Download - 1 Veiligheidssessie 2de semester 2013 Programmatorische Overheidsdienst Maatschappelijke Integratie,
1
Programmatorische Overheidsdienst Maatschappelijke Integratie,
2
PROGRAMMAPROGRAMMA1) Voorstelling van de consulent
2) Kort overzicht van de deontologische regels van de leden van de raad voor maatschappelijk welzijn
3) Verplichtingen die van kracht zijn in verband met de mailboxen van de leden van de raad voor maatschappelijk welzijn
4) Richtlijnen van de KSZ voor de clouds (nog niet officieel erkend door de veiligheidsgroep die hiervoor werd opgericht).
5) Windows 365: korte samenvatting.
6) Nieuwe methode voor het aanwijzen van de veiligheidsconsulent
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Vragen of onderwerpen die moeten worden aangehaald
Het is aan jullie!
4
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 1VEILIGHEIDSCONSULENT 1
Programmatorische Overheidsdienst Maatschappelijke Integratie,
DE CONSULENTEN VOOR MAATSCHAPPELIJK WELZIJN WETEN NIET:
wat informatieveiligheid is;
wat een veiligheidsconsulent is;
wat zij moeten naleven om in orde
te zijn met de minimumnormen.
5
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 2 VEILIGHEIDSCONSULENT 2
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Informatieveiligheid is:
- de preventie en snelle en efficiënte herstelling van schade aan de sociale gegevens
- en van de onwettige schendingen van het privéleven van de betrokkenen.
6
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 3 VEILIGHEIDSCONSULENT 3
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De informatieveiligheidsdienst ziet toe op de naleving binnen de instelling van de veiligheidsvoorschriften opgelegd door of krachtens een wetsbepaling.
KB 12/08/1993
7
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 4 VEILIGHEIDSCONSULENT 4
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De informatieveiligheidsdienst heeft een: adviserende, stimulerende, documenterende, controlerende taak
8
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 5VEILIGHEIDSCONSULENT 5
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De informatieveiligheidsdienst
adviseert de verantwoordelijke voor
het dagelijks bestuur (Secretaris)
van zijn OCMW, op diens verzoek of
op eigen initiatief, omtrent alle
aspecten van de informatieveiligheid.
9
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 6 VEILIGHEIDSCONSULENT 6
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Tenzij de risico’s niet
voldoende ernstig zijn, wordt
het advies schriftelijk en
gemotiveerd uitgebracht.
10
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 7 VEILIGHEIDSCONSULENT 7
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Binnen de tijdspanne …. maximum drie
maanden beslist de verantwoordelijke voor
het dagelijks bestuur:
het advies al dan niet op te volgen en deelt hij de
veiligheidsdienst de genomen beslissing mee.
in geval de beslissing van een schriftelijk advies
afwijkt, dient de mededeling ervan op een
schriftelijke en gemotiveerde wijze te geschieden.
11
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 8VEILIGHEIDSCONSULENT 8
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De informatieveiligheidsdienst bevordert
de naleving van de
veiligheidsvoorschriften opgelegd door
een bepaling ………en het aannemen van
een veiligheidsgedrag bij de personen
tewerkgesteld in het OCMW.
12
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 9 VEILIGHEIDSCONSULENT 9
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De
informatieveiligheidsdienst
legt de nodige documentatie
aan met betrekking tot de
informatieveiligheid.
13
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 10 VEILIGHEIDSCONSULENT 10
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De veiligheidsconsulent ziet tot op de naleving,
binnen het OCMW, van de
veiligheidsvoorschriften opgelegd door een
wetsbepaling … Alle vastgestelde inbreuken
worden schriftelijk en uitsluitend aan de
verantwoordelijke voor het dagelijks beheer van
de instelling meegedeeld, vergezeld van de
nodige adviezen om dergelijke inbreuken in de
toekomst te vermijden.
