Dit is een vragenlijst die steden en gemeenten moet ondersteunen bij het uitwerken van een informatieveiligheidsbeleid. Dat is onder meer vereist op basis van het Vlaamse e-gov decreet en besluit en de reglementering m.b.t. de kruispuntbank sociale zekerheid (die voornamelijk voor OCMW's belangrijk is).
Veiligheidsbeleid Steden en Gemeenten - vragenlijst
1. Veiligheidsbeleid – vragenlijst steden en gemeenten
VEILIGHEIDSBELEID VRAGENLIJST
Deze vragenlijst zou je moeten helpen om als stad of gemeente een degelijke strategie rond
informatiebeveiliging op te stellen die gepast is voor jouw stad of gemeente, eerder dan
klakkeloos voort te gaan op het voorbeeld van de rijksdienst voor sociale zekerheid (zie KSZ-website)
@TommyVandepitte 1
of van een andere stad of gemeente.
Het is pas als je aan de uitwerking toekomt dat de strategie in meer detail uitgewerkt
kan/moet worden. De concrete uitwerking van de strategie gebeurt dan door het
(continue) verder uitbouwen van de kennis van de organisatie (gegevens,
bedrijfsmiddelen en risico’s) en de concrete acties die binnen de komende drie jaar
zullen worden genomen (het zogenaamde “veiligheidsplan”). We wijzen erop dat de
strategie op zich onvoldoende is.
Ze is lang, dat klopt. Dat is een consequentie van het opdelen van de vragen in zo concreet
mogelijke deelvragen en het meegeven van de gebruikelijke antwoorden. Dat betekent niet
dat je daar voor jouw stad of gemeente niet van kan of mag afwijken. Het kan zelfs nodig zijn
om een veiligheidsbeleid te maken waar de stad of gemeente zich volledig in kan vinden en
dat dan ook meer gedragen zal zijn.
Je kan de vragenlijst ook gebruiken om jezelf voor te bereiden om van de beslissingnemers
de nodige input te krijgen om tot de opmaak van een gepast veiligheidsbeleid op te stellen.
De indeling van de vragenlijst, die je makkelijk kan opmaken aan de hand van de
inhoudstafel, geeft grotendeels aan waarover je uitspraken van de beslissingnemers wil
krijgen. Daarover hebben we ook een korte presentatie gemaakt (zie
slideshare.net/mactvdp).
Alle feedback op dit document is welkom. Je kan ons onder meer vinden op
@TommyVandepitte (twitter) of dezelfde naam op LinkedIn.
In elk geval, succes !
Inhoudstafel
Toepassingsgebied .................................................................................................................... 4
Risico appetijt ............................................................................................................................. 4
Maturiteit ..................................................................................................................................... 5
Organisatie ................................................................................................................................. 7
Personen................................................................................................................................. 7
Veiligheidsconsulent ........................................................................................................... 7
Ondersteuning Veiligheidsconsulent .................................................................................. 9
Juridisch advies ............................................................................................................... 9
Technisch advies ........................................................................................................... 10
Projectwerking ............................................................................................................... 10
Interne controle.............................................................................................................. 10
4. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 4
Toepassingsgebied
Welke entiteiten willen we in het toepassingsgebied van dit veiligheidsbeleid ?
De gemeente
OCMW dat de gemeente bedient
Politie die de gemeente bedient
Intern verzelfstandigde agentschappen (221-224 GD)
Welke?
Extern verzelfstandigde agentschappen (225 e.v. GD)
Welke?
Intergemeentelijke samenwerkingen (“intercommunales”)
Welke?
Andere: xxx
Welke gegevens willen we in het toepassingsgebied van dit veiligheidsbeleid ?
Persoonsgegevens zoals gedefinieerd in de privacywet
Andere: xxx (bijv. gegevens die onder openbaarheid van bestuur vallen,
gegevens die onder de archiefreglementering vallen)
Risico appetijt
Welke risico’s zijn we bereid te accepteren ?
Risico’s die een mogelijke impact hebben van minder dan xxx EUR (per jaar).
Risico’s die een mogelijke impact hebben op minder dan xxx verschillende data
subjecten.
Risico’s waardoor de gemeente waarschijnlijk in de pers komt, maar die extern
zijn (bijv. hackers) en waar de gemeente alle redelijke maatregelen heeft genomen
om die te voorkomen.
Risico’s waardoor redundante systemen uitvallen voor minder dan 5 werkdagen.
Risico’s die kennelijk en ondubbelzinnig contractueel zijn toe te rekenen aan een
toeleverancier van de gemeente.
Welke risico’s zijn we niet bereid te accepteren ?
Risico’s die een mogelijke impact hebben van meer dan xxx EUR (per jaar).
Risico’s die een mogelijke impact hebben op meer dan xxx verschillende data
subjecten.
Risico’s die een mogelijke impact hebben op meer dan xxx verschillende data
subjecten.
Risico’s waardoor de gemeente waarschijnlijk in de pers komt, waar de
gemeente niet alle redelijke maatregelen heeft genomen om die te voorkomen.
5. Veiligheidsbeleid – vragenlijst steden en gemeenten
Risico’s waardoor de gemeente waarschijnlijk meermaals (voor verschillende
feiten) in de pers komt, ook als die extern zijn (bijv. hackers) en waar de gemeente
alle redelijke maatregelen heeft genomen om die te voorkomen.
Risico’s waardoor kritische systemen zoals bepaald door het managementteam
uitvallen voor meer dan 24 uur.
