Koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid

HOOFDSTUK I. DEFINITIES

Artikel 1.

Voor de toepassing van dit besluit wordt verstaan onder:

1° "wet" : de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid ;

2° "Kruispuntbank" : de Kruispuntbank van de sociale zekerheid;

3° "Toezichtscomité" : het Toezichtscomité bedoeld in artikel 37 van de wet zoals gewijzigd bij de wet van 6 augustus 1990;

4° "instelling" : de instellingen van sociale zekerheid bedoeld in artikel 2, eerste lid, 2°, van de wet, de Kruispuntbank, evenals de andere beheersinstellingen van een secundair netwerk;

5° "beheersinstelling van een secundair netwerk" : een instelling die een bijzonder repertorium van de personene bedoeld in artikel 6, tweede lid, 2°, van de wet bijhoudt;

6° "Minister" : de Minister die de sociale voorzorg onder zijn bevoegdheid heeft;

7° "verantwoordelijke voor het dagelijks bestuur" : de verantwoordelijke voor het dagelijks bestuur van een instelling of, in geval het een Ministerie belast met de toepassing van de sociale zekerheid betreft, de secretaris-generaal of de directeur-generaal die door hem wordt aangewezen;

8° "veiligheidsconsulent" : de personen bedoeld in artikel 25 van de wet;

9° "informatieveiligheid" : het voorkomen en het vlug en doeltreffend herstellen van schade aan sociale gegevens en van onrechtmatige schendingen van de persoonlijke levenssfeer van de betrokkenen.

HOOFDSTUK II. DE INFORMATIEVEILIGHEIDSDIENSTEN VAN DE INSTELLINGEN

Art. 2.

Alle instellingen zijn ertoe gehouden een informatieveiligheidsdienst in te richten.

In afwijking van het eerste lid, kan het Toezichtcomité, op hun aanvraag of op eigen initiatief, instellingen toestaan, onder de voorwaarden die het Comité bepaalt, om de taken van de informatieveiligheidsdienst toe te vertrouwen aan een erkende gespecialiseerde veiligheidsdienst bedoeld in artikel 11.

Art. 3.

De informatieveiligheidsdienst heeft een adviserende, stimulerende, documenterende en controlerende opdracht.

De informatieveiligheidsdienst adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico’s niet voldoende ernstig zijn. Binnen de tijdspanne vereist door de omstandigheden, maar met een maximum van drie maanden, beslist de verantwoordelijke voor het dagelijks bestuur het advies al dan niet op te volgen en deelt hij de veiligheidsdienst de genomen beslissing mee. In geval de beslissing van een schriftelijk advies afwijkt, dient de mededeling ervan op een schriftelijk advies afwijkt, dient de mededeling ervan op een schriftelijke en gemotiveerde wijze te geschieden.

De informatieveiligheidsdienst bevordert de naleving van de veiligheidsvoorschriften opgelegd door of krachtens een wets- of reglementsbepaling en het aannemen van een veiligheidsgedrag bij de personen tewerkgesteld in de instelling.

De informatieveiligheidsdienst legt de nodige documentatie aan met betrekking tot de informatieveiligheid.

De informatieveiligheidsdienst ziet toe op de naleving binnen de instelling van de veiligheidsvoorschriften opgelegd door of krachtens een wets- of reglementsbepaling. Alle vastgestelde inbreuken worden schriftelijk en uitsluitend aan de verantwoordelijke voor het dagelijks bestuur van de instelling meegedeeld, vergezeld van de nodige adviezen om dergelijke inbreuken in de toekomst te vermijden.

Art. 4.

De informatieveiligheidsdienst wordt geleid door de veiligheidsconsulent. De veiligheidsconsulent kan zich laten bijstaan door één of meer adjuncten.

De veiligheidsconsulent en zijn eventuele adjuncten in de beheersinstellingen van een secundair netwerk en de instellingen die niet behoren tot een secundair netwerk worden aangesteld na advies van het Toezichtscomité.

Vooraleer zijn advies uit te brengen, gaat het Toezichtscomité inzonderheid na of de betrokkenen voldoende kennis en beschikbare tijd hebben voor de goede uitvoering van hun opdracht en geen activiteiten uitoefenen die onverenigbaar zijn met de opdracht. De identiteit van de veiligheidsconsulent en zijn eventuele adjuncten wordt na hun aanstelling onverwijld meegedeeld aan het Toezichtscomité.

Na hun aanstelling wordt de identiteit van de veiligheidsconsulent en zijn eventuele adjuncten in de andere instellingen dan deze bedoeld in het tweede lid, meegedeeld aan de beheersinstelling van het betrokken secundair netwerk en door deze instelling onverwijld aan het Toezichtscomité.

De veiligheidsconsulenten en hun eventuele adjuncten kunnen niet van deze functie worden ontheven wegens meningen die zij uiten of daden die zij stellen in het kader van de goede uitoefening van hun functie.

Art. 5.

De informatieveiligheidsdienst werkt onder het rechtstreeks functioneel gezag van de verantwoordelijke voor het dagelijks bestuur van de instelling. Hij werkt nauw samen met de diensten waarin zijn tussenkomst vereist is of kan zijn, inzonderheid met de informaticadienst en de dienst voor veiligheid, gezondheid en verfraaiing van de werkplaatsen van de instelling.

Art. 6.

De informatieveiligheidsdienst dient een gedegen kennis te bezitten van de informatica-omgeving van de instelling en van de informatieveiligheid. Hij dient deze kennis permanent op peil te houden.

Art. 7.

De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een termijn van drie jaar, met aanduiding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren. Dit ontwerp wordt minstens eenmaal per jaar herzien en zo nodig aangepast. Het ontwerp van veiligheidsplan wordt beschouwd als een advies in de zin van artikel 3, tweede lid.

Art. 8.

De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur van de instelling jaarlijks een verslag op. Dit jaarverslag omvat minstens :

1° een algemeen overzicht van de veiligheidstoestand, de evolutie in het afgelopen jaar en de nog te realiseren doelstellingen;

2° een samenvatting van de schriftelijke adviezen die overgemaakt werden aan de verantwoordelijke voor het dagelijks bestuur en het gevolg dat eraan werd verleend;

3° een overzicht van de werkzaamheden verricht door de informatieveiligheidsdienst;

4° een overzicht van de resultaten van de controles uitgevoerd door de informatie-veiligheidsdienst met weergave van alle vastgestelde voorvallen die van aard waren de informatieveiligheid van de instelling of het netwerk in het gedrang te brengen;

5° de adviezen gericht aan de instelling door de erkende gespecialiseerde veilgheidsdienst bedoeld in artikel 11, waarbij de instelling is aangesloten, en het gevolg dat eraan werd verleend;

6° de adviezen van de werkgroep bedoeld in artikel 14, en het gevolg dat eraan werd verleend;

7° een overzicht van de gevoerde campagnes ter bevordering van de veiligheid;

8° een overzicht van alle gevolgde en de voorziene nog te volgen opleidingen.

Art. 9.

Onverminderd het bepaalde in artikel 3 heeft de informatieveiligheidsdienst van de Kruispuntbank daarenboven een adviserende opdracht inzake de beveiliging van de uitwisseling van de gegevens binnen het netwerk.

Art. 10.

De opdrachten van de informatieveiligheidsdienst bepaald in dit hoofdstuk hebben ook betrekking op de bewaring, de verwerking of de uitwisseling van sociale gegevens van persoonlijke aard die voor rekening van de betrokken ins telling geschieden door derden.

HOOFDSTUK III. DE GESPECIALISEERDE INFORMATIEVEILIGHEIDSDIENST

Art. 11.

Er wordt minstens één door de Minister erkende gespecialiseerde veiligheidsdienst opgericht ter ondersteuning van de instellingen bij de uitvoering van hun taken inzake de informatieveiligheid.

Om te kunnen worden erkend moet een gespecialiseerde veiligheidsdienst voldoen aan de volgende voorwaarden :

1° opgericht zijn in de schoot of in de vorm van een vereniging zonder winstgevend doel zoals bedoeld bij de wet van 27 juni 1921, die enkel instellingen als werkende leden heeft;

2° uitsluitend belast zijn met opdrachten die betrekking hebben op de informatieveiligheid binnen de sociale zekerheid;

3° voldoen aan de tariefregelen, in de mate dat deze zijn vastgesteld door de Minister.

Het Toezichtscomité ziet toe op de onafhankelijkheid en de werking van de erkende gespecialiseerde veiligheidsdiensten.

Art. 12.

De erkende gespecialiseerde veiligheidsdienst heeft onder meer tot opdracht:

1° de terbeschikkingstelling aan de instellingen van specialisten in informatie-veiligheid;

2° het verlenen van deskundige adviezen aan de instellingen of het Toezichtcomité, indien deze hierom vragen;

3° het organiseren van vorming inzake informatieveiligheid ten behoeve van de instellingen;

4° het ondersteunen en begeleiden van promotiecampagnes inzake informatieveiligheid;

5° de uitvoering van de taken beschreven onder Hoofdstuk II ten behoeve van de instellingen die overeenkomstig artikel 2, tweede lid, geen informatieveiligheid hebben opgericht;

6° het uitvoeren van externe controles en gedetailleerde onderzoeken naar de veiligheidstoestand van de instellingen op vraag van de betrokken instelling of van het Toezichtscomité.

Art. 13.

Elke instelling mag, m.b.t. alle aspecten van de informatieveiligheid, slechts beroep doen op de diensten van één enkel erkende gespecialiseerde veiligheidsdienst.

[Art. 13 bis.

Indien een vereniging opgericht in uitvoering van artikel 17bis van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid erkend is als gespecialiseerde veiligheidsdienst in uitvoering van artikel 11, kunnen alle instellingen deelnemen aan dergelijke vereniging om beroep te doen op de diensten die krachtens dit koninklijk besluit worden toevertrouwd aan een erkende gespecialiseerde veiligheidsdienst. – ingevoegd bij artikel 1 van het koninklijk besluit van 8 oktober 1998 (Belgisch Staatsblad van 24 december 1998)]

HOOFDSTUK IV. DE WERKGROEP INZAKE INFORMATIEVEILIGHEID

Art. 14.

In de schoot van het Algemeen Coördinatiecomité van de Kruispuntbank wordt een werkgroep inzake informatieveiligheid opgericht. Deze werkgroep wordt voorgezeten door de veiligheidsconsulent van de Kruispuntbak en bestaat voor het overige uit de veiligheidsconsulenten van de beheersinstellingen van een secundair netwerk en van de instellingen die niet tot een secundair netwerk behoren, evenals uit één veiligheidsconsulent gekozen binnen de schoot van elke subwerkgroep bedoeld in het tweede lid.

In de schoot van elke beheersinstelling van een secundair netwerk wordt bovendien een subwerkgroep inzake informatieveiligheid opgericht. Die subwerkgroep wordt voorgezeten door de veiligheidsconsulent van deze instelling en bestaat voor het overige uit de veiligheidsconsulenten van de instellingen die behoren tot het secundair netwerk beheerd door deze instelling, evenals uit een lid van de informatieveiligheidsdienst van de Kruispuntbank.

De werkgroep en de subwerkgroepen komen zoveel bijeen als nodig is na oproeping door hun voorzitter.

De werkgroep en de subwerkgroepen zijn belast met de coördinatie en de communicatie tussen de informatieveiligheidsdiensten van de erin vertegenwoordigde instellingen.

De werkgroep inzake informatieveiligheid is meer bepaald belast met :

1° de voorbereiding van minimumnormen m.b.t. de fysieke en logische informatieveiligheid;

2° de voorbereiding van een controlelijst voor de evaluatie van de naleving van de minimumnormen inzake fysieke en logische informatieveiligheid;

3° adviesverstrekking aan het Toezichtscomité inzake informatieveiligheid.

HOOFDSTUK V. OVERGANGS EN SLOTBEPALINGEN

Art. 15.

Het eerste jaarverslag waarvan sprake in artikel 8, wordt overgemaakt binnen de 12 maanden na de inwerkingtreding van dit besluit.

Art. 16.

Dit besluit treedt in werking de eerste dag van de derde maand volgend op die gedurende welke het in het Belgisch Staatsblad wordt bekendgemaakt.

In afwijking van het eerste lid zal de datum waarop dit besluit in werking treedt voor de openbare instellingen die niet uitsluitend ressorteren onder de federale overheid, later worden bepaald.

Art. 17.

Onze Minister van Pensioenen, Onze Minister van Tewerkstelling en Arbeid, Onze Minister van de Kleine en Middelgrote Ondernemingen en Onze Minister van Sociale Zaken zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.