gov.decreet + BVR 15/05/09 Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Het e-govdecreet: Decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer http://vtc.corve.be/docs/egov_decreet.pdf Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Artikel 6: verplichtingen Vlaamse Bestuursinstanties § 1. De instanties zijn in ieder geval verplicht : 1° persoonsgegevens te verwerken overeenkomstig de privacywet; 2° bij iedere nieuwe toepassing van het elektronische bestuurlijke gegevensverkeer vooraf adequate technische en organisatorische maatregelen in te bouwen voor de naleving van de privacywet; 3° op elk moment te waken over de kwaliteit en de veiligheid van gegevens en alle maatregelen te treffen om een perfecte bewaring van persoonsgegevens te garanderen; 4° de toezichtcommissie te ondersteunen bij de vervulling van haar opdrachten; 5° de toezichtcommissie informatie te verstrekken en inzage in alle dossiers en informatieverwerkende systemen te verschaffen telkens als ze daarom vraagt.   Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Artikel 8: machtigingsverplichting De elektronische mededeling van persoonsgegevens door een instantie vereist een machtiging van de Toezichtcommissie[...]   Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Artikel 9: Veiligheidsconsulent Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, § 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. http://vtc.corve.be/docs/E_GOV_decreet_BVR_VEILIGHEID.pdf http://vtc.corve.be/docs/Aanvraag_advies_aanstelling_veiligheidsconsulent.doc Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Sancties: niet naleven privacywet is strafbaar verwerking/gegevensstroom kan worden stopgezet tuchtsancties/ontslag Schadeclaims Vertrouwen in de Vlaamse Overheid krijgt een deuk Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Informatieveiligheid - risicobeheersing Leidraad Interne Controle Organisatiebeheersing: 10.1.6 Beveiligingsmanagement ICT-beveiliging is het geheel van maatregelen (voorschriften, processen, activiteiten,…) dat ervoor zorgt dat informatiesystemen (bedrijfs- en bestuursprocessen) een optimale bescherming genieten (rekening houdend met het kosten-baten principe) op het vlak van vertrouwelijkheid, privacy, integriteit en beschikbaarheid. Organisaties moeten hun ICT-veiligheidsbeleid uitstippelen vanuit drie invalshoeken: de menselijke factor (veiligheidscultuur), de processen en de technologie. Alleen op deze manier zal de integriteit, vertrouwelijkheid en beschikbaarheid van informatie immers gewaarborgd zijn. Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Informatieveiligheid ook informatie op papier betreft niet alleen persoonsgegevens maar ook andere vertrouwelijke informatie de beschikbaarheid en betrouwbaarheid van de informatie voor beleid, voor dossierverwerking,… Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid HOE Belangrijkste instrumenten: informatieveiligheidsconsulent informatieveiligheidsplan Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Informatieveiligheidsplan - ISO 27002 norm als inspiratie (cf. IT-dienst) - Richtsnoeren privacycommissie http://vtc.corve.be/infoveiligheid.php - Leidraad Organisatiebeheersing (p. 86) http://www.bestuurszaken.be/sites/bz.vlaanderen.be/files/Leidraad%20interne%20controle.pdf Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Informatieveiligheidsplan ! risico-analyse ! awareness ! voldoende middelen ! stappenplan ! contract met de verwerker (dataleverancier, (onder)aannemer) Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Informatieveiligheidsplan Hoofdstukken: Risico Beleid Organisatie: intern + externe partijen Bedrijfsmiddelen: classificatie informatie! Personeel Fysieke omgeving Communicatie en operationele procedures Toegang tot persoonsgegevens Aanschaffen, ontwikkelen en onderhouden informatiesystemen Informatiebeveiligingsincidenten Bedrijfscontinuïteit Naleving Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Organisatiebeheersing en informatieveiligheid Recente aanbeveling privacycommissie ivm datalekken http://vtc.corve.be/docs/CBPL_gegevenslekken_aanbeveling_01_2013.pdf CLOUDproblematiek Voor het probleem van de datalekken is er een recente aanbeveling van de privacycommissie die ook technische minimumvereisten oplegt. De cloudproblematiek is een ander recent opduikend thema waarover dringend verder moet nagedacht worden binnen de Vlaamse Overheid. Goede contracten met cloudproviders zijn een noodzaak, maar dan nog is het algemeen te bekijken, ook ruimer dan de bescherming van persoonsgegevens, of het verantwoord is dat de Vlaamse Overheid haar data laat inkijken door een andere mogendheid (in casu de Amerikaanse cf. Patriot Act en FISA Amendments Act) Vlaamse Toezichtcommissie

Organisatiebeheersing en informatieveiligheid BESLUIT Besluit : neem privacy en informatieveiligheid mee wanneer jullie plannen maken in de verschillende domeinen en integreer dit ook in de globale organisatiebeheersing Linken www.vlaamsetoezichtcommissie.be www.privacycommission.be Vragen? toezichtcommissie{at}vlaanderen{dot}be Vlaamse Toezichtcommissie