14
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 11 VEILIGHEIDSCONSULENT 11
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De veiligheidsconsulenten en hun
eventuele adjuncten kunnen niet van
deze functie worden ontheven wegens
meningen die zij uiten of daden die zij
stellen in het kader van de goede
uitoefening van hun functie.
15
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 12VEILIGHEIDSCONSULENT 12
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De informatidveiligheidsdienst
werkt onder het rechtstreeks
functioneel gezag van de
verantwoordelijke voor het
dagelijks bestuur van het OCMW.
16
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 13VEILIGHEIDSCONSULENT 13
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Hij werkt nauw samen met de diensten
waarin zijn tussenkomst is vereist of kan
zijn, inzonderheid:
met de informaticadienst;
het CVGV.
17
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 14VEILIGHEIDSCONSULENT 14
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De veiligheidsconsulent stelt ten behoeve van de
verantwoordelijke voor het dagelijks bestuur een
ontwerp van veiligheidsplan op voor een termijn
van 3 jaar, met aanduiding van de middelen op
jaarbasis die vereist zijn om het plan uit te voeren.
Dit ontwerp wordt minstens een maal per jaar
herzien en zo nodig aangepast. Het ontwerp van
veiligheidsplan wordt beschouwd als een advies
18
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 15VEILIGHEIDSCONSULENT 15
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De informatieveiligheidsdienst stelt ten
behoeve van de verantwoordelijke voor
het dagelijks bestuur van de instelling een
jaarverslag op.
19
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 16VEILIGHEIDSCONSULENT 16
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De vastgelegde opdrachten van de
informatieveiligheidsdienst hebben ook
betrekking op de bewaring, de verwerking
of de uitwisseling van sociale gegevens
van persoonlijke aard die voor rekening
van het OCMW geschieden door derden
(softwarehuizen, gemeentebestuur, enz.).
20
VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 17VEILIGHEIDSCONSULENT 17
Programmatorische Overheidsdienst Maatschappelijke Integratie,
21
Korte samenvatting van de deontologische regels van de leden van de raad voor maatschappelijk welzijn
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Het respect van het privéleven A. Het geheim
Binnen het OCMW is het respect van het beroepsgeheim een gebiedende sociale noodzaak.De verplichting tot het beroepsgeheim wordt eerst bevestigd door artikel 458 van het Strafwetboek,
Alle informatie die wordt ontvangen of vastgesteld bij de uitoefening van het beroep of van het mandaat valt onder het beroepsgeheim.
22
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De organieke OCMW-wet van 8 juli 1976 verduidelijkt bovendien dat: de leden van de raad, alsmede alle andere
personen, die krachtens de wet vergaderingen van de raad, het vast bureau en de bijzondere comités bijwonen, zijn tot geheimhouding verplicht (art. 36, al. 2);
deze bepalingen zijn mede van toepassing op de personeelsleden van het OCMW (art. 50).
Korte samenvatting van de deontologische regels van de leden van de raad voor maatschappelijk welzijn
23
Korte samenvatting van de deontologische regels van de leden van de raad voor maatschappelijk welzijn
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Zo zijn, bij het OCMW, niet enkel de
maatschappelijk werkers, maar alle
personeelsleden (ook het ondersteunend
personeel) en de mandaathouders tot
geheimhouding verplicht.
24
Korte samenvatting van de deontologische regels van de leden van de raad voor maatschappelijk welzijn
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De leden van de raad en de personen die
de vergadering mogen bijwonen mogen de
inhoud van de besprekingen en
deliberaties, de standpunten, opinies en
stellingnames, noch de manier waarop de
stemming verloopt, openbaar maken, zelfs
niet aan de steunaanvragers.
ADVIES Eerst onderzoeken met uw Secretaris en
Voorzitter: het belang om te herinneren aan de regels, De inhoud, De manier (zeer didactisch, indien mogelijk,
en zeer eenvoudig).
