Voorstelling VTC Informatieveiligheid softwareleveranciers

Slides:



Advertisements
Verwante presentaties
Privacywetgeving - toegang tot het schooldossier
Advertisements

Wie beschermt onze privacy?
Project ICT–ondersteuning voor kinderen met leerstoornissen
Regionale Technologische Centra en werkplekleren
Ministerie van Onderwijs en Vorming Agentschap voor Onderwijsdiensten (AgODi) AgODi Opleiding voor schoolsecretariaten Schooljaar
DSH : praktische afspraken Leuven 2 februari 2009.
De omgevingsanalyse binnen het strategisch meerjarenplan
Organisatiebeheersing en informatieveiligheid
Testdata Management Ketentest
Nieuwe regelgeving geattesteerde kadervorming
Een gratis website voor uw appartement - waarom?
Ministerie van Onderwijs en Vorming Agentschap voor Onderwijsdiensten (AgODi) AgODi Opleiding voor schoolsecretariaten
KENMERKEN VAN EEN STERK ICT-BELEID Jan Saveyn 5 maart 2007.
Kwaliteitshandboek CLB Genk-Maasland.
Gedachtewisseling met de Commissie Bestuurszaken, Binnenlands Bestuur, Decreetsevaluatie, Inburgering en Toerisme.
Voorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014
Motivatie van de professional Willy Limpens
Op 23 september 2011 nam de Vlaamse Regering akte van de conceptnota “open data”. De conceptnota schetst de beleidscontext en het regelgevend kader voor.
CVO-IVV de Avondschool centrum voor volwassenenonderwijs PROJECT “gecombineerd onderwijs”
Lunchcauserie Netwerk Klachtenmanagement 24 oktober 2011 Klachtenbehandeling per beleidsdomein. Kan dat? Hoe?
Kevin Lecossois Louis Massagé 28/03/2013
Hoe elektronische samenwerking tussen gemeente en OCMW qua privacybescherming correct organiseren ? Informatiesessies voor steden, gemeenten en OCMW’s.
E. Nezer SLA-actieplan teneinde de termijnen voor de invoering van de bijwerkingen te verkorten.
Ministerie van Onderwijs en Vorming Agentschap voor Onderwijsdiensten (AgODi) AgODi Opleiding voor schoolsecretariaten Schooljaar
RONDE VAN VLAANDEREN – VOLWASSENENONDERWIJS DE ADMINISTRATIE NA BBB (Beter Bestuurlijk Beleid)
Beleidsplanning in de nieuwe legislatuur Dirk Meulemans Peter Sels VVSG-Ronde van Vlaanderen Oktober 2011.
Flankerend onderwijsbeleid. Waarom? Vlaams lokaal onderwijsbeleid heeft lokale hefbomen nodig vb inzake kleuterparticipatie, spijbelen,… + lokale besturen.
Naar een nieuw decreet voor het Vlaams cultuur-erfgoedbeleid
Nieuwe procedure voor de aanduiding van de veiligheidsconsulent* (1)
Ministerie van Onderwijs en Vorming Agentschap voor Onderwijsdiensten (AgODi) AgODi Opleiding voor schoolsecretariaten
Ministerie van Onderwijs en Vorming Agentschap voor Onderwijsdiensten (AgODi) AgODi Opleiding voor schoolsecretariaten
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Maandag 20 juni 2005Lokaal Sociaal Beleid Gent Infovergadering LSB-FORUM KINDEROPVANG (Lokaal Overleg Kinderopvang)
