Organisatorische gevolgen van
de privacywetgeving
Beleidsdomein Financiën en Begroting
Vlaams Fiscaal Platform: betrokken
partij
-
Referentiedatabank
-
-
-
Gebruik:
-
Netwerk organisatiebeheersing :
koppeling persoonsgegevens aan informatie
van authentieke bronnen
Informatie verrijkt met belastinggegevens van
burgers en rechtspersonen
Vlaams Fiscaal platform
Inspectie RWO
Wonen
O&V (Studietoelagen)
Organisatorische gevolgen van de privacywetgeving
Agenda
Op welke gegevens is de privacywetgeving van
toepassing?
De 3 criteria inzake goedkeuring en opgelegde
beveiligingseisen
Organisatorische maatregelen
Hoe om te gaan met deze data voor andere
doeleinden (finaliteit)?
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Welke data?
Authentieke bronnen met persoonsgegevens (rechtspersonen en
natuurlijke personen)
en zeker met
Rijksregisternummer (natuurlijke personen)
KBO nummer (KBO nummer)
Elke zelf samengestelde set data die persoonsgegevens bevat;
Bijvoorbeeld:
Adressenlijst van klanten, leden, abonnementen
Stakeholders databank (ARA)
Maatregelen:
Personen in kennis stellen van het aanmaken van de set
Personen in kennis stellen van de data binnen de set
Personen de mogelijkheid bieden de data te verbeteren
Netwerk organisatiebeheersing : Organisatorische gevolgen van
de privacywetgeving
De drie criteria voor de verwerking
van persoonsgebonden authentieke
bronnen
De data
Het proces (finaliteit)
De derde partij (technisch aanleverende organisatie)
Inclusief
Security officer
Veiligheidsconsulent
Indienen bij:
Privacy commissie
Sectorale comités
Netwerk organisatiebeheersing : Organisatorische gevolgen van
de privacywetgeving
Maatregelen
Beleid (aanscherping VO veiligheidsbeleid)
ISO2700x
Organisatie
Security office, veiligheidsconsulent
Functiescheiding
Security awareness
Technisch
O.a. Fysieke beveiliging, authenticatie, scheiding
omgevingen etc.
Netwerk organisatiebeheersing :
Organisatorische gevolgen van de privacywetgeving
Awareness
Toename van risico’s inzake security
Toename van informatie die aan natuurlijke personen wordt
gekoppeld
Sterke groei van de organisatie
Interne “kwaadwilligen”
Uitbreiding en promotie van Internet diensten
Externe “kwaadwilligen”
Vereist
Cultuuromslag
Verscherping van de beveiligingsmaatregelen
Bewustzijn bij alle betrokkenen
Aansprakelijkheid
Charter informatiebeveiliging
Netwerk organisatiebeheersing : Organisatorische gevolgen van
de privacywetgeving
Gebruik voor andere doeleinden dan
de aangevraagde processen
(finaliteit)
Voorbeelden
Indicatoren
Simulaties
Testdata
Akties
Primaire depersonalisering
Secundaire controle naar depersonaliseringsgraad in het
kader van de selectie,
Bijvoorbeeld:
Functie: ICT manager
Organisatie: Financiën en Begroting
Netwerk organisatiebeheersing : Organisatorische gevolgen van
de privacywetgeving
Privacycommisie
Wanneer komen ze?
Een klacht van een burger of rechtspersoon
Wat wordt verlangd?
Loggingsdata en toegangsdata aangaande het gebruik
van de persoonsgegevens van de klager:
Wanneer, wat, door wie, waarom
Netwerk organisatiebeheersing : Organisatorische gevolgen van
de privacywetgeving
Strategie (technisch)
Terughoudendheid mbt cloud technologie
Eigen F&B datacenters
Gezonde balans
Gebruikersvriendelijkheid Beveiligingsniveau
Aanpak bescherming van persoonsgegevens, o.a. door
Strikte scheiding van interne en externe netwerken
Toegangscontrale (identificatie/authenticatie)
EID, token of smartcard vereist voor alle partijen
Aanvullende beveiliging gebruikersnetwerk (NAC)
Monitoring/rapportering
Toezicht veiligheidsconsulent
Logging
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Valkuilen bij het nemen van de
maatregelen
Interne organisatie
Gebrek aan awareness
Geen aandacht voor juiste proportionaliteit
“de persoonsgegevens moeten, uitgaande van die
doeleinden, toereikend, ter zake dienend en niet
overmatig zijn”
Informatiebeveiliging wordt beschouwd als overhead
Relatie derde partijen
Positionering/mandaat Security Office
Procedures
Functiescheiding
Reductie van gebruikersrechten (ontneming status?)
Netwerk organisatiebeheersing : Organisatorische gevolgen van
de privacywetgeving
Valkuilen bij het nemen van de
maatregelen
Externe dienstverleners
Geen proactieve sturing of ondersteuning van de klant
Sabotage van en blokkeren van security regels naar
zichzelf
Signalering/rapportering van beveiligingslekken
Competenties op het gebied van informatiebeveiliging
ondermaats
Functiescheiding
Netwerk organisatiebeheersing : Organisatorische gevolgen van
de privacywetgeving
Valkuilen bij het nemen van de
maatregelen
Technische issues
Evenwicht Beveiligingsniveau Kosten
Overhead
Investeringen security maatregelen
Effectieve registratie van bevraging persoonsgegevens (logging)
Forensics
Beveiligingsmaatregelen tegen hackers
Monitoring
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Maatregelen tegen datalekken
Maatregelen ter bescherming ten opzichte van de buitenwereld
Een volledige scheiding tussen de data en het internet
Het asynchroon verlopen van de opvragingen
Frequent worden er zelf hacker-testen uitgevoerd;
Maatregelen tegen de risico’s van binnenuit
De eigen medewerkers en de externen die in dienst zijn, zijn
onderworpen aan een specifieke gedragscode inzake privacy data en
kunnen enkel met pc’s van de overheid op het intern netwerk worden
aangesloten
Alle toegangen verlopen via het Eid
Alle opvragingen van persoonsgegevens worden gelogd;
Maatregelen tegen de risico’s van het gebruik van persoonlijke data
Wanneer de data nodig zijn voor andere doelen dan dossiers (bvb.:
rapporten, statistieken) worden de gegevens waar mogelijk
gedepersonaliseerd.
Netwerk organisatiebeheersing : Organisatorische gevolgen van
de privacywetgeving
