180 likes | 323 Views
Hoe elektronische samenwerking tussen gemeente en OCMW qua privacybescherming correct organiseren ? Informatiesessies voor steden, gemeenten en OCMW’s Maart 2011. Frank Robben. Dienstenintegratoren. 2. 17/09/2014. documentatie
E N D
Hoe elektronische samenwerkingtussen gemeente en OCMWqua privacybeschermingcorrect organiseren ?Informatiesessies voorsteden, gemeenten en OCMW’sMaart 2011 Frank Robben
Dienstenintegratoren 2 17/09/2014 • documentatie • CBPL-aanbeveling nr. 01/2008 (24/09/08) http://www.privacycommission.be/nl/docs/ Commission/2008/aanbeveling_01_2008.pdf • CBPL-aanbeveling nr. 03/2009 (01/07/09) http://www.privacycommission.be/nl/docs/ Commission/2009/aanbeveling_03_2009.pdf • CBPL-aanbeveling nr. 03/2010 (09/06/10) http://www.privacycommission.be/nl/docs/ Commission/2010/aanbeveling_03_2010.pdf
Dienstenintegratoren • probleemstelling • voor het verrichten van hun taken hebben overheden persoonsgegevens uit diverse bronnen nodig • het structureel samenbrengen ervan houdt risico’s voor de persoonlijke levenssfeer in • => pleidooi voor dienstenintegratie • de nodige persoonsgegevens worden enkel tijdelijk samengebracht wanneer de dienst opgeroepen wordt • de onnodige circulatie van kopieën van de persoonsgegevens in kwestie wordt vermeden 3 17/09/2014
Dienstenintegratoren • Trusted Third Party (TTP) • dienstenintegrator treedt op als een “vertrouwde onafhankelijke partij” • heeft zelf geen taken inzake de inhoudelijke verwerking van de persoonsgegevens • brengt de persoonsgegevens enkel tijdelijk samen ten behoeve van derden • met naleving Wet Verwerking Persoonsgegevens • met naleving machtigingen sectorale comités of VTC • de gebruiker moet de diverse authentieke bronnen niet zelf afzonderlijk aanspreken 4 17/09/2014
Dienstenintegratoren • principe van “cirkels van vertrouwen” • samenwerking en taakverdeling tussen de betrokken partijen omtrent • wie wat controleert vooraleer toegang wordt verleend • wie wat logt • hele keten moet achteraf kunnen worden getraceerd • aandacht voor veiligheid • structurele en organisatorische maatregelen • juridische maatregelen • technische en fysieke maatregelen 5 17/09/2014
Dienstenintegratoren • elke groep van gebruikers richt zich slechts tot één dienstenintegrator • één technisch platform • één systeem van gebruikers- en toegangsbeheer voor • alle gebruikers van die groep • al hun toegangen tot elektronische toepassingen • één set van minimale veiligheidsregels 6 17/09/2014
Dienstenintegratoren • anders risico’s voor informatieveiligheid • door het beheer van dezelfde gebruikers in meerdere systemen • door de splitsing van de autorisaties over meerdere systemen • door risico van “shopping” naar systeem dat de laagste veiligheidsnormen hanteert => nivellering van de informatieveiligheid naar beneden in plaats van naar boven 7 17/09/2014
Dienstenintegratoren Diensten integrator dienst G&G dienst G&G Diensten repository Extranet gewest of gemeenschap Diensten integrator (KSZ) Diensten repository ISZ Extranet sociale zekerheid ISZ Internet Zorginstelling FOD ISZ VPN POD FEDMAN Diensten repository Diensten integrator (FEDICT) Diensten integrator (eHealth- platform) Zorgverlener FOD Diensten repository 8 17/09/2014
Opdrachten dienstenintegrator • rol van dienstenintegrator • gemeenschappelijke visie • motor en beheerder van veranderingen • goede architectuur • beheerder van een beveiligd samenwerkingsplatform • optimalisatie van processen met lateraal denken • standaarden • actoroverschrijdend programmamanagement • actoroverschrijdend projectmanagement • vorming en coaching 9 17/09/2014