VRAGEN
27
Mogelijkheden voorMogelijkheden voor de mailboxen van de leden van de raad de mailboxen van de leden van de raad voor maatschappelijk welzijn 1voor maatschappelijk welzijn 1
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Het Besluit v/d Vlaamse Regering betreffende de inwerkingtreding van diverse bepalingen van het decreet van 29 juni 2012 tot wijziging v/h decreet van 19 dec 2008 betreffende de organisatie van de OCMW’s…..en overeenkomstig Afdeling 7 Wijziging in titel VII v/h OCMW-decreet in Art. 60 3° “14° de wijze waarop de leden v/h OCMW in kennis worden gesteld van de notulen van de vergaderingen v/d raad van bestuur en het orgaan van dagelijks bestuur….
Deze worden, indien een lid van de raad v/h OCMW dit wenst, in elk geval electronisch ter beschikking gesteld.”
28
Mogelijkheden voorMogelijkheden voor de mailboxen van de leden van de raad de mailboxen van de leden van de raad voor maatschappelijk welzijn voor maatschappelijk welzijn 22
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Om een oplossing te bieden aan de raadplegingen van de agenda op afstand, gegeven, enerzijds digitaal aanleveren van de informatie en anderzijds respecteren van de privacy van de klanten (Privacywet & Minimale Normen) dient een informatica oplossing te worden aangeboden die voldoet aan de Minimale Normen van de KSZ en de Privacywet.
29
Verplichtingen die van kracht zijn in verband met de Verplichtingen die van kracht zijn in verband met de mailboxen op het netwerk van de leden van de raad voor mailboxen op het netwerk van de leden van de raad voor
maatschappelijk welzijnmaatschappelijk welzijn
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Alle apparaten (draagbare pc’s, tablets) die gebruikt worden voor het OCMW moeten eigendom zijn van het OCMW en moeten geconfigureerd en beveiligd worden volgens de KSZ-normen:
Geen administrator-rechten, Controle van de veiligheid:
er moet bijgewerkte antimalware beschikbaar, bijgewerkte (OS) systemen,
30
Verplichtingen die van kracht zijn in verband met de Verplichtingen die van kracht zijn in verband met de mailboxen op het netwerk van de leden van de raad voor mailboxen op het netwerk van de leden van de raad voor
maatschappelijk welzijn (in afwachting van akkoord UVCW)maatschappelijk welzijn (in afwachting van akkoord UVCW)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
firewall moet gecontroleerd worden op het moment van de verbinding en sluiting van de toegang in de firewall aan het einde van de verbinding,
scanning van het apparaat (tablet, PC) door de antivirus van het netwerk om de update van de antimalware te controleren en andere veiligheidsfunctionaliteiten.
31
Verplichtingen die van kracht zijn in verband met de Verplichtingen die van kracht zijn in verband met de mailboxen op het netwerk van de leden van de raad voor mailboxen op het netwerk van de leden van de raad voor
maatschappelijk welzijn (in afwachting van akkoord UVCW)maatschappelijk welzijn (in afwachting van akkoord UVCW)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De verbinding aan het netwerk van het OCMW moet gebeuren via een VPN-verbinding (zie het VPN-veiligheidsbeleid van de KSZ hieromtrent) en voor zover alle regels van het veiligheidsbeleid van de KSZ worden nageleefd.
Automatische afmelding van het apparaat nadat het 10 min. niet meer werd gebruikt.
De leden van de raad hebben enkel toegang tot de dossiers en gegevens die behandeld worden tijdens de betrokken zitting van de raad. Na de raad, mogen zij geen toegang meer hebben tot deze gegevens.
32
Verplichtingen die van kracht zijn in verband met de Verplichtingen die van kracht zijn in verband met de mailboxen van de leden van de raad voor maatschappelijk mailboxen van de leden van de raad voor maatschappelijk
welzijn (in afwachting van akkoord UVCW)welzijn (in afwachting van akkoord UVCW)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Er kan eventueel ook in een mailbox voorzien worden, maar enkel via VPN of via Publilink of Publiwin.
