Het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid, is genomen ter uitvoering van artikel 17, al. 2 en artikel 25 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid en is in werking getreden per 1 november 1993.
1. Algemeen
Artikel 2 van het koninklijk besluit legt aan de kinderbijslagfondsen in hun hoedanigheid van meewerkende instellingen van sociale zekerheid, de verplichting op een dienst op te zetten die verantwoordelijk is voor de informatieveiligheid, of die met andere woorden zowel materiële schade aan databanken als schendingen van de persoonlijke levenssfeer (art. 1, 9°) moet voorkomen en zo nodig snel en doeltreffend herstellen. Instellingen die daartoe gemachtigd worden kunnen echter die taak opdragen aan een door de Minister erkende gespecialiseerde veiligheidsdienst.
2. De informatieveiligheid - organisatie
2.1. Eigen veiligheidsdienst van de instelling
2.1.1. Structuur - inleiding
De eigen dienst informatieveiligheid van de instelling wordt geleid door een veiligheidsconsulent. Die kan zich laten bijstaan door een of meer adjuncten (artikel 4, al. 1). De dienst staat rechtstreeks onder het functioneel gezag van het hoofd van het dagelijks bestuur van de instelling (artikel 5).
2.1.2. Taken (artikel 3)
De dienst informatieveiligheid heeft volgende taken:
- Advies geven aan de verantwoordelijke voor het dagelijks bestuur over alle aspecten van de informatieveiligheid. Tenzij het om eerder geringe risico's gaat, moet het advies schriftelijk uitgebracht worden en gemotiveerd zijn.
- Documenteren, door alle informatie in te zamelen die dienstig kan zijn voor:
- een betere naleving van de door de regelgeving opgelegde veiligheidsvoorschriften;
- het bevorderen van een op veiligheid gericht gedrag bij het personeel van de instelling.
- Toezicht op het naleven bij de instelling van de veiligheidsvoorschriften opgelegd door of op grond van de regelgeving.
Alle inbreuken moeten schriftelijk medegedeeld worden aan het hoofd van het dagelijks bestuur van de instelling. Die mededeling moet vergezeld zijn van de nodige voorstellen ter voorkoming van nieuwe inbreuken.
- Het opmaken ten behoeve van het hoofd van het dagelijks bestuur
- van een beveiligingsplan voor drie jaar. Het plan moet minstens elk jaar herzien worden (artikel 7);
- van een jaarlijks verslag dat de in artikel 8 van het koninklijk besluit opgesomde onderdelen bevat.
De hierboven beschreven taak van de dienst informatieveiligheid (zie hoofdstuk II van het koninklijk besluit) strekt zich ook uit tot de sociale gegevens van persoonlijke aard die namens de betrokken instelling bewaard, verwerkt en uitgewisseld worden door tussenkomst van derden, zoals sociale secretariaten of onderaannemers bijvoorbeeld (artikel 10).
2.1.3. Beroepskwalificatie (artikel 6)
De dienst informatieveiligheid moet beschikken over voldoende kennis
- van de informatica-omgeving van de instelling
- van gegevensbeveiliging
Die kennis moet permanent op peil gehouden worden.
2.1.4. Aanwijzing van de veiligheidsconsulent en mededeling van zijn identiteit
2.1.4.1. Instellingen die een secundair netwerk beheren
De veiligheidsconsulent van een instelling die een secundair netwerk beheert (voor de kinderbijslagregeling voor werknemers is dat de R.K.W.) kan maar aangewezen worden na advies van het Toezichtscomité (artikel 4, al. 2) en van de Kruispuntbank van de Sociale Zekerheid.
2.1.4.2. Instellingen die behoren tot een secundair netwerk
Voor de veiligheidsconsulent van de instellingen die tot een secundair netwerk behoren (de kinderbijslagfondsen) volstaat mededeling van hun identiteit aan het Toezichtscomité, via de instelling die het netwerk beheert (artikel 4, al. 4).
