Informatieveiligheid en DPO

Hoe ga je om met wachtwoorden? Hoe verwerk je persoonsgegevens? Hoe kan je medewerkers sensibiliseren?

De richtlijnen van GDPR en informatieveiligheid vragen veel van de lokale besturen… Onze DPO’s ondersteunen jou naar een informatieveilig bestuur!

Welkom Ik zoek als OCMW Informatieveiligheid & DPO

Ik zoek als OCMW

Wat kunnen onze experten beteken voor een lokaal bestuur?

De stafmedewerkers helpen de besturen om de vertrouwelijkheid, integriteit en beschikbaarheid van alle vormen van informatie te respecteren. Dit doen ze door te:

Adviseren
Stimuleren
Ondersteunen
Documenteren
Controleren

De stafmedewerkers informatieveiligheid en DPO ondersteunen bij verschillende verantwoordelijkheden:

Opmaken en up-to-date houden van het verwerkingsregister faciliteren
Advies of toelichting geven in het kader van de AVG en informatieveiligheid
Opmaken van beleid faciliteren (zoals het uitoefenen van rechten van betrokkenen en het informatieveiligheidsbeleid)
Opmaken van en rapporteren over actieplannen op basis van risicoanalyse en maturiteitsmeting (zoals het informatieveiligheidsplan)
Opmaken, implementeren, evalueren en bijsturen van procedures (zoals omgaan met datalekken en goed toegangsbeheer)
Sensibilisering van medewerkers (zoals bijvoorbeeld sterke wachtwoorden gebruiken, persoonsgegevens veilig communiceren en BCC gebruiken in plaats van CC)
In kaart brengen van de verantwoordelijkheden met betrekking tot informatieveiligheid (preventie, toezicht, opsporing en verwerking)
Organiseren van externe (of interne) audits om na te gaan of het informatieveiligheidsbeleid de doelstellingen bereikt
Voorbereiden van de jaarlijkse vragenlijst minimale normen van de Kruispuntbank Sociale Zekerheid (KSZ)
Deelname aan de werkgroep informatie- en cyberveiligheid van VVSG ter bevordering van kennisdeling

Een stafmedewerker van het team informatieveiligheid en gegevensbescherming is gedurende een bepaald aantal uren per week of maand aanwezig op het bestuur. De stafmedewerker zoekt steeds in nauwe samenwerking met het bestuurlijk management een passende oplossing op maat van dat bestuur. Elke drie maanden is er een overleg met een stuurgroep informatieveiligheid (de informatieveiligheidscel). Een positieve samenwerking met het bestuurlijk management, de OCMW-raad, en het schepencollege is noodzakelijk. Het hoogste beleidsorgaan moet namelijk het informatieveiligheidsbeleid en het informatieveiligheidsplan voor een periode van drie jaar vastleggen.

Hieronder ziet u een gedetailleerd schema van de werking van het team informatieveiligheid en DPO. De stafmedewerker doorloopt stapsgewijs alle fases in samenwerking met het lokaal bestuur.

Waarom is informatieveiligheid en gegevensbescherming belangrijk

Lokale besturen zijn vanwege hun grootschalige verwerking van persoonsgegevens, en OCMW’s vanwege hun aansluiting op de Kruispuntbank Sociale Zekerheid (KSZ), verplicht in te zetten op informatieveiligheid en gegevensbescherming. Waar informatieveiligheid de nadruk legt op risico’s voor organisaties (zoals bijvoorbeeld financiële of reputatieschade), legt gegevensbescherming de nadruk op risico’s voor burgers (zoals bijvoorbeeld discriminatie of identiteitsfraude). Gegevensbescherming werd bovendien bij wet vastgelegd in de AVG (Algemene Verordening Gegevensbescherming) of GDPR (General Data Protection Regulation). Omdat een eigen informatieveiligheidsconsulent of DPO (Data Protection Officer) niet voor alle besturen een haalbare kaart was, heeft KINA gemeenschappelijke stafmedewerkers aangeworven. Vandaag ondersteunt KINA 12 lokale besturen en organisaties bij het uitbouwen van een informatie-veilig bestuur door in te zetten op deze twee zaken.