OCMW’s • behoren tot het netwerk van de sociale zekerheid • art. 2 KSZ-wet (maatschappelijke integratie) • art. 1 KB 04/03/05 (maatschappelijke dienstverlening) • gevolgen • KSZ treedt op als enige dienstenintegrator bij mededelingen door en aan OCMW’s • mededeling van persoonsgegevens door OCMW’s vergt voorafgaande machtiging van het sectoraal comité van de sociale zekerheid en van de gezondheid • de minimale veiligheidsnormen van de sociale zekerheid zijn van toepassing 10 17/09/2014
Gemeenten Vlaamse gemeenten zullen allicht gaan behoren tot het netwerk van de Vlaamse dienstenintegrator decretale basis voor Vlaamse dienstenintegrator is in de maak gevolgen Vlaamse dienstenintegrator wordt enige dienstenintegrator voor Vlaamse gemeenten mededeling van persoonsgegevens door gemeenten vergt voorafgaande machtiging van de VTC de gemeenschappelijke minimale veiligheidsnormen van CBPL en VTC zijn van toepassing (minder verregaand dan voor OCMW’s) 11 17/09/2014
Door sectoraal comité of VTC te toetsen criteria 12 17/09/2014 • rechtmatigheid • het sectoraal comité moet rekening houden met de regelgeving waarop de mededeling gesteund wordt, ongeacht het bevoegdheidsniveau • finaliteit en proportionaliteit • voor welk doeleinde worden de persoonsgegevens meegedeeld? • zijn de persoonsgegevens, uitgaande van dat doeleinde, ter zake dienend en niet overmatig? • veiligheid
OCMW’s & gemeenten wensen samen te werken • samenwerking leidt tot • betere en geïntegreerde dienstverlening aan de burger • grotere efficiëntie en effectiviteit voor de betrokken partijen • op basis van • gedeelde infrastructuur • gedeelde personeelsleden • dezelfde fysische netwerkverbindingen met de buitenwereld 13 17/09/2014
Voorwaarden voor samenwerking • gemeente en OCMW zijn twee onderscheiden verantwoordelijken van de verwerking => • elk eigen finaliteiten • elk eigen informatieveiligheidsbeleid • bij toegang tot gegevens moet kunnen worden onderscheiden of het geschiedt in naam van de gemeente of van het OCMW • als eindgebruikerstoepassing -> authenticatie van gebruiker via gebruikers- en toegangsbeheer • als van toepassing tot toepassing -> authenticatie van de toepassing 14 17/09/2014
Voorwaarden voor samenwerking • gemeente en OCMW zijn twee onderscheiden verantwoordelijken van de verwerking => • onderscheid tussen rol als • veiligheidsbeheerder en veiligheidsconsulent voor gemeente, aangeduid door wettelijke vertegenwoordiger van gemeente • veiligheidsbeheerder en veiligheidsconsulent voor OCMW, aangeduid door wettelijke vertegenwoordiger van OCMW • maar kan zelfde persoon zijn • zeker indien zelfde persoon, verwachting van nivellering van veiligheidsbeleid naar boven en niet naar beneden: gemeenten spiegelen zich aan hoger niveau bij OCMW’s, niet omgekeerd 15 17/09/2014
Voorwaarden voor samenwerking 16 17/09/2014 • voor elke gebruiker onderscheiden toegangsrechten tot persoonsgegevens in functie van rol bij gemeente en/of OCMW • gemeente en OCMW zijn twee onderscheiden verantwoordelijken van de verwerking => • een machtiging is nodig voor de uitwisseling van persoonsgegevens tussen de gemeente en het OCMW
Uitdaging dienstenintegratoren • interoperabel gebruikers- en toegangsbeheer • gemeenschappelijke standaarden • webservices • veiligheid • goede onderlinge coördinatie van businessprocessen • voorbereiden van machtigingsaanvragen 17 17/09/2014
18 17/09/2014 Dank u ! Vragen ?