2014_CBS_01758 - Privacybeleid en informatieveiligheid - Beleidsnota en informatieveiligheidsplan - Goedkeuring

Een informatieveiligheidsplan bevat concreet de maatregelen voorzien door een instantie die persoonsgegevens en andere informatie verwerkt. Doorgaans wordt de ISO27001-standaard als raamwerk gebruikt voor de uitwerking van de verschillende processen met betrekking tot informatiebeveiliging.

De stad Antwerpen beschikte tot op heden niet over een informatieveiligheidsplan. Voor het aanvragen van de nodige machtigingen bij de commissie voor de bescherming van de persoonlijke levenssfeer en de Vlaamse toezichtcommissie is het beschikken over een veiligheidsplan een noodzakelijke voorwaarde voor het verkrijgen van een machtiging. Ook voor de toetreding tot de zogenaamde 'globale machtiging' is het beschikken over een veiligheidsplan een absolute noodzaak.

Op 5 juni 2013 (jaarnummer 201) besliste het managementteam om alle bedrijfsdirecteurs de opdracht te geven de nodige input aan te leveren voor de opmaak van een informatieveiligheidsplan.

Op 11 december 2013 (jaarnummer 483) keurde het managementteam de beleidsnota informatieveiligheid en een eerste versie van het stedelijk veiligheidsplan goed. Aan alle bedrijfsdirecteurs werd gevraagd finaal hun input te geven voor de definitieve versie van het veiligheidsplan.

Beleidsnota informatieveiligheid
Voorafgaand aan de goedkeuring van een concreet informatieveiligheidsplan dient op strategisch niveau bepaald te worden hoe het algemene informatieveiligheidsbeleid er zal uitzien. Dit wordt gebundeld in een zogenaamde beleidsnota informatieveiligheid. Het informatieveiligheidsbeleid van de stad Antwerpen geeft aan op welke wijze het beleid wordt gevoerd ten overstaan van de beveiliging van de bedrijfseigen informatie en infrastructuur.

De beveiliging van informatie omvat het verzekeren, beheren en controleren van de confidentialiteit, integriteit en beschikbaarheid van alle informatie en infrastructuur die gehanteerd wordt binnen de werkomgeving van de stad Antwerpen.

De stad Antwerpen kiest voor een organisatieoverkoepelende benadering van informatiebeveiliging.

Het informatieveiligheidsbeleid is opgebouwd rond drie belangrijke principes.

1. De integrale aanpak op basis van een standaard raamwerk - de ISO27001-norm - waarbij alle facetten van informatiebeveiliging aan bod komen. Door deze overkoepelende aanpak wordt er niet alleen op verschillende domeinen tegelijkertijd gewerkt, maar tevens is er onderlinge afstemming mogelijk. Het geheel wordt op een gestandaardiseerde manier ondersteund door een organisatiestructuur en opvolgingsmechanismes.
2. De prioriteiten van het informatieveiligheidsbeleid worden bepaald op basis van het concept “risicoanalyse”. Hierbij wordt steeds de afweging gemaakt tussen de omvang en mogelijke impact van de bedreiging enerzijds en de kost en effectiviteit van bescherming anderzijds. Deze evenwichtsoefening verplicht de organisatie om de budgetten en de middelen optimaal over de verschillende domeinen te verdelen en met de prioriteiten te beginnen.
3. In de evaluatie van de verschillende facetten van de informatiebeveiliging staan steeds volgende criteria centraal.
   - Vertrouwelijkheid: het waarborgen dat informatie en systemen alleen toegankelijk zijn voor wie daartoe bevoegd is.
   - Integriteit: het beveiligen van de nauwkeurigheid en de volledigheid van informatie en de systemen om ze te verwerken.
   - Beschikbaarheid: waarborgen dat bevoegde gebruikers, wanneer nodig, toegang hebben tot informatie en de aanverwante bedrijfssystemen.

Informatiebeveiliging wordt bereikt door een passende verzameling beveiligingsmaatregelen in te zetten, bijvoorbeeld beleid, gedragsregels, procedures, organisatiestructuren en softwarefuncties.