Het centraal examen voor kandidaat-energiedeskundigen type A en type C
GIS-platform v-ict-or SHOPT-IT - 26 april 2012 Goedele Van der Spiegel.
Auditprogramma 2007 Resultaten Raadgevend Comité - 27 februari 2008
Kinderopvangzoeker 5 juli Voor ouders is opvang zoeken eenvoudiger Voor voorzieningen en lokaal loket zijn de vragen beter zichtbaar Voor het beleid.
Coördinatiecel Vlaams e-government 16/09/2014 Studie Interbestuurlijk e-government... één jaar later Coördinatiecel Vlaams e-government (CORVE) Web:
Affligem, 23 april 2003 V-ICT-OR SHOPT IT. Affligem, 23 april 2003 Gebrek aan regelgeving, nood aan duidelijkheid oplossing : e-policy ? wettelijke beperkingen.
1 PROJECT PLANLAST LOKALE BESTUREN Prof. dr. Geert Bouckaert dr. Ellen Wayenberg dr. Wouter van Dooren Projectstuurgroep 7 maart 2006 – 9.30 uur.
GECOMBINEERD ONDERWIJS
ZELFZORG EN LOKAAL SOCIAAL BELEID HOE MAKEN WE DIT HAALBAAR?
AgODi heet u WELKOM op de INFOSESSIE voor softwareleveranciers 18 juni 2014.
GO!2020 Workshop Hervorming SO. Eerste graad Eerste niveau  Tweede niveau  Derde niveau  Vierde niveau –Viveau.
Doelstellingenmanagement Ronde tafel - 23 oktober 2014.
Opdracht wetenschappelijke review leerlingenbegeleiding
Vlaamse Reguleringsinstantie voor de Elektriciteits- en Gasmarkt Ervaringen bij opmaak stappenplan en organisatiebeheersing Netwerking organisatiebeheersing.
Directiedag CLB 12 februari 2015
Uitdagingen voor regionale (samen)werking in Midden-West-Vlaanderen
Personeel & Organisatie Kengetallen voor de Vlaamse overheid HR-netwerk 18 januari 2002.
Ministerie van Onderwijs en Vorming Agentschap voor Onderwijsdiensten (AgODi) AgODi Opleiding voor schoolsecretariaten Schooljaar
SURF Juridisch normenkader cloudservices
Dataprotectie op school Jacques Verleijen ook een taak van het management.
Informatiebeveiliging in het onderwijs. Doel Bespreken van…. Wat moet de rol van Edustandaard zijn ten aanzien van informatiebeveiliging binnen het onderwijs?
Privacy Adviesprocedure regelgeving VTC en CBPL Nieuwe privacyverordening Studienamiddag Wetgevingsleer November 2015 CBPL.
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
V-ICT-OR| Vlaamse ICT Organisatie “Samen het interbestuurlijk gegevensverkeer verbeteren” Regionale kenniskring Midwest dinsdag 26 april 2016 – Staden.
Datacenter versus Cloud
Voorontwerp decreet lokaal bestuur: voorstel politiek standpunt
Informatieverkeer bij gemeentelijke handhaving
Doorontwikkelen BRON vo
DAGINDELING (Elke sessie duurt ca. 1,5 uur)
Informatieveiligheid
Risicoanalyse … waarom?
Digitale aangifte overlijden
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
Federale gevolgen integratie gemeente-OCMW
het Naoberhuis Algemene Verordening Gegevensbescherming
Transcript van de presentatie:

Voorstelling VTC Informatieveiligheid softwareleveranciers Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer Voorstelling VTC Informatieveiligheid softwareleveranciers Caroline Vernaillen 18 juni 2014

Vlaamse Toezichtcommissie WIE Wie zijn wij adviseurs van de VTC De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie (cf. decreet openbaarheid bestuur) → ook lokale besturen → ook onderwijsinstellingen Hoe: 1° machtigen van die stromen (criteria privacywet – zie verder) 2° adviezen (regelgeving, VDI-decreet) 3° beantwoorden van vragen en begeleiding Opgericht bij E-GOV decreet 18 juli 2008 Verantwoording aan Vlaams Parlement Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Informatieveiligheid Finaliteit of doelmatigheid (art. 4, §1, 2°): Doeleinde van de verdere verwerking van persoonsgegevens? Oorspronkelijk doeleinde? De persoonsgegevens dienen te worden verkregen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, en enkel niet verder mogen worden verwerkt op een wijze die onverenigbaar is met de oorspronkelijk doeleinden van de gegevensverwerking. + eerlijk en rechtmatig (art. 4, §1, 1°) Proportionaliteit (art. 4, §1, 3°): de persoonsgegevens moeten toereikend, ter zake dienend en niet overmatig zijn, uitgaande van de doeleinden waarvoor ze worden verkregen of waarvoor ze verder worden verwerkt. + nauwkeurig, up to date (art. 4, §1, 4°) Bewaartermijn: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden (art. 4, §1, 5°). Transparantie (art. 9-15): de gegevensverwerker heeft de verplichting tot informatie van de betrokken personen van wie de gegevens worden gebruikt (art. 9). Veiligheid (art. 16): gepaste technische en organisatorische maatregelen die nodig zijn voor de bescherming van persoonsgegevens tegen vernietiging, verlies, diefstal, wijziging van en toegang tot en iedere andere niet toegelaten verwerking = passend beveiligingsniveau. Veiligheidsconsulent: verplichting art. 9 e-gov.decreet + BVR 15/05/09 Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Informatieveiligheid Artikel 9: Veiligheidsconsulent Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, § 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Informatieveiligheid Voorwaarden in machtigingen Veiligheidsconsulent Veiligheidsplan →VTC: machtiging zal pas in werking treden voor lokale besturen die voldoen aan voorwaarden → Privacycommissie ook al zo’n voorwaarden Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Informatieveiligheid Veiligheidsconsulent en plan: afspraken voor onderwijsinstellingen Principe: elke onderwijsinstelling een VC Praktische oplossing: contactpersoon informatieveiligheid en ondersteuning vanuit het ministerie Onderwijs en Vorming Cf. machtigingen Lukt niet (tijdig) Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Informatieveiligheid Veiligheidsconsulent: afspraken voor onderwijsinstellingen Afspraken overleg VTC - AgODi – onderwijskoepels 20 maart 2013 De VTC vraagt dat de vertegenwoordigers van elk onderwijsnet tegen september - oktober 2013 een globale visie hebben hoe ze de informatieveiligheid in de scholen zullen aanpakken. Tegen midden 2014 moeten er concrete stappen in de richting van minimale veiligheidsnormen zijn gezet. De VTC zal ook de opschorting van de machtigingen opnieuw in overweging nemen. De verschillende onderwijsorganisaties zullen hiervoor ook samenwerken en ideeën omtrent de aanpak uitwisselen. Het GO! heeft hiervoor in een voorbereidende vergadering een oproep gelanceerd. AgODi is bereid om hierbij ondersteuning te bieden. Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Informatieveiligheid Sancties: niet naleven privacywet is strafbaar verwerking/gegevensstroom kan worden stopgezet tuchtsancties/ontslag Schadeclaims Vertrouwen in de overheid – onderwijsinstelling krijgt een deuk Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Informatieveiligheid Informatieveiligheid - risicobeheersing Informatieveiligheid ook informatie op papier betreft niet alleen persoonsgegevens maar ook andere vertrouwelijke informatie de beschikbaarheid en betrouwbaarheid van de informatie voor beleid, voor dossierverwerking,… Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Informatieveiligheid Informatieveiligheidsplan ISO 27002 norm als inspiratie (cf. IT-dienst) Richtsnoeren privacycommissie http://www.privacycommission.be/sites/privacycommission/files/documents/ richtsnoeren_informatiebeveiliging_0.pdf - Richtsnoeren voor steden en gemeenten en integratie met OCMW http://vtc.corve.be/infoveiligheid.php Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Informatieveiligheid Informatieveiligheidsplan ! risico-analyse ! awareness ! voldoende middelen ! stappenplan ! contract met de verwerker (art. 16, §1, WVP) Art. 16, §4, WVP + art. 17 Eur. PrivacyRL Art. 16, § 4, WVP: “Om de veiligheid van de persoonsgegevens te waarborgen, moeten de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek ter zake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's.” Art. 17 Eur. RL: “2. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke, in geval van verwerking te zijnen behoeve, een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking en moet toezien op de naleving van die maatregelen.” Vlaamse Toezichtcommissie

