Veiligheidsconsulent

Het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid legt de organisatorische structuur vast op basis waarvan alle instellingen van sociale zekerheid een echte "veiligheidscultuur" hebben ontwikkeld, waarbij een sleutelrol is weggelegd voor de veiligheidsconsulent. Het besluit geeft echter geen aanwijzingen met betrekking tot de inhoud van de veiligheidsregels. Het biedt enkel het kader aan waarbinnen de instelling van sociale zekerheid deze regels afzonderlijk dient uit te werken.

Interne informatieveiligheidsdienst

Iedere instelling van sociale zekerheid dient in zijn schoot een interne informatieveiligheidsdienst op te richten. Deze informatieveiligheidsdienst wordt geleid door een veiligheidsconsulent, die eventueel wordt bijgestaan door één of meerdere adjuncten. De veiligheidsconsulenten en hun eventuele adjuncten van de instellingen van sociale zekerheid uit het primaire netwerk worden aangesteld na advies van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid; dergelijk advies is niet vereist met betrekking tot de veiligheidsconsulenten van de instellingen van sociale zekerheid uit de secundaire netwerken (ze dienen echter wel de identiteit van hun veiligheidsconsulent - en zijn eventuele adjunct - na diens aanstelling aan het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid mee te delen). Alvorens zijn advies uit te brengen, gaat het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid na of de kandidaten voldoende beroepsbekwaamheid en beschikbare tijd hebben voor de goede uitvoering van hun functie en of ze geen activiteiten uitoefenen die met deze functie onverenigbaar zijn.

Zie hier een Evaluatievragenlijst voor de kandidaat-veiligheidsconsulent. Op grond van dit formulier kan het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid zich een beeld vormen van de kandidaat en een gemotiveerd advies formuleren.

In uitzonderlijke gevallen kan het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid toestaan dat in een instelling van sociale zekerheid geen interne informatieveiligheidsdienst wordt opgericht maar dat de taken ervan worden toevertrouwd aan een erkende gespecialiseerde veiligheidsdienst. Het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid heeft bij beslissing van 11 januari 1994 op advies van de informatieveiligheidsdienst van de Kruispuntbank volgende criteria vastgesteld waaraan een instelling van sociale zekerheid cumulatief moet voldoen om een dergelijke toelating te bekomen:

  • het moet gaan om een kleine instelling, die niet over de mogelijkheid beschikt om een eigen interne informatieveiligheidsdienst op te richten
  • de instelling mag geen omvangrijk elektronisch netwerk beheren
  • de risico's inzake informatieveiligheid die de instelling genereert, moeten relatief gering zijn (geen gevoelige gegevens, zoals gezondheidsgegevens, verwerken, geen voor andere instellingen belangrijke gegevens ter beschikking stellen aan het netwerk,...)

De informatieveiligheidsdienst heeft een adviserende, stimulerende, documenterende en controlerende opdracht inzake informatieveiligheid. Hij beschikt dus niet over een beslissingsbevoegdheid. De bestaande leidende organen moeten immers volledig verantwoordelijk blijven voor de goede werking van de instelling, waartoe uiteraard ook de veiligheid behoort. Wel heeft de informatieveiligheidsdienst rechtstreekse toegang tot de verantwoordelijke voor het dagelijks bestuur. Meer bepaald adviseert hij de verantwoordelijke voor het dagelijks bestuur, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid.

De adviezen van de informatieveiligheidsdienst worden schriftelijk en gemotiveerd uitgebracht, behalve bij zeer beperkte risico's. Indien de verantwoordelijke voor het dagelijks bestuur van het schriftelijk advies afwijkt, dient hij dit op een schriftelijke en gemotiveerde wijze mee te delen aan de informatieveiligheidsdienst. Op die manier is de in formatieveiligheidsdienst verzekerd van de noodzakelijke feedback inzake de genomen veiligheidsmaatregelen.

De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een termijn van drie jaar, met de aanduiding van de middelen die voor de uitvoering nodig zijn.

Het is ten slotte ook bij de informatieveiligheidsdienst dat het opstellen van het rampenplan van de instelling van sociale zekerheid wordt gecoördineerd.

Erkende gespecialiseerde veiligheidsdiensten

Naast de inrichting van interne informatieveiligheidsdiensten wordt voorzien in de oprichting van door de Minister van Sociale Zaken erkende gespecialiseerde veiligheidsdiensten, waarbij de instellingen van sociale zekerheid zich kunnen aansluiten. Op die manier wordt ervoor gezorgd dat de interne informatieveiligheidsdienst, die een polyvalente rol vervult, telkens er een behoefte aan specifieke raad ontstaat, kan worden bijgestaan door een groep van gespecialiseerde deskundigen, die zich in verschillende domeinen van de informatiebeveiliging hebben bekwaamd.