De mailbox en de toegang voor het OCMW moeten overeenkomstig de veiligheidsnormen van de KSZ zijn.
Het afdrukken en opslaan van de gegevens is verboden (deontologische code).
Er mogen nooit persoonlijke gegevens via mail verstuurd worden.
33
Mogelijkheden voorMogelijkheden voor de mailboxen van de leden van de raad de mailboxen van de leden van de raad voor maatschappelijk welzijn voor maatschappelijk welzijn 33
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Enkele oplossingen voorhanden die kunnen voldoen aan deze voorwaarden: Bvb. via Ciport van Cipal (soort thuiswerkmodule)
aanmelden op een afgeschermde map met de notulen of via beperkte toegansrechten in inzage in het dossier online (v/d Cipal Software) met beperkte rechten voor de Raadsleden;
Een tweede en misschien betere oplossing gaat via een afgeschermde website & documentenstructuur (zie voorbeeld OCMW Boom hieronder) waarin de leden van de Raad, of het BCSD of nog het Vast Comité (afhankelijk wat van toepassing is) toegang krijgen tot een afgeschermde website module met beschermde documenten – via een PDF image - .
Enkele voorbeelden: OCMW Boom, De Pinte, Nazareth, Ronse, enz.
34
Mogelijkheden voorMogelijkheden voor de mailboxen van de leden van de raad de mailboxen van de leden van de raad voor maatschappelijk welzijn voor maatschappelijk welzijn 33
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Als U gebruik maakt van een beveiligde documenten/website,
dan kan men eenvoudigweg niet afprinten, opslaan of copiëren (i.p.v. de voorwaarde in punt 6 v/d VVSG zijnde “niet toegelaten”!)
dan wordt er niet met een mailbox gewerkt (juist omdat er geen documenten kunnen doorgestuurd worden)
dan heeft het geen zin om te werken met een toestel gekocht op kosten van het OCMW omdat men geen documenten en of virussen en of malware kan doorsturen naar het OCMW.
35
Mogelijkheden voorMogelijkheden voor de mailboxen van de leden van de raad de mailboxen van de leden van de raad voor maatschappelijk welzijn voor maatschappelijk welzijn 33
Programmatorische Overheidsdienst Maatschappelijke Integratie,
36
Mogelijkheden voorMogelijkheden voor de mailboxen van de leden van de raad de mailboxen van de leden van de raad voor maatschappelijk welzijn voor maatschappelijk welzijn 33
Programmatorische Overheidsdienst Maatschappelijke Integratie,
37
Mogelijkheden voorMogelijkheden voor de mailboxen van de leden van de raad de mailboxen van de leden van de raad voor maatschappelijk welzijn voor maatschappelijk welzijn 33
Programmatorische Overheidsdienst Maatschappelijke Integratie,
VRAGEN
39
Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 1de clouds: risico’s 1
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Het verlies van bestuurbaarheid over de behandeling.
Het verlies van auditeerbaarheid van de provider te wijten aan een gebrek aan beheer van de onderaannemers.
De technologische afhankelijkheid van het OCMW tegenover de leverancier van Cloud Computing = onmogelijkheid of moeilijkheid om van oplossing te veranderen (voor een andere leverancier of een interne oplossing) zonder gegevensverlies.
40
Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 2de clouds: risico’s 2
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Een lek bij het afzonderen van de gegevens, dat
wil zeggen het risico dat de gegevens die op een
(virtueel) systeem zijn gehost, niet meer
afgezonderd zijn en gewijzigd kunnen worden of
toegankelijk zijn voor niet-gemachtigde derden,
naar aanleiding van een tekortkoming van de
provider of een slecht beheer van de rol als
hypervisor.