Waarom is dit belangrijk voor de burgers?

De overheid is digitaal aan het transformeren, en ‘de burger’ gaat daarin mee. Alsmaar meer Vlamingen vinden (tevreden) de digitale weg naar hun overheid. Er blijkt een lichte stijging in tevredenheid over transparantie van de overheid met de persoonlijke gegevens van burgers. We zien ook een daling in de frustratie omtrent een ‘big brother’ overheid die te veel over ons weet of waaraan we herhaaldelijk dezelfde gegevens moeten doorgeven.

Daarnaast krijgen lokale besturen steeds vaker te maken met incidenten rond phishing en ransomware [2]. Bovendien toonde Audit Vlaanderen aan dat beveiligingsrisico’s onvoldoende beheerst worden. Dit geeft in combinatie met digitalisering binnen lokale besturen grote beveiligingsrisico’s. Het inzetten op informatieveiligheid en gegevensbescherming is dus cruciaal om het vertrouwen en de tevredenheid van de burgers te garanderen.

DPO ondersteuning voor jouw lokaal bestuur

Van alle Vlamingen die ooit internet gebruikten, blijft meer dan de helft bezorgd om de privacy. Algemeen ontbreekt bij drie op vier Vlamingen het gevoel van controle over de persoonlijke informatie die van hen verzameld en gebruikt wordt, en blijft de Vlaming zich storen aan het gebrek aan transparantie van bedrijven hierover. Ook bij de overheid, want maar 21% geeft aan dat de overheid transparant is over wat ze met persoonlijke gegevens doet.

Zowel KINA als de OCMW-leden maken onderdeel uit van deze overheid. Daarom besteden ze tijd en middelen aan informatiebeveiliging en gegevensbescherming om datalekken te vermijden en zo het vertrouwen van de burger in deze dienstverlening te versterken en te behouden.

2023 typeerden we als het jaar van de doorbraak van AI. Deze conclusie was vooral te wijten aan de nooit geziene snelheid van doorbraak en diffusie van generatieve AI-toepassingen. Op één jaar tijd wisten AI-diensten om tekst, beeld, muziek of spraak te genereren, in de slipstream van ChatGPT, 18% actieve gebruikers te bekoren. In 2024 zegt 93% AI te kennen, beweert 71% AI ook uit te kunnen leggen, en maakte 45% van de Vlamingen gebruik van generatieve AI [2].

De toepassing van deze relatief nieuwe technologie in ons dagelijks leven vraagt bijzondere aandacht om discriminatie of ongewenste gevolgen zoals het foutief ontzeggen van dienstverlening te voorkomen. Bij gebruik van nieuwe technologie past KINA privacy-by-design toe om na te gaan wat mogelijke risico’s voor burgers zijn.

Beleid en actieplannen die in lijn liggen met de veiligheidsrisico’s zijn belangrijk om het vertrouwen van de burger in digitale dienstverlening te behouden. Lokale besturen weten steeds beter hoe ze hun IT infrastructuur beter kunnen beveiligen en privacy-by-design kunnen toepassen. Het creëren van draagvlak, positieve attitude, en een privacy reflex binnen het lokaal bestuur wordt gerealiseerd met behulp van betrokkenheid, duidelijke afspraken en sensibilisering.

De Kruispuntbank van de Sociale Zekerheid (KSZ) regelt de gegevensstromen tussen openbare en medewerkende instellingen van sociale zekerheid, zoals het RISIV, RVA, RSZ, RSZPPO, het Rijksregister, fondsen voor bestaanszekerheid en het OCMW. De KSZ is dus het knooppunt (kruispunt) tussen de verschillende gegevensbanken van deze sociale zekerheidsinstellingen.