Om als gespecialiseerde veiligheidsdienst te worden erkend, moet voldaan zijn aan volgende voorwaarden :

  • het moet gaan om een dienst opgericht in de schoot of in de vorm van een vereniging zonder winstoogmerk
  • de dienst mag zich enkel bezighouden met opdrachten die betrekking hebben op de informatieveiligheid binnen de sociale zekerheid
  • de dienst moet de eventueel door de Minister van Sociale Zaken vastgestelde tariefregelen respecteren

Bij ministerieel besluit van 22 oktober 1993 werd de v.z.w. Smals als gespecialiseerde informatieveiligheidsdienst erkend.

Naast de ondersteuningstaak ten aanzien van de informatieveiligheidsdiensten van de instellingen van sociale zekerheid, hebben de erkende gespecialiseerde veiligheidsdiensten onder meer tot opdracht :

  • het organiseren van vorming inzake informatieveiligheid ten behoeve van de instellingen van sociale zekerheid
  • het ondersteunen en begeleiden van promotiecampagnes inzake informatieveiligheid
  • het uitvoeren van externe controles en gedetailleerde onderzoeken naar de veiligheidstoestand van de instellingen van sociale zekerheid, op vraag van de betrokken instelling of van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid

Werkgroep Informatieveiligheid

Specifieke bijkomende regels gelden voor persoonsgegevens die de gezondheid betreffen - dit zijn alle persoonsgegevens waaruit informatie kan worden afgeleid omtrent de vroegere, huidige of toekomstige fysieke of psychische gezondheidstoestand, met uitzondering van de louter administratieve of boekhoudkundige gegevens betreffende de geneeskundige behandelingen of verzorging.

Om de nodige coördinatie tussen de veiligheidsconsulenten van de diverse instellingen van sociale zekerheid te waarborgen, werd binnen het Algemeen Coördinatiecomité de werkgroep Informatieveiligheid opgericht. De veiligheidsconsulent van de KSZ is voorzitter van deze werkgroep, die verder is samengesteld uit de veiligheidsconsulenten van alle instellingen van sociale zekerheid uit het primair netwerk en één bijkomende veiligheidsconsulent per secundair netwerk. Per secundair netwerk werd bovendien een subwerkgroep inzake informatieveiligheid ingesteld; deze wordt voorgezeten door de veiligheidsconsulent van de beheersinstelling van het secundair netwerk en bestaat voor het overige uit de veiligheidsconsulenten van het secundair netwerk. 

Opleidingsprogramma voor veiligheidsconsulenten

Eén van de doelstellingen van de veiligheidsdienst van de KSZ bestaat erin de veiligheidsconsulenten van het socialezekerheidsnetwerk op te leiden en hun kennis op peil te houden. De veranderingen waarmee zij geconfronteerd worden zijn talrijk; het gaat zowel om de uitbreiding van het netwerk als om de voortdurende technologische vooruitgang op het vlak van het beheer van de informatiesystemen.

In samenwerking met de erkende gespecialiseerde dienst van Smals werd een opleidingsplan opgesteld. Dit opleidingsprogramma legt de nadruk op de kennis die een veiligheidsconsulent moet hebben om zijn opdracht naar behoren te vervullen, ongeacht de grootte van de instelling waarin hij is tewerkgesteld. Deze opleiding staat ook open voor alle actoren die zich bezighouden met de veiligheidsproblematiek bij de organisatie van onze informatiesystemen.

Om aan een opleiding van Smals deel te nemen, moet men lid zijn van Smals. De volgende instellingen kunnen lid worden van de vzw Smals: de instellingen van sociale zekerheid zoals gedefinieerd in de Kruispuntbankwet van 15 januari 1990 (zie hoofdstuk 1, afdeling 2, artikel 2, 2°) en de instellingen bedoeld in artikel 17 bis van de Kruispuntbankwet van 15 januari 1990.

Geïnteresseerden die aan de opleiding "Informatieveiligheid" wensen deel te nemen, moeten de volgende voorwaarden vervullen :

  • werken bij een instelling die lid is van Smals en
  • aangesteld zijn als veiligheidsconsulent (of adjunct) binnen een instelling van sociale zekerheid in uitvoering van het koninklijk besluit van 12 augustus 1993 of belast zijn met de organisatie van een informatieveiligheidsdienst binnen een instelling die deel uitmaakt van het netwerk van de sociale zekerheid.

Voor alle praktische inlichtingen (data van de cursussen, inschrijvingen, lokalen, ...) kunt u terecht bij Joëlle Ankaer (tel.: 02-787.58.62).
Voor inlichtingen in verband met de inhoud van de cursus kunt u contact opnemen met security@ksz-bcss.fgov.be.

Beschrijving Informatie training