41
Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 3de clouds: risico’s 3
Programmatorische Overheidsdienst Maatschappelijke Integratie,
De uitvoering van juridische vorderingen op basis van een buitenlands recht zonder overleg met de nationale instanties (voorbeeld: USA).
http://usatoday30.usatoday.com/tech/news/story/2012-05-11/court-google-nsa-spy-china/54912902/1
http://webwereld.nl/beveiliging/78193-yahoo-krijgt-meer-datavorderingen-dan-google
42
Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 4de clouds: risico’s 4
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Google wil het aantal verzoeken van de NSA kunnen publiceren
Woensdag 19 juni 2013 om 6.36 uur
43
Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 5de clouds: risico’s 5
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Een fout in de onderaannemingsketen, o.a. wanneer de leverancier zelf een beroep doet op derden om de dienst te leveren.
Het niet-naleven van de regels van de instelling voor het bewaren en vernietigen van gegevens, o.a. door een ondoeltreffende of onbeveiligde vernietiging van de gegevens of een te lange bewaarduur.
44
Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 6de clouds: risico’s 6
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Problemen bij het beheren van de toegangsrechten.
Onbeschikbaarheid van de provider = onbeschikbaarheid van de dienst zelf, maar ook van de toegangsmiddelen tot de dienst (in het bijzonder netwerkproblemen).
De sluiting van de dienst van de leverancier of de onvrijwillige verandering van provider door een derde.
De niet-overeenstemming, op reglementair vlak, onder meer met betrekking tot de internationale transfers (van data).
45
Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 7de clouds: risico’s 7
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Opmerkingen (1) Alvorens een beroep te doen op de
Cloud Computing, moet het OCMW dat verantwoordelijk is voor de verwerking duidelijk de gegevens, de verwerkingen of de diensten identificeren die in de Cloud zouden kunnen worden gehost. Ze moet tevens de return on investment bepalen rekening houdende met de toepassing van de veiligheidseisen.
46
Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 8de clouds: risico’s 8
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Opmerkingen (2) Wanneer een soort gegeven aan een
specifieke reglementering is onderworpen, moet de verantwoordelijke instelling de minimale voorwaarden of de beperkingen bij de overmaking ervan vastleggen. De meerprijs voor de toepassing van de vermoedelijke evoluties, onder meer wat de veiligheidseisen betreft, zal moeten worden geëvalueerd en becijferd.
47
Veiligheidsrichtlijnen in verband Veiligheidsrichtlijnen in verband met de clouds: risico’s 9met de clouds: risico’s 9
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Opmerkingen (3) De implementatiemodellen zijn de volgende:
“Publiek” wanneer een dienst gedeeld wordt met veel klanten (gratis of betalend);
“Privé” wanneer de Cloud gereserveerd is voor een klant of voor enkele klanten;
“Gemeenschappelijk” wanneer de Cloud gedeeld wordt door klanten met dezelfde (wettelijke, …) eisen;
“Hybride” wanneer een dienst gedeeltelijk in een openbare Cloud en gedeeltelijk in een publieke Cloud is ondergebracht.
48
Veiligheidsrichtlijnen in verband Veiligheidsrichtlijnen in verband met de clouds: risico’s 10met de clouds: risico’s 10
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Opmerkingen (4) Noch de openbare, noch de hybride cloud
voldoen momenteel aan de vereiste veiligheidsverplichtingen.
Het is noodzakelijk om zijn eigen veiligheidstechnische en juridische eisten te bepalen. De bedoeling van de Cloud is immers om de instelling van bepaalde operationele taken te ontlasten. Daarom moet de instelling zich ervan vergewissen dat de provider minstens even hoge eisen stelt als hetgeen gevraagd wordt door het OCMW (bijvoorbeeld: cloud Adehis).
49
Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 11de clouds: risico’s 11
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Hoe verder de cloud, hoe hoger het risico. Het OCMW moet er zich van vergewissen
dat de gegevens wel degelijk bewaard worden in de cloud en niet elders (er zijn tools die het mogelijk maken om de opslag plaats na te gaan).