De aansluiting van het OCMW op het netwerk van de KSZ bracht verplichtingen en veiligheidsvoorschriften met zich mee. De minimale veiligheidsnormen worden gedefinieerd, regelmatig geactualiseerd en verfijnd door het informatieveiligheidscomité van de KSZ. Ze beogen de naleving van de toepasselijke wettelijke en reglementaire verplichtingen zoals voorzien in de wet en de machtiging van het OCMW tot deelname aan het netwerk van de KSZ.

Elk OCMW aangesloten op het netwerk van de KSZ moet over een formeel, geactualiseerd en door de OCMW-raad goedgekeurd informatie-veiligheidsbeleid beschikken. Het is de taak van de stafmedewerker om in nauwe samenwerking met het bestuurlijke management dit geïntegreerd beleid op te maken. Het informatieveiligheidsbeleid omvat onder andere het in kaart brengen van bedreigingen en hoe een lokaal bestuur hiermee omgaat.

Het informatieveiligheidsplan met concrete acties voor een periode van 3 jaar, is een zeer belangrijk element voor de naleving van de wettelijke verplichtingen over de bescherming van persoonsgegevens en van de minimale veiligheidsnormen. De vastgestelde tekorten, aandachtspunten, en specifieke behoeften kunnen aanleiding geven tot concrete aanbevelingen van de veiligheidsconsulent. Deze zorgen samen met het officieel gevolg van de OCMW-raad, het vast bureau of de algemeen directeur, voor een duidelijk, concreet en uitvoerbaar veiligheidsplan.

De minimale veiligheidsnormen hebben een bindende waarde. De controle op de naleving van de normen gebeurt onder andere door het invullen van een jaarlijkse vragenlijst die door het sectorieel comité worden geëvalueerd. Het behoort tot de verantwoordelijkheid van het OCMW om de jaarlijkse vragenlijst correct in te vullen en om over de naleving van de normen te waken. De stafmedewerker bereidt de invulling van de vragenlijst voor.

Sensibiliseringsmateriaal

De stafmedewerker focust enorm op sensibilisering bij de directie en de medewerkers van het lokaal bestuur. Pas wanneer iedereen mee is, kan er echt informatieveilig gewerkt worden. Om dit te bereiken worden er infosessie gehouden, adviezen gegeven, en materiaal gedeeld. Dit gaat om posters, video’s, kaartjes… Enkele voorbeelden kan u hieronder zien.

Team Informatieveiligheid & DPO

Vakgebied	Gegevensbescherming en Informatieveiligheid
E-mail	dpo@kina.be

Samen naar een informatie-veilig bestuur?

Of je nu nood hebt aan een DPO, veiligheidsconsulent of ondersteuning, KINA kan jouw bestuur helpen! Samen maken we een informatieveiligheidsbeleid en een informatieveiligheidsplan op maat, en nemen we de nodige acties in het kader van gegevensbescherming.

Daarnaast kan er ook ondersteuning geboden worden bij individuele acties met betrekking tot informatieveiligheid en gegevensbescherming. Benieuwd naar ons aanbod?

Contacteer ons

Cookie	Duur	Omschrijving
cookielawinfo-checkbox-functional	11 maanden	Deze cookie wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Functioneel" op te slaan.
cookielawinfo-checkbox-marketing	11 maanden	Deze cookie wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Marketing" op te slaan.
cookielawinfo-checkbox-necessary	11 maanden	Deze cookie wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Noodzakelijk" op te slaan.
cookielawinfo-checkbox-performance	11 maanden	Deze cookie wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Prestaties" op te slaan.
viewed_cookie_policy	11 maanden	De cookie wordt gebruikt om op te slaan of de gebruiker al dan niet heeft ingestemd met het gebruik van cookies. Er worden geen persoonlijke gegevens in opgeslagen.