1 Veiligheidssessie 2de semester 2013 Programmatorische Overheidsdienst Maatschappelijke Integratie,

1

Programmatorische Overheidsdienst Maatschappelijke Integratie,

2

PROGRAMMAPROGRAMMA1) Voorstelling van de consulent

2) Kort overzicht van de deontologische regels van de leden van de raad voor maatschappelijk welzijn

3) Verplichtingen die van kracht zijn in verband met de mailboxen van de leden van de raad voor maatschappelijk welzijn

4) Richtlijnen van de KSZ voor de clouds (nog niet officieel erkend door de veiligheidsgroep die hiervoor werd opgericht).

5) Windows 365: korte samenvatting.

6) Nieuwe methode voor het aanwijzen van de veiligheidsconsulent


Vragen of onderwerpen die moeten worden aangehaald

Het is aan jullie!

4

VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 1VEILIGHEIDSCONSULENT 1


DE CONSULENTEN VOOR MAATSCHAPPELIJK WELZIJN WETEN NIET:

wat informatieveiligheid is;

wat een veiligheidsconsulent is;

wat zij moeten naleven om in orde

te zijn met de minimumnormen.

5

VOORSTELLING VAN DE VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 2 VEILIGHEIDSCONSULENT 2


Informatieveiligheid is:

- de preventie en snelle en efficiënte herstelling van schade aan de sociale gegevens

- en van de onwettige schendingen van het privéleven van de betrokkenen.

6



De informatieveiligheidsdienst ziet toe op de naleving binnen de instelling van de veiligheidsvoorschriften opgelegd door of krachtens een wetsbepaling.

KB 12/08/1993

7



De informatieveiligheidsdienst heeft een: adviserende, stimulerende, documenterende, controlerende taak

8



De informatieveiligheidsdienst

adviseert de verantwoordelijke voor

het dagelijks bestuur (Secretaris)

van zijn OCMW, op diens verzoek of

op eigen initiatief, omtrent alle

aspecten van de informatieveiligheid.

9



Tenzij de risico’s niet

voldoende ernstig zijn, wordt

het advies schriftelijk en

gemotiveerd uitgebracht.

10



Binnen de tijdspanne …. maximum drie

maanden beslist de verantwoordelijke voor

het dagelijks bestuur:

het advies al dan niet op te volgen en deelt hij de

veiligheidsdienst de genomen beslissing mee.

in geval de beslissing van een schriftelijk advies

afwijkt, dient de mededeling ervan op een

schriftelijke en gemotiveerde wijze te geschieden.

11



De informatieveiligheidsdienst bevordert

de naleving van de

veiligheidsvoorschriften opgelegd door

een bepaling ………en het aannemen van

een veiligheidsgedrag bij de personen

tewerkgesteld in het OCMW.

12



De

informatieveiligheidsdienst

legt de nodige documentatie

aan met betrekking tot de

informatieveiligheid.

13



De veiligheidsconsulent ziet tot op de naleving,

binnen het OCMW, van de

veiligheidsvoorschriften opgelegd door een

wetsbepaling … Alle vastgestelde inbreuken

worden schriftelijk en uitsluitend aan de

verantwoordelijke voor het dagelijks beheer van

de instelling meegedeeld, vergezeld van de

nodige adviezen om dergelijke inbreuken in de

toekomst te vermijden.

14



De veiligheidsconsulenten en hun

eventuele adjuncten kunnen niet van

deze functie worden ontheven wegens

meningen die zij uiten of daden die zij

stellen in het kader van de goede

uitoefening van hun functie.

15



De informatidveiligheidsdienst

werkt onder het rechtstreeks

functioneel gezag van de

verantwoordelijke voor het

dagelijks bestuur van het OCMW.

16



Hij werkt nauw samen met de diensten

waarin zijn tussenkomst is vereist of kan

zijn, inzonderheid:

met de informaticadienst;

het CVGV.

17



De veiligheidsconsulent stelt ten behoeve van de

verantwoordelijke voor het dagelijks bestuur een

ontwerp van veiligheidsplan op voor een termijn

van 3 jaar, met aanduiding van de middelen op

jaarbasis die vereist zijn om het plan uit te voeren.

Dit ontwerp wordt minstens een maal per jaar

herzien en zo nodig aangepast. Het ontwerp van

veiligheidsplan wordt beschouwd als een advies

18



De informatieveiligheidsdienst stelt ten

behoeve van de verantwoordelijke voor

het dagelijks bestuur van de instelling een

jaarverslag op.