Het is essentieel om een geschikte risicoanalyse uit te voeren om de gepaste veiligheidsmaatregelen te bepalen en meer bepaald die van de provider worden geëist.
50
Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 12de clouds: risico’s 12
Programmatorische Overheidsdienst Maatschappelijke Integratie,
51
Veiligheidsrichtlijnen in verband Veiligheidsrichtlijnen in verband met de clouds: risico’s 1met de clouds: risico’s 188
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Microsoft laat geen audit toe in zijn clouds.
52
Veiligheidsrichtlijnen in verband Veiligheidsrichtlijnen in verband met de clouds: risico’s 2met de clouds: risico’s 211
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Naleving van de goede praktijken door de provider 5 aandachtspunten.
Gevoelige gegevens: de provider moet de processen inzake beveiliging, personeelsbeheer, inventaris, kwalificatie en traceerbaarheid coherent implementeren,
rekencentra: de provider moet over een veiligheidspolicy inzake de fysieke toegang tot de rekencentra en over technische voorzieningen beschikken die een bescherming bieden tegen externe bedreigen en milieubedreigingen (brand, overstroming, stroomonderbreking, enz.).
53
Veiligheidsrichtlijnen in verband Veiligheidsrichtlijnen in verband met de clouds: risico’s 23met de clouds: risico’s 23
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Naleving van de goede praktijken door de provider 5 aandachtspunten.
beveiliging van de logische toegangen: de provider moet over logische toegangscontroles beschikken die de al dan niet gevoelige gegevens afdoende beschermen,
beveiliging van de systemen: de provider moet over geconfigureerde systemen zonder veiligheidslekken beschikken, in het bijzonder voor de omgevingen waarin deze gegevens worden gehost,
beveiliging van het netwerk: de provider moet over een beveiligd netwerk beschikken met een geschikte afzondering naar derden toe.
54
Veiligheidsrichtlijnen in verband Veiligheidsrichtlijnen in verband met de clouds: risico’s met de clouds: risico’s 2424
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Naleving van bepaalde wettelijke verplichtingen bij de behandeling van persoonsgegevens Het OCMW moet steeds toezien op de naleving van
de regels van de bescherming van privégegevens (wet betreffende het privéleven) bij de behandeling van zulke gegevens in een dienstverlening van het type “cloud”. In dit kader zal het OCMW dat eigenaar is van de gegevens steeds verantwoordelijk zijn voor de goede naleving van de regels inzake de bescherming van de persoonsgegevens.
De keuze van de provider “cloud computing” door het OCMW is beperkt tot de providers die enkel “privé-cloud” gegevens aanbieden, in geval van uitbesteding van persoonsgegevens.
55
Veiligheidsrichtlijnen in verband Veiligheidsrichtlijnen in verband met de clouds: risico’s met de clouds: risico’s 2727
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Eventuele vragen???
56
WINDOWS 365WINDOWS 365
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Enkele principes
57
Nieuwe procedure voor de aanduiding Nieuwe procedure voor de aanduiding van de veiligheidsconsulent* (1)van de veiligheidsconsulent* (1)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Dit zijn de verschillende stappen.
1. De veiligheidsconsulent of de adjunct-
veiligheidsconsulent laten aanduiden door de Raad
voor Maatschappelijk Welzijn.
2. De ondertekende aanduiding sturen naar de
veiligheidsconsulent van de POD MI, per post of
gescand per mail naar [email protected],
POD Maatschappelijke Integratie, Koning Albert II-
laan, 30, 1000 Brussel.*Dit geldt ook voor de adjunct-veiligheidsconsulent.
58
Nieuwe procedure voor de aanduiding Nieuwe procedure voor de aanduiding van de veiligheidsconsulent*(2)van de veiligheidsconsulent*(2)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
3. Vervolgens naar de site van de KSZ
gaan.4. Klikken op Veiligheidsconsulenten (net
onder « Veiligheid en privacy »).