Informatieveiligheidsplan
Een veiligheidsplan is het geheel van beheersmaatregelen die er voor zorgen dat de vertrouwelijkheid, de integriteit en de beschikbaarheid van alle vormen van informatie – zowel elektronische, digitale als papieren vorm – behouden blijven, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van informatiebeveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Een veiligheidsplan is doorgaans gebaseerd op de ISO 27002-norm en bevat volgende hoofdstukken:

1. Organisatie rond informatiebeveiliging:
   - interne organisatie: stuurgroep privacy;
   - extern: contracten met derden.
2. Dataclassificatie
3. Informatiebeveiliging
   - voorafgaand aan dienstverband;
   - tijdens het dienstverband;
   - einde dienstverband.
4. Toegangsbeveiliging: fysieke toegangsbeveiliging, beveiliging apparatuur, brand, inbraak, water, stroomvoorziening, …
5. Operationeel beheer: bijvoorbeeld: bescherming tegen virussen, loggingssysteem, …
6. Logische toegangsbeveiliging: bijvoorbeeld: beleid inzake toegangscontrole en toegangsrechten.
7. Ontwikkeling en onderhoud van systemen: bijvoorbeeld: formele wijzigingsprocedures voorzien – onterechte wijzigingen of lekken van persoonsgegevens voorkomen – bijvoorbeeld: via cryptografie;
8. Beheer van incidenten
9. Continuïteitsbeheer
10. Compliance: naleving wettelijke voorschriften en organiseren (externe) audits.

Praktisch gezien zijn er tal van moeilijkheden voor de stad bij het ontbreken van een informatieveiligheidsplan.

1. Globale machtiging inzake de toegang tot het Rijksregister van 13 februari 2013
Door deze machtiging kan een gemeente nu ook de gegevens van niet-inwoners raadplegen in het Rijksregister, wat vroeger niet het geval was. Voor veel diensten is dit een enorme vooruitgang en vereenvoudigt dit de werking. De machtiging die de privacycommissie daartoe heeft verleend, bevat echter de volgende voorwaarden:

• schriftelijke en ondertekende verbintenis van instemming met de voorwaarden van de machtiging vanwege de gemeente;
• veiligheidsconsulent aanduiden;
• een veiligheidsplan hebben.

Zolang de stad aan de privacycommissie haar veiligheidsplan niet overgemaakt heeft, geldt de globale machtiging voor de stad Antwerpen niet.

2. Bepaalde instanties willen geen gegevens meer uitwisselen met de stad zolang er geen veiligheidsplan op tafel ligt (bijvoorbeeld gegevens van onderwijs). Ook bepaalde machtigingen werden in het verleden niet verleend aan de stad omdat men steeds een veiligheidsplan moest kunnen voorleggen.

Momenteel is er een Europese verordening in de maak die er onder andere voor zal zorgen dat de rol van de privacycommissie versterkt zal worden en dat zij ook zelf boetes kan opleggen bij de niet-nakoming van bepaalde verplichtingen (zoals het hebben van een veiligheidsplan). Het is verder de bedoeling van de nieuwe Europese regelgeving om de individuele rechten van burgers te versterken en meer rekening te gaan houden met de risico's van de globalisering en van nieuwe technologie.

Gezien bovenstaande overwegingen is het dus noodzakelijk dat de stad Antwerpen beschikt over een degelijk informatieveiligheidsplan.

De toepassing van dit plan beperkt zich tot de stad Antwerpen. Het OCMW en de verzelfstandigde entiteiten van de groep stad Antwerpen worden geacht  te beschikken over een eigen informatieveiligheidsplan.

• Het besluit van 15 mei 2009 van de Vlaamse Regering betreffende de veiligheidsconsulenten;
• De wet verwerking persoonsgegevens van 8 december 1992 (de zogenaamde privacywet);
• Het decreet betreffende het elektronische bestuurlijke gegevensverkeer van 18 juli 2008.