Risico’s waardoor – wanneer ze zich voordoen – het vertrouwen van de burger in
de gemeente ernstig wordt geschokt.
Risico’s die een klaarblijkelijke inbreuk zijn op een strafrechtelijk
gesanctioneerde norm.
@TommyVandepitte 5
Wie beoordeelt de risico’s?
De concrete beoordeling van een risico wordt bepaald door
het college van burgemeester en schepenen, met een geschreven advies van de
veiligheidsconsulent.
het gemeentesecretaris, met een geschreven advies van de veiligheidsconsulent.
het managementteam, met een geschreven advies van de veiligheidsconsulent.
de projectleider die het concrete project implementeert.
de verantwoordelijke voor de betrokken applicatie en/of databank, desgevallend
beide.
Hoe vaak wordt de risicobeoordeling gemaakt?
Eenmalig bij de implementering van de toepassing of gegevensverwerking.
Bij de implementering van de toepassing of gegevensverwerking, daarna jaarlijks
in het kader van het jaarverslag van de veiligheidsconsulent.
Bij de implementering van de toepassing of gegevensverwerking, daarna
driejaarlijks in het kader van een volledig doorlopen cyclus van het veiligheidsplan
van de veiligheidsconsulent.
Maturiteit
Wat is de inschatting van de gemeente omtrent de maturiteit van de informatiebeveiliging?
Model 1 Model 2
Niet aanwezig
Niet georganiseerd.
Georganiseerd in silo’s (IT, preventie)
Opgelegd van boven naar beneden.
Systematisch aangepakt
Doordrongen.
Initieel (onvoorspelbaar, reactief)
Beheerst (projectgebaseerd, reactief)
Gedefinieerd (staande org., proactief)
Bestuurd (gemeten en onder controle)
Optimaal (gericht op procesverbetering)
6. Veiligheidsbeleid – vragenlijst steden en gemeenten
Heeft de gemeente een nulmeting omtrent de maturiteit van de informatiebeveiliging?
@TommyVandepitte 6
Nee.
Ja, een inschatting van de veiligheidsconsulent van xxx.
Ja, een inschatting van de interne controledienst van xxx.
Ja, een inschatting van een externe audit van xxx.
Nog niet, zij wordt georganiseerd door de veiligheidsconsulent voor eind xxx.
Nog niet, zij wordt georganiseerd door de interne controledienst voor eind xxx.
Nog niet, zij wordt georganiseerd als een externe audit voor eind xxx.
Waar wil de gemeente staan qua maturiteit van de informatiebeveiliging binnen 3 jaar?
Model 1 Model 2
Niet aanwezig
Niet georganiseerd.
Georganiseerd in silo’s (IT, preventie)
Opgelegd van boven naar beneden.
Systematisch aangepakt
Doordrongen.
Initieel (onvoorspelbaar, reactief)
Beheerst (projectgebaseerd, reactief)
Gedefinieerd (staande org., proactief)
Bestuurd (gemeten en onder controle)
Optimaal (gericht op procesverbetering)
Welk niveau van maturiteit wil de gemeente bereiken om het vanaf dan aan te houden?
Model 1 Model 2
Niet aanwezig
Niet georganiseerd.
Georganiseerd in silo’s (IT, preventie)
Opgelegd van boven naar beneden.
Systematisch aangepakt
Doordrongen.
Initieel (onvoorspelbaar, reactief)
Beheerst (projectgebaseerd, reactief)
Gedefinieerd (staande org., proactief)
Bestuurd (gemeten en onder controle)
Optimaal (gericht op procesverbetering)
Binnen welke termijn wil de gemeente dat maturiteitsniveau bereiken om het vanaf dan aan
te houden?
3 jaar 4 jaar 5 jaar 6 jaar 7 jaar 8 jaar
7. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 7
Organisatie
In dit onderdeel worden de verantwoordelijkheden in grote lijnen toegewezen. Zij worden
verder uitgewerkt in specifieke beleidsteksten (bijv. per werf), procedures, functie-beschrijvingen
en/of instructies.
PERSONEN
VEILIGHEIDSCONSULENT
Kiest de gemeente voor een interne of een externe veiligheidsconsulent?
intern extern
Stelt de gemeente ook adjuncten van de veiligheidsconsulent aan?
nee ja
Zoja, intern en of extern?
intern extern
Zoja, hoeveel?
intern 1 2 3 4 5
extern 1 2 3 4 5
Voert de veiligheidsconsulent zijn taak voltijds uit?
nee ja
Zonee, hoeveel tijd wordt de veiligheidsconsulent toegekend om zijn taken te
vervullen?
zoveel als redelijkerwijs nodig
80% van een VTE
60% van een VTE
40% van een VTE
20% van een VTE
andere: (aanvullen)
Zonee, zal dit periodiek geëvalueerd en herzien worden?
nee ja
Zoja, hoe periodiek?
triennaal
biennaal
jaarlijks
8. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 8
semestrieel
op kwartaalbasis
maandelijks
Zoja, door wie?
de gemeenteraad
het college van burgemeester en schepenen
de gemeentesecretaris
de hiërarchisch overste van de veiligheidsconsulent
andere: (aanvullen)
Wat is de plaats van de veiligheidsconsulent in het organogram van de gemeente (art. 70
Gemeentedecreet)?
extern
lid van het managementteam (art. 96 GD)
rechtstreeks in staf bij de gemeentesecretaris
hoofd van de dienst procesverbetering
medewerker van