Vlaamse Toezichtcommissie Informatieveiligheid Informatieveiligheidsplan Hoofdstukken: Risico Beleid Organisatie: intern + externe partijen Bedrijfsmiddelen: classificatie informatie! Personeel Fysieke omgeving Communicatie en operationele procedures Toegang tot persoonsgegevens Aanschaffen, ontwikkelen en onderhouden informatiesystemen Informatiebeveiligingsincidenten Bedrijfscontinuïteit Naleving Vlaamse Toezichtcommissie

AANDACHTSPUNTEN Rol softwareleveranciers Vlaamse Toezichtcommissie

Welke gegevens AANDACHTSPUNTEN Toestemming Inzagerecht leerling Website “Ik beslis” van de Privacycommissie http://onderwijs.ikbeslis.be/onderwijs-privacy-op-school Geen nice to have – proportionaliteit Zie ook http://mijnkindonline.nl/publicaties/brochures/kinderen-en-online-privacy OPEMERKINGEN: GIMME: gratis communicatiesysteem om de papieren communicatie met de ouders te vervangen probleem: voor iedereen openbaar!! RRnr van ouders wordt opgevraagd: waarom? School antwoordt “omdat het voorzien is in onze toepassing”. Vlaamse Toezichtcommissie

Publiceren van persoonsgegevens: AANDACHTSPUNTEN Publiceren van persoonsgegevens: 2 keer nadenken!! Doorgeven van persoonsgegevens: kan niet zomaar: machtigingsplicht → VTC Facebook, klasfoto’s in kranten of op sociale media, website, … →eerst afvragen: is publicatie nodig? →finaliteit →zich bewust zijn dat het niet enkel eigen persoonsgegevens betreft, maar ook persoonsgegevens van anderen Foto’s: Privacywetgeving én portretrecht: toestemming (voor zover publicatie echt nodig?!) Vlaamse Toezichtcommissie

Communicatie en opslag in de Cloud: AANDACHTSPUNTEN Datalekken: aanbeveling Privacycommissie http://vtc.corve.be/docs/CBPL_gegevenslekken_aanbeveling_01_2013.pdf Communicatie en opslag in de Cloud: Patriot Act/FISAA (http://www.v-ict-or.be/nieuws/data-in-de-cloud-hou-rekening-met-de-amerikaanse-wetgeving ) & Snowden-relevaties/PRISMschandaal zie sites van The Guardian, het NRC Handelsblad, De Standaard, Datanews, Webwereld, … Over overheidscloud in Europa: zie aanbevelingen http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/good-practice-guide-for-securely-deploying-governmental-clouds Vlaamse Toezichtcommissie

Technische aanpassingen: Paswoordbeleid -Automatische back-ups AANDACHTSPUNTEN Technische aanpassingen: Paswoordbeleid -Automatische back-ups - Strikt persoonlijk = niet doorgeven Degelijk = lang genoeg, niet gemakkelijk te raden, combinatie letters, cijfers, symbolen, … Wijzigen (vb. 1x/jaar) Niet opschrijven Niet automatisch opslaan ≠ paswoorden voor ≠ toepassingen Vlaamse Toezichtcommissie

Informatieveiligheidsconsulent voor scholen AANDACHTSPUNTEN Nieuwe dienst? Informatieveiligheidsconsulent voor scholen Vlaamse Toezichtcommissie

Vragen? toezichtcommissie{at}vlaanderen{dot}be Linken www.vlaamsetoezichtcommissie.be www.privacycommission.be Vragen? toezichtcommissie{at}vlaanderen{dot}be Vlaamse Toezichtcommissie