19



De vastgelegde opdrachten van de

informatieveiligheidsdienst hebben ook

betrekking op de bewaring, de verwerking

of de uitwisseling van sociale gegevens

van persoonlijke aard die voor rekening

van het OCMW geschieden door derden

(softwarehuizen, gemeentebestuur, enz.).

20



21

Korte samenvatting van de deontologische regels van de leden van de raad voor maatschappelijk welzijn


Het respect van het privéleven A. Het geheim

Binnen het OCMW is het respect van het beroepsgeheim een gebiedende sociale noodzaak.De verplichting tot het beroepsgeheim wordt eerst bevestigd door artikel 458 van het Strafwetboek,

Alle informatie die wordt ontvangen of vastgesteld bij de uitoefening van het beroep of van het mandaat valt onder het beroepsgeheim.

22


De organieke OCMW-wet van 8 juli 1976 verduidelijkt bovendien dat: de leden van de raad, alsmede alle andere

personen, die krachtens de wet vergaderingen van de raad, het vast bureau en de bijzondere comités bijwonen, zijn tot geheimhouding verplicht (art. 36, al. 2);

deze bepalingen zijn mede van toepassing op de personeelsleden van het OCMW (art. 50).


23



Zo zijn, bij het OCMW, niet enkel de

maatschappelijk werkers, maar alle

personeelsleden (ook het ondersteunend

personeel) en de mandaathouders tot

geheimhouding verplicht.

24



De leden van de raad en de personen die

de vergadering mogen bijwonen mogen de

inhoud van de besprekingen en

deliberaties, de standpunten, opinies en

stellingnames, noch de manier waarop de

stemming verloopt, openbaar maken, zelfs

niet aan de steunaanvragers.

ADVIES Eerst onderzoeken met uw Secretaris en

Voorzitter: het belang om te herinneren aan de regels, De inhoud, De manier (zeer didactisch, indien mogelijk,

en zeer eenvoudig).

VRAGEN

27

Mogelijkheden voorMogelijkheden voor de mailboxen van de leden van de raad de mailboxen van de leden van de raad voor maatschappelijk welzijn 1voor maatschappelijk welzijn 1


Het Besluit v/d Vlaamse Regering betreffende de inwerkingtreding van diverse bepalingen van het decreet van 29 juni 2012 tot wijziging v/h decreet van 19 dec 2008 betreffende de organisatie van de OCMW’s…..en overeenkomstig Afdeling 7 Wijziging in titel VII v/h OCMW-decreet in Art. 60 3° “14° de wijze waarop de leden v/h OCMW in kennis worden gesteld van de notulen van de vergaderingen v/d raad van bestuur en het orgaan van dagelijks bestuur….

Deze worden, indien een lid van de raad v/h OCMW dit wenst, in elk geval electronisch ter beschikking gesteld.”

28

Mogelijkheden voorMogelijkheden voor de mailboxen van de leden van de raad de mailboxen van de leden van de raad voor maatschappelijk welzijn voor maatschappelijk welzijn 22


Om een oplossing te bieden aan de raadplegingen van de agenda op afstand, gegeven, enerzijds digitaal aanleveren van de informatie en anderzijds respecteren van de privacy van de klanten (Privacywet & Minimale Normen) dient een informatica oplossing te worden aangeboden die voldoet aan de Minimale Normen van de KSZ en de Privacywet.

29

Verplichtingen die van kracht zijn in verband met de Verplichtingen die van kracht zijn in verband met de mailboxen op het netwerk van de leden van de raad voor mailboxen op het netwerk van de leden van de raad voor

maatschappelijk welzijnmaatschappelijk welzijn


Alle apparaten (draagbare pc’s, tablets) die gebruikt worden voor het OCMW moeten eigendom zijn van het OCMW en moeten geconfigureerd en beveiligd worden volgens de KSZ-normen:

Geen administrator-rechten, Controle van de veiligheid:

er moet bijgewerkte antimalware beschikbaar, bijgewerkte (OS) systemen,

30


maatschappelijk welzijn (in afwachting van akkoord UVCW)maatschappelijk welzijn (in afwachting van akkoord UVCW)


firewall moet gecontroleerd worden op het moment van de verbinding en sluiting van de toegang in de firewall aan het einde van de verbinding,

scanning van het apparaat (tablet, PC) door de antivirus van het netwerk om de update van de antimalware te controleren en andere veiligheidsfunctionaliteiten.

31


maatschappelijk welzijn (in afwachting van akkoord UVCW)maatschappelijk welzijn (in afwachting van akkoord UVCW)


De verbinding aan het netwerk van het OCMW moet gebeuren via een VPN-verbinding (zie het VPN-veiligheidsbeleid van de KSZ hieromtrent) en voor zover alle regels van het veiligheidsbeleid van de KSZ worden nageleefd.

Automatische afmelding van het apparaat nadat het 10 min. niet meer werd gebruikt.

De leden van de raad hebben enkel toegang tot de dossiers en gegevens die behandeld worden tijdens de betrokken zitting van de raad. Na de raad, mogen zij geen toegang meer hebben tot deze gegevens.

32

Verplichtingen die van kracht zijn in verband met de Verplichtingen die van kracht zijn in verband met de mailboxen van de leden van de raad voor maatschappelijk mailboxen van de leden van de raad voor maatschappelijk

welzijn (in afwachting van akkoord UVCW)welzijn (in afwachting van akkoord UVCW)


Er kan eventueel ook in een mailbox voorzien worden, maar enkel via VPN of via Publilink of Publiwin.

De mailbox en de toegang voor het OCMW moeten overeenkomstig de veiligheidsnormen van de KSZ zijn.

Het afdrukken en opslaan van de gegevens is verboden (deontologische code).

Er mogen nooit persoonlijke gegevens via mail verstuurd worden.

33



Enkele oplossingen voorhanden die kunnen voldoen aan deze voorwaarden: Bvb. via Ciport van Cipal (soort thuiswerkmodule)

aanmelden op een afgeschermde map met de notulen of via beperkte toegansrechten in inzage in het dossier online (v/d Cipal Software) met beperkte rechten voor de Raadsleden;

Een tweede en misschien betere oplossing gaat via een afgeschermde website & documentenstructuur (zie voorbeeld OCMW Boom hieronder) waarin de leden van de Raad, of het BCSD of nog het Vast Comité (afhankelijk wat van toepassing is) toegang krijgen tot een afgeschermde website module met beschermde documenten – via een PDF image - .

Enkele voorbeelden: OCMW Boom, De Pinte, Nazareth, Ronse, enz.

34



Als U gebruik maakt van een beveiligde documenten/website,

dan kan men eenvoudigweg niet afprinten, opslaan of copiëren (i.p.v. de voorwaarde in punt 6 v/d VVSG zijnde “niet toegelaten”!)

dan wordt er niet met een mailbox gewerkt (juist omdat er geen documenten kunnen doorgestuurd worden)

dan heeft het geen zin om te werken met een toestel gekocht op kosten van het OCMW omdat men geen documenten en of virussen en of malware kan doorsturen naar het OCMW.

35



36



37



VRAGEN

39

Veiligheidsrichtlijnen in verband met Veiligheidsrichtlijnen in verband met de clouds: risico’s 1de clouds: risico’s 1


Het verlies van bestuurbaarheid over de behandeling.

Het verlies van auditeerbaarheid van de provider te wijten aan een gebrek aan beheer van de onderaannemers.

De technologische afhankelijkheid van het OCMW tegenover de leverancier van Cloud Computing = onmogelijkheid of moeilijkheid om van oplossing te veranderen (voor een andere leverancier of een interne oplossing) zonder gegevensverlies.

40



Een lek bij het afzonderen van de gegevens, dat

wil zeggen het risico dat de gegevens die op een

(virtueel) systeem zijn gehost, niet meer

afgezonderd zijn en gewijzigd kunnen worden of

toegankelijk zijn voor niet-gemachtigde derden,

naar aanleiding van een tekortkoming van de

provider of een slecht beheer van de rol als

hypervisor.

41



De uitvoering van juridische vorderingen op basis van een buitenlands recht zonder overleg met de nationale instanties (voorbeeld: USA).

http://usatoday30.usatoday.com/tech/news/story/2012-05-11/court-google-nsa-spy-china/54912902/1

http://webwereld.nl/beveiliging/78193-yahoo-krijgt-meer-datavorderingen-dan-google

42



Google wil het aantal verzoeken van de NSA kunnen publiceren

Woensdag 19 juni 2013 om 6.36 uur

43



Een fout in de onderaannemingsketen, o.a. wanneer de leverancier zelf een beroep doet op derden om de dienst te leveren.

Het niet-naleven van de regels van de instelling voor het bewaren en vernietigen van gegevens, o.a. door een ondoeltreffende of onbeveiligde vernietiging van de gegevens of een te lange bewaarduur.

44



Problemen bij het beheren van de toegangsrechten.

Onbeschikbaarheid van de provider = onbeschikbaarheid van de dienst zelf, maar ook van de toegangsmiddelen tot de dienst (in het bijzonder netwerkproblemen).

De sluiting van de dienst van de leverancier of de onvrijwillige verandering van provider door een derde.

De niet-overeenstemming, op reglementair vlak, onder meer met betrekking tot de internationale transfers (van data).

45



Opmerkingen (1) Alvorens een beroep te doen op de

Cloud Computing, moet het OCMW dat verantwoordelijk is voor de verwerking duidelijk de gegevens, de verwerkingen of de diensten identificeren die in de Cloud zouden kunnen worden gehost. Ze moet tevens de return on investment bepalen rekening houdende met de toepassing van de veiligheidseisen.

46



Opmerkingen (2) Wanneer een soort gegeven aan een

specifieke reglementering is onderworpen, moet de verantwoordelijke instelling de minimale voorwaarden of de beperkingen bij de overmaking ervan vastleggen. De meerprijs voor de toepassing van de vermoedelijke evoluties, onder meer wat de veiligheidseisen betreft, zal moeten worden geëvalueerd en becijferd.

47

Veiligheidsrichtlijnen in verband Veiligheidsrichtlijnen in verband met de clouds: risico’s 9met de clouds: risico’s 9


Opmerkingen (3) De implementatiemodellen zijn de volgende:

“Publiek” wanneer een dienst gedeeld wordt met veel klanten (gratis of betalend);

“Privé” wanneer de Cloud gereserveerd is voor een klant of voor enkele klanten;

“Gemeenschappelijk” wanneer de Cloud gedeeld wordt door klanten met dezelfde (wettelijke, …) eisen;

“Hybride” wanneer een dienst gedeeltelijk in een openbare Cloud en gedeeltelijk in een publieke Cloud is ondergebracht.

48



Opmerkingen (4) Noch de openbare, noch de hybride cloud

voldoen momenteel aan de vereiste veiligheidsverplichtingen.

Het is noodzakelijk om zijn eigen veiligheidstechnische en juridische eisten te bepalen. De bedoeling van de Cloud is immers om de instelling van bepaalde operationele taken te ontlasten. Daarom moet de instelling zich ervan vergewissen dat de provider minstens even hoge eisen stelt als hetgeen gevraagd wordt door het OCMW (bijvoorbeeld: cloud Adehis).

49



Hoe verder de cloud, hoe hoger het risico. Het OCMW moet er zich van vergewissen

dat de gegevens wel degelijk bewaard worden in de cloud en niet elders (er zijn tools die het mogelijk maken om de opslag plaats na te gaan).

Het is essentieel om een geschikte risicoanalyse uit te voeren om de gepaste veiligheidsmaatregelen te bepalen en meer bepaald die van de provider worden geëist.

50



51



Microsoft laat geen audit toe in zijn clouds.

52



Naleving van de goede praktijken door de provider 5 aandachtspunten.

Gevoelige gegevens: de provider moet de processen inzake beveiliging, personeelsbeheer, inventaris, kwalificatie en traceerbaarheid coherent implementeren,

rekencentra: de provider moet over een veiligheidspolicy inzake de fysieke toegang tot de rekencentra en over technische voorzieningen beschikken die een bescherming bieden tegen externe bedreigen en milieubedreigingen (brand, overstroming, stroomonderbreking, enz.).

53



Naleving van de goede praktijken door de provider 5 aandachtspunten.

beveiliging van de logische toegangen: de provider moet over logische toegangscontroles beschikken die de al dan niet gevoelige gegevens afdoende beschermen,

beveiliging van de systemen: de provider moet over geconfigureerde systemen zonder veiligheidslekken beschikken, in het bijzonder voor de omgevingen waarin deze gegevens worden gehost,

beveiliging van het netwerk: de provider moet over een beveiligd netwerk beschikken met een geschikte afzondering naar derden toe.

54

Veiligheidsrichtlijnen in verband Veiligheidsrichtlijnen in verband met de clouds: risico’s met de clouds: risico’s 2424


Naleving van bepaalde wettelijke verplichtingen bij de behandeling van persoonsgegevens Het OCMW moet steeds toezien op de naleving van

de regels van de bescherming van privégegevens (wet betreffende het privéleven) bij de behandeling van zulke gegevens in een dienstverlening van het type “cloud”. In dit kader zal het OCMW dat eigenaar is van de gegevens steeds verantwoordelijk zijn voor de goede naleving van de regels inzake de bescherming van de persoonsgegevens.

De keuze van de provider “cloud computing” door het OCMW is beperkt tot de providers die enkel “privé-cloud” gegevens aanbieden, in geval van uitbesteding van persoonsgegevens.

55

Veiligheidsrichtlijnen in verband Veiligheidsrichtlijnen in verband met de clouds: risico’s met de clouds: risico’s 2727


Eventuele vragen???

56

WINDOWS 365WINDOWS 365


Enkele principes

57

Nieuwe procedure voor de aanduiding Nieuwe procedure voor de aanduiding van de veiligheidsconsulent* (1)van de veiligheidsconsulent* (1)


Dit zijn de verschillende stappen.

1. De veiligheidsconsulent of de adjunct-

veiligheidsconsulent laten aanduiden door de Raad

voor Maatschappelijk Welzijn.

2. De ondertekende aanduiding sturen naar de

veiligheidsconsulent van de POD MI, per post of

gescand per mail naar [email protected],

POD Maatschappelijke Integratie, Koning Albert II-

laan, 30, 1000 Brussel.*Dit geldt ook voor de adjunct-veiligheidsconsulent.

58

Nieuwe procedure voor de aanduiding Nieuwe procedure voor de aanduiding van de veiligheidsconsulent*(2)van de veiligheidsconsulent*(2)


3. Vervolgens naar de site van de KSZ

gaan.4. Klikken op Veiligheidsconsulenten (net

onder « Veiligheid en privacy »).

59

Nieuwe procedure voor de aanduiding Nieuwe procedure voor de aanduiding van de veiligheidsconsulent*(3)van de veiligheidsconsulent*(3)


of op http://www.ksz-bcss.fgov.be/nl/bcss/pa

ge/content/websites/belgium/security/security_03.html

Gaan naar “Evaluatievragenlijst voor de kandidaat-veiligheidsconsulent” en erop klikken, Het adres van de link is het volgende: http://www.ksz-bcss.fgov.be/binaries/documentation/nl/securite/security_advisor_evaluation_distributed_nl.pdf

60

Nieuwe procedure voor de aanduiding Nieuwe procedure voor de aanduiding van de veiligheidsconsulent (4)van de veiligheidsconsulent (4)


7. Het document “Evaluatievragenlijst voor de kandidaat-veiligheidsconsulent” wordt geopend.

8. Lees aandachtig het volledige document ALVORENS het in te vullen.

9. Klik vervolgens op “hier” om het in te vullen document te openen.

10.Lexicon: verantwoordelijke voor het dagelijks beheer te Brussel: de Secretaris, in Wallonië: de directeur-generaal.De aanvragende instelling is het OCMW.

61

Nieuwe procedure voor de Nieuwe procedure voor de aanduiding van de aanduiding van de

veiligheidsconsulent(5)veiligheidsconsulent(5)


11. Vul het volledige formulier in.12. Wanneer het formulier is ingevuld, naar pagina 2

gaan en elektronisch ondertekenen.13. Wanneer de Secretaris of directeur-generaal de

veiligheidsconsulent is, de Voorzitter laten ondertekenen in de plaats van de Verantwoordelijke voor het dagelijks beheer.

14. Het feit dat elektronisch wordt ondertekend stuurt het document automatisch naar de Privacycommissie.

15. Druk het ingevulde formulier af als u het wil verzenden per post en bewaar steeds een exemplaar voor uzelf.

62




Wanneer de nieuwe veiligheidsconsulent al deze formaliteiten heeft vervult, moet hij:

- Een vijftiental dagen wachten (behandelingstijd van de Privacycommissie);

- De Verantwoordelijke Toegang Entiteiten vragen om naar https://professional.socialsecurity.be te gaan, te klikken op Werkgever en vervolgens te klikken op “aanmelden”.

63




- Wanneer de veiligheidsconsulent reeds bestaat en een rol heeft, hem/haar te schrappen,

- Wanneer de veiligheidsconsulent nog niet bestaat, hem/haar niet aan te maken,

- Te klikken op “De lokale beheerder vervangen”

- Het Rijksregisternummer in te voeren van de nieuwe veiligheidsconsulent, te registreren en te klikken op “bevestigen”.

64




Herinnering: de veiligheidsconsulent mag niet de

Secretaris of de Directeur-generaal zijn in een groot

OCMW.

De veiligheidsconsulent mag niet de verantwoordelijke

zijn van de informaticadienst of de directeur ervan.

De Privacycommissie zal de informatie registreren, maar

zal geen enkel oordeel geven over jullie kennis en zal

niemand verhinderen om te worden aangeduid als

informatieveiligheidsconsulent.

VRAGEN?

1 Veiligheidssessie 2de semester 2013 Programmatorische Overheidsdienst Maatschappelijke Integratie,

Documents

Transcript of 1 Veiligheidssessie 2de semester 2013 Programmatorische Overheidsdienst Maatschappelijke Integratie,