O rganisatorische gevolgen van de privacywetgeving

1. Organisatorische gevolgen van de privacywetgeving Beleidsdomein Financiën en Begroting

2. Vlaams Fiscaal Platform: betrokken partij Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Referentiedatabank • koppeling persoonsgegevens aan informatie van authentieke bronnen • Informatie verrijkt met belastinggegevens van burgers en rechtspersonen • Gebruik: • Vlaams Fiscaal platform • Inspectie RWO • Wonen • O&V (Studietoelagen)

3. Agenda Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving Op welke gegevens is de privacywetgeving van toepassing? De 3 criteria inzake goedkeuring en opgelegde beveiligingseisen Organisatorische maatregelen Hoe om te gaan met deze data voor andere doeleinden (finaliteit)?

4. Welke data? Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Authentieke bronnen met persoonsgegevens (rechtspersonen en natuurlijke personen)en zeker met • Rijksregisternummer (natuurlijke personen) • KBO nummer (KBO nummer) • Elke zelf samengestelde set data die persoonsgegevens bevat; Bijvoorbeeld: • Adressenlijst van klanten, leden, abonnementen • Stakeholders databank (ARA) Maatregelen: • Personen in kennis stellen van het aanmaken van de set • Personen in kennis stellen van de data binnen de set • Personen de mogelijkheid bieden de data te verbeteren

5. De drie criteria voor de verwerking van persoonsgebonden authentieke bronnen Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • De data • Het proces (finaliteit) • De derde partij (technisch aanleverende organisatie) • Inclusief • Security officer • Veiligheidsconsulent Indienen bij: • Privacy commissie • Sectorale comités

6. Maatregelen Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Beleid (aanscherping VO veiligheidsbeleid) • ISO2700x • Organisatie • Security office, veiligheidsconsulent • Functiescheiding • Security awareness • Technisch • O.a. Fysieke beveiliging, authenticatie, scheiding omgevingen etc.

7. Awareness Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Toename van risico’s inzake security • Toename van informatie die aan natuurlijke personen wordt gekoppeld • Sterke groei van de organisatie • Interne “kwaadwilligen” • Uitbreiding en promotie van Internet diensten • Externe “kwaadwilligen” • Vereist • Cultuuromslag • Verscherping van de beveiligingsmaatregelen • Bewustzijn bij alle betrokkenen • Aansprakelijkheid • Charter informatiebeveiliging

8. Gebruik voor andere doeleinden dan de aangevraagde processen (finaliteit) Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Voorbeelden • Indicatoren • Simulaties • Testdata • Akties • Primaire depersonalisering • Secundaire controle naar depersonaliseringsgraad in het kader van de selectie,Bijvoorbeeld: • Functie: ICT manager • Organisatie: Financiën en Begroting

9. Privacycommisie Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Wanneer komen ze? • Een klacht van een burger of rechtspersoon • Wat wordt verlangd? • Loggingsdata en toegangsdata aangaande het gebruik van de persoonsgegevens van de klager: • Wanneer, wat, door wie, waarom

10. Strategie (technisch) Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Terughoudendheid mbtcloud technologie • Eigen F&B datacenters • Gezonde balans • Gebruikersvriendelijkheid  Beveiligingsniveau • Aanpak bescherming van persoonsgegevens, o.a. door • Strikte scheiding van interne en externe netwerken • Toegangscontrale (identificatie/authenticatie) • EID, token of smartcard vereist voor alle partijen • Aanvullende beveiliging gebruikersnetwerk (NAC) • Monitoring/rapportering • Toezicht veiligheidsconsulent • Logging

11. Valkuilen bij het nemen van de maatregelen Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Interne organisatie • Gebrek aan awareness • Geen aandacht voor juiste proportionaliteit“de persoonsgegevens moeten, uitgaande van die doeleinden, toereikend, ter zake dienend en niet overmatig zijn” • Informatiebeveiliging wordt beschouwd als overhead • Relatie derde partijen • Positionering/mandaat Security Office • Procedures • Functiescheiding • Reductie van gebruikersrechten (ontneming status?)

12. Valkuilen bij het nemen van de maatregelen Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Externe dienstverleners • Geen proactieve sturing of ondersteuning van de klant • Sabotage van en blokkeren van security regels naar zichzelf • Signalering/rapportering van beveiligingslekken • Competenties op het gebied van informatiebeveiliging ondermaats • Functiescheiding

13. Valkuilen bij het nemen van de maatregelen Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Technische issues • Evenwicht Beveiligingsniveau   Kosten • Overhead • Investeringen security maatregelen • Effectieve registratie van bevraging persoonsgegevens (logging) • Forensics • Beveiligingsmaatregelen tegen hackers • Monitoring

14. Maatregelen tegen datalekken Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving • Maatregelen ter bescherming ten opzichte van de buitenwereld • Een volledige scheiding tussen de data en het internet • Het asynchroon verlopen van de opvragingen • Frequent worden er zelf hacker-testen uitgevoerd; • Maatregelen tegen de risico’s van binnenuit • De eigen medewerkers en de externen die in dienst zijn, zijn onderworpen aan een specifieke gedragscode inzake privacy data en kunnen enkel met pc’s van de overheid op het intern netwerk worden aangesloten • Alle toegangen verlopen via het Eid • Alle opvragingen van persoonsgegevens worden gelogd; • Maatregelen tegen de risico’s van het gebruik van persoonlijke data • Wanneer de data nodig zijn voor andere doelen dan dossiers (bvb.: rapporten, statistieken) worden de gegevens waar mogelijk gedepersonaliseerd.