|
Elektronisch gegevensverkeer en privacy in gemeente en OCMW
In het kader van de privacywetgeving zijn zowel OCMW’s als gemeentebesturen verplicht een aantal richtlijnen inzake informatieveiligheid na te leven.
De OCMW’s zijn reeds een aantal jaar met het veiligheidsaspect bezig aangezien ze sinds hun aansluiting op de Kruispuntbank Sociale Zekerheid (KSZ) aan een aantal minimale veiligheidsnormen moeten beantwoorden. De naleving van deze normen wordt ook effectief opgevolgd door hun beheersinstelling namelijk de POD Maatschappelijke Integratie (POD MI). Bij niet naleving riskeren de OCMW’s afgesloten te worden van de KSZ wat het verlies van heel wat subsidies met zich mee zou brengen.
Voor gemeentes gelden in principe dezelfde veiligheidsvereisten aangezien zij verbonden zijn met het Rijksregister. De federale overheidsdienst Binnenlandse Zaken Algemene Directie Instellingen en Bevolking (IBZ) heeft hier in het verleden al wel eens rond gecommuniceerd, maar aangezien er nooit echte controles of sancties aan werden gekoppeld, zijn er tot op heden weinig gemeentebesturen die hier al gevolg aan hebben gegeven.
Nu, met het Fedict-project E-Birth (digitale aangifte geboorten)[1] dat in de loop van 2011 voor de diensten van de Burgerlijke Stand van start gaat, wordt er nu nogmaals uitdrukkelijk gesteld dat ook gemeentebesturen een veiligheidsconsulent moeten aanstellen en er werk moet worden gemaakt van een veiligheidsbeleid.
Voor vele besturen misschien een moeilijke bevalling! Maar meteen ook een uitgelezen moment om de samenwerking tussen OCMW en gemeentebestuur op punt te stellen.
Samenwerking Gemeente & OCMW
Mede met de komst van het Sociaal huis merken we dat gemeentes en OCMW’s zowel op logistiek als inhoudelijk vlak, steeds vaker gaan samenwerken.
Concreet kunnen we zo vaststellen dat OCMW’s regelmatig een beroep doen op bijvoorbeeld de ICT-diensten van de gemeente. Een tendens die zeker kostenbesparend kan zijn, maar waarbij toch steeds de aandacht moet bewaard blijven voor informatieveiligheid en de specifieke omgang en bewaring van vertrouwelijke gegevens die op een OCMW aanwezig zijn. Zo stelt de POD MI immers dat OCMW’s en gemeentes die op een gezamenlijke server wensen te werken, steeds een logische scheiding (bv. een apart domein) van gegevens moeten waarborgen. Zeker in zulke besturen lijkt ons een nauwe samenwerking op het vlak van informatieveiligheid zelfs noodzakelijk!
Daarnaast werden er in het verleden reeds op een aantal besturen gemeentelijke bevoegdheden overgeheveld naar het OCMW (bv. via het Portaal sociale zekerheid: Pensioen online aanvraag pensioenen, of Communit-e: aanvraag tegemoetkomingen personen met een handicap, …), en met de komst van het Sociaal Huis, lijkt ons de grens tussen specifieke OCMW en gemeentelijke materies mogelijk nog meer te vervagen. [2]
Kortom een samenwerking tussen gemeente en OCMW lijkt ons ook op het vlak van informatieveiligheid opportuun.
Wettelijke verplichting Gemeentebestuur!
De gemeenten werden bij koninklijk besluit gemachtigd om toegang te hebben tot het Rijksregister en om het identificatienummer (RR) ervan te gebruiken. In toepassing van onderstaande reglementering is bijgevolg ook voor gemeentebesturen de aanduiding van een veiligheidsconsulent en het implementeren van technische en organisatorische veiligheidsmaatregelen ook nu reeds verplicht!
-Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR"); (inzonderheid artikelen 8, §2 en 10)
-Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;
-Omzendbrief 9 januari 2002 Toegang tot de informatiegegevens die in het Rijksregister van de natuurlijke personen opgenomen zijn. Maatregelen ter beveiliging van de gegevens. Referentie III30/8786/01
-Omzendbrief 24 september 2007 Verplichtingen voor de verantwoordelijken van gegevensverwerking
-Omzendbrief 12 maart 2008 Bescherming van de persoonlijke levenssfeer tov de verwerking van persoonsgegevens- Toegang tot de informatiegegevens van het Rijksregister – Veiligheidsmaatregelen die ertoe strekken de vertrouwelijkheid en de integriteit van de gegevens, de authentificatie van de gebruikers en het spoor van de activiteiten die uitgevoerd werden op de informatiesystemen, te waarborgen.
-Omzendbrief 10 juli 2008 Bescherming van de persoonlijke levenssfeer tov de verwerking van persoonsgegevens -Toegang tot de informatiegegevens van het Rijksregister – Respect voor de doeleinden waarvoor toestemming werd gegeven om toegang te krijgen tot de informatiegegevens in het Rijksregister of om er mededeling van te bekomen.
Welke stappen & documenten nodig?
-Veiligheidsconsulent aanduiden:
Net zoals de OCMW’s officieel een veiligheidsconsulent hebben moeten aanstellen, zullen ook de gemeentebesturen dit moeten doen. De identiteit van deze persoon moet worden doorgegeven aan Fedict alsmede meer info omtrent het functieprofiel, de opleiding en tijd die hij/zij aan deze functie zal besteden.
-Veiligheidsbeleid opmaken:
Een veiligheidsbeleid met aandacht voor zowel logische (ICT, firewall, wachtwoorden,..) als fysische (brand, inbraak,…) veiligheid moet worden opgemaakt. De voornaamste aspecten binnen dit veiligheidsbeleid zijn het sensibiliseren van medewerkers omtrent omgaan met vertrouwelijke gegevens, een logging-systeem implemeteren om eventuele onrechtmatige consultaties van het rijksregister te detecteren en verder nog documenten zoals een wachtwoordbeleid, backup-procedure, een inventaris van gebruikers, sleutelplan,…
Welzijnszorg Kempen
Welzijnszorg Kempen ondersteunt reeds sinds 2002 de aangesloten OCMW’s inzake informatieveiligheid door een gezamenlijke veiligheidsconsulent ter beschikking te stellen. Op de website van Welzijnszorg Kempen zijn er dan ook een aantal procedures en documenten ter beschikking die ook voor de Gemeentebesturen relevant zullen zijn.
Een mogelijkheid om het veiligheidsbeleid van OCMW en stad op elkaar af te stemmen, en delen van het huidige veiligheidsbeleid van OCMW in beide te implementeren, is echter zeker mogelijk.
Wel moet er rekening worden gehouden met het feit dat de toegang tot het rijksregister voor stad en OCMW geregeld is in verschillende Koninklijke Besluiten en dus ook verschillende uitvoeringsbesluiten. Er zullen dus uiteraard verschillen zijn.
De OCMW’s moeten voldoen aan de minimale normen van de KSZ, voor de Gemeentes zijn er voorlopig niet zulke normen. Maar aangezien RR ook verbonden is met KSZ zullen deze vermoedelijk toch sterk overeenstemmen. Ook daar zullen ze immers niet het warm water opnieuw uitvinden.
Zo werd er bv. vorig jaar reeds een VTC in het leven geroepen, een soortgelijke als deze bij de KSZ maar dan op Vlaams niveau. Zij voorzien in de loop van maart 2011 ook verdere toelichting voor gemeenten en OCMW’s.
Onderstaand wat meer info:
De Vlaamse toezichtscommissie voor het elektronisch bestuurlijke gegevensverkeer werd opgericht door het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer. Sinds 2010 is zij operationeel. Het is een onafhankelijk instelling die de Vlaamse overheid ondersteunt bij de naleving van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Zij werkt conform deze wet en staat in voor het toezicht en eventuele machtigingen van de uitwisseling en/of interconnectie van persoonsgegevens door de Vlaamse overheidsinstanties, waaronder ook de lokale besturen die hierdoor gevat zijn.
Betrokken partijen
Federaal: -Privacy-commissie
- IBZ (Federale Overheidsdienst Binnenlandse Zaken)
- Rijksregister
-KSZ (Kruispuntbank Sociale Zekerheid)
-POD MI (Programmatorische Overheidsdienst Maatschappelijke Integratie) (beheersinstelling voor de OCMW’s inzake veiligheid)
Vlaams: -VVSG (Vlaamse Vereniging van Steden en Gemeenten)
-V-ICT-OR (Vlaamse ICT-Organisatie VZW)
-VTC (Vlaamse Toezichtscommissie)
[1] Meer info E-birth : https://www.ehealth.fgov.be/nl/page_menu_a_t/contentareas/ebirth/home/ebirth/about.html
[2] Nota Informatieveiligheid bij integratieoefeningen OCMW-gemeente – VVSG – Boens C., Callens H., Sels P. - 8 maart 2010
|