59
Nieuwe procedure voor de aanduiding Nieuwe procedure voor de aanduiding van de veiligheidsconsulent*(3)van de veiligheidsconsulent*(3)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
of op http://www.ksz-bcss.fgov.be/nl/bcss/pa
ge/content/websites/belgium/security/security_03.html
Gaan naar “Evaluatievragenlijst voor de kandidaat-veiligheidsconsulent” en erop klikken, Het adres van de link is het volgende: http://www.ksz-bcss.fgov.be/binaries/documentation/nl/securite/security_advisor_evaluation_distributed_nl.pdf
60
Nieuwe procedure voor de aanduiding Nieuwe procedure voor de aanduiding van de veiligheidsconsulent (4)van de veiligheidsconsulent (4)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
7. Het document “Evaluatievragenlijst voor de kandidaat-veiligheidsconsulent” wordt geopend.
8. Lees aandachtig het volledige document ALVORENS het in te vullen.
9. Klik vervolgens op “hier” om het in te vullen document te openen.
10.Lexicon: verantwoordelijke voor het dagelijks beheer te Brussel: de Secretaris, in Wallonië: de directeur-generaal.De aanvragende instelling is het OCMW.
61
Nieuwe procedure voor de Nieuwe procedure voor de aanduiding van de aanduiding van de
veiligheidsconsulent(5)veiligheidsconsulent(5)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
11. Vul het volledige formulier in.12. Wanneer het formulier is ingevuld, naar pagina 2
gaan en elektronisch ondertekenen.13. Wanneer de Secretaris of directeur-generaal de
veiligheidsconsulent is, de Voorzitter laten ondertekenen in de plaats van de Verantwoordelijke voor het dagelijks beheer.
14. Het feit dat elektronisch wordt ondertekend stuurt het document automatisch naar de Privacycommissie.
15. Druk het ingevulde formulier af als u het wil verzenden per post en bewaar steeds een exemplaar voor uzelf.
62
Nieuwe procedure voor de Nieuwe procedure voor de aanduiding van de aanduiding van de
veiligheidsconsulent(6)veiligheidsconsulent(6)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Wanneer de nieuwe veiligheidsconsulent al deze formaliteiten heeft vervult, moet hij:
- Een vijftiental dagen wachten (behandelingstijd van de Privacycommissie);
- De Verantwoordelijke Toegang Entiteiten vragen om naar https://professional.socialsecurity.be te gaan, te klikken op Werkgever en vervolgens te klikken op “aanmelden”.
63
Nieuwe procedure voor de Nieuwe procedure voor de aanduiding van de aanduiding van de
veiligheidsconsulent(7)veiligheidsconsulent(7)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
- Wanneer de veiligheidsconsulent reeds bestaat en een rol heeft, hem/haar te schrappen,
- Wanneer de veiligheidsconsulent nog niet bestaat, hem/haar niet aan te maken,
- Te klikken op “De lokale beheerder vervangen”
- Het Rijksregisternummer in te voeren van de nieuwe veiligheidsconsulent, te registreren en te klikken op “bevestigen”.
64
Nieuwe procedure voor de Nieuwe procedure voor de aanduiding van de aanduiding van de
veiligheidsconsulent(8)veiligheidsconsulent(8)
Programmatorische Overheidsdienst Maatschappelijke Integratie,
Herinnering: de veiligheidsconsulent mag niet de
Secretaris of de Directeur-generaal zijn in een groot
OCMW.
De veiligheidsconsulent mag niet de verantwoordelijke
zijn van de informaticadienst of de directeur ervan.
De Privacycommissie zal de informatie registreren, maar
zal geen enkel oordeel geven over jullie kennis en zal
niemand verhinderen om te worden aangeduid als
informatieveiligheidsconsulent.
VRAGEN?
EIND