2.2. Erkende gespecialiseerde veiligheidsdiensten (artikelen 11 en 12)
2.2.1. Taak
De erkende gespecialiseerde veiligheidsdienst staat in voor de informatieveiligheid van instellingen die geen eigen dienst opgericht hebben en van het Toezichtscomité toestemming hebben verkregen om die taak door een gespecialiseerde dienst te laten uitvoeren.
Binnen de instellingen functioneren de afgevaardigden van de gespecialiseerde veiligheidsdienst op dezelfde wijze als een eigen veiligheidsdienst.
2.2.2. Gezag
Het Toezichtscomité ziet toe op de onafhankelijkheid en de werking van de erkende gespecialiseerde veiligheidsdiensten.
2.3. Werkgroep informatieveiligheid (artikel 14)
2.3.1. Taak
Deze werkgroep wordt gevormd binnen het Algemeen Coördinatiecomité van de Kruispuntbank. Hij staat in voor de coördinatie en de communicatie tussen de diensten voor informatieveiligheid van de vertegenwoordigde instellingen. Hij heeft bovendien een normerende en controlerende taak en adviseert het Toezichtscomité.
2.3.2. Samenstelling van de werkgroep
De werkgroep verenigt onder het voorzitterschap van de veiligheidsconsulent van de Kruispuntbank de veiligheidsconsulenten van instellingen die een secundair netwerk beheren en een veiligheidsconsulent uit elke subwerkgroep (zie verder).
2.4. Subwerkgroepen informatieveiligheid (artikel 14, al.2)
2.4.1.Taak
Aangezien zo'n subwerkgroep gevormd wordt in elke instelling die een secundair netwerk beheert, wordt voor de sector van de kinderbijslag voor werknemers een subwerkgroep opgericht bij de Rijksdienst.
Die subwerkgroep verzorgt de coördinatie en de communicatie tussen de diensten voor informatieveiligheid van de instellingen die tot het netwerk behoren.
Hij heeft ook een normerende taak, geeft advies aan het Toezichtscomité en staat in voor de controle.
2.4.2. Samenstelling van de subwerkgroep
De subwerkgroep verenigt de veiligheidsconsulenten van alle kinderbijslagfondsen en een lid van de dienst informatieveiligheid van de Kruispuntbank.
Voorzitter van de subwerkgroep is de veiligheidsconsulent van de instelling die het secundair netwerk beheert, dus de veiligheidsconsulent van de Rijksdienst.
3. Praktische schikkingen
3.1. Aanwijzing van de veiligheidsconsulent
3.1.1. Grondregels
Elk fonds moet een veiligheidsconsulent aanwijzen.
Uit een oogpunt van goed beheer en efficiëntie is er niets op tegen dat verschillende fondsen daarvoor een beroep doen op eenzelfde persoon.
De kinderbijslagfondsen kunnen met de machtiging van het Toezichtscomité voor die functie ook een beroep doen op een erkende veiligheidsdienst (artikel 2, al. 2), die dan instaat voor alle aspecten van de gegevensbeveiliging (artikel 13).
3.1.2. De eigen informatieveiligheidsdienst van de instelling
3.1.2.1. Aanwijzing van de veiligheidsconsulent
Op grond van artikel 24 van voormelde wet van 15 januari 1990 kan iemand van het vast personeel aangewezen worden als veiligheidsconsulent of kan een veiligheidsconsulent aangeworven worden met een arbeidsovereenkomst.
Voor de aanwijzing van de veiligheidsconsulent, die de veiligheidsdienst bij het fonds moet organiseren, is geen voorafgaand advies vereist van het Toezichtscomité. De bevoegde overheid houdt echter waar dienstig rekening met de beoordelingsnormen vermeld voor de veiligheidsconsulent van de instellingen die een secundair netwerk beheren.
3.1.2.2. Samenstelling van de dienst informatieveiligheid
Het lijkt ons gelet op de structuur van de regeling en de omvang van de taak niet aangewezen om bij de kinderbijslagfondsen adjunct-veiligheidsconsulenten aan te wijzen, tenzij het echt nodig is en het fonds dat uitdrukkelijk verantwoordt.
3.1.2.3. Profiel van het personeel van de dienst informatieveiligheid
Personen die aangewezen worden voor de dienst informatieveiligheid moeten in het algemeen voldoende geschoold zijn en voldoende kennis hebben van de informatica-omgeving van de instelling en van gegegevensbeveiliging.
Die kennis moet permanent op peil gehouden worden.
Die personen moeten over de nodige tijd en middelen beschikken om hun taak goed uit te voeren. Bovendien mogen zij geen activiteiten uitoefenen die onverenigbaar zijn met hun taak.
3.1.2.4. Procedure
De kinderbijslagfondsen dienen het formulier dat als bijlage II gaat ingevuld en ondertekend onverwijld terug te zenden naar de Rijksdienst.
Het formulier beantwoordt aan de vereisten van het Toezichtscomité m.b.t. de veiligheidsconsulenten van instellingen die een secundair netwerk beheren, wat het curriculum vitae betreft van de gegadigde.
Als de Rijksdienst binnen de 2 maand na de ontvangst geen opmerkingen gemaakt heeft, kunnen de fondsen de aanwijzing als geldig beschouwen, op de gestelde voorwaarden.
De Rijksdienst deelt dan de identiteit van de veiligheidsconsulenten mede aan het Toezichtscomité van de Kruispuntbank van de Sociale Zekerheid.
3.1.3. Erkende gespecialiseerde veiligheidsdienst
3.1.3.1. Aanwijzing van een veiligheidsconsulent
Fondsen die toestemming hebben verkregen om een beroep te doen op een erkende gespecialiseerde dienst moeten geen veiligheidsconsulent aanwijzen omdat die consulent behoort tot de veiligheidsdienst, die overigens alleen uit hemzelf kan bestaan, en omdat de erkende dienst instaat voor de taken van de veiligheidsdienst.
3.1.3.2. Procedure
Fondsen die geen eigen dienst voor informatieveiligheid wensen op te richten kunnen een beroep doen op een erkende gespecialiseerde dienst. Daartoe moeten zij echter door het Toezichtscomité van de Kruispuntbank van de Sociale Zekerheid gemachtigd worden. Aangezien de kinderbijslagfondsen een identieke opdracht hebben binnen de sociale zekerheid, heeft de Rijksdienst in hun naam een collectieve en gemotiveerde aanvraag bij het vermelde comité ingediend. Zodra de desbetreffende machtiging bekomen is, zullen de fondsen hiervan in kennis worden gesteld en zal hen tevens de lijst worden bezorgd van de erkende diensten. Het formulier dat als bijlage II gaat, moet dan niet volledig worden ingevuld. Wel moeten de fondsen rubriek 2.1 invullen (naam en adres van de erkende dienst waar ze een beroep op doen) en rubriek 4 over de vergoeding.
3.2. Organisatie van de werkgroep informatieveiligheid
Zodra de veiligheidsconsulenten aangewezen zijn, zal de voorzitter van de subwerkgroep voor de kinderbijslagregeling voor werknemers, dus de veiligheidsconsulent van de R.K.W., contact opnemen met ieder van hen om de subgroep samen te stellen. Dan wordt ook de vertegenwoordiger van de veiligheidsconsulenten van de fondsen aangewezen die lid wordt van de werkgroep binnen het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid.
3.3. Controle door de Rijksdienst op de werking van de diensten voor informatieveiligheid
De coördinatie tussen de verschillende kinderbijslagfondsen vindt plaats in de subwerkgroep waarvan hierboven sprake. In het kader van zijn controletaak t.a.v. de kinderbijslagfondsen zal de Rijksdienst er op toezien dat de dienst voor informatieveiligheid jaarlijks een verslag opmaakt voor het hoofd van het dagelijks bestuur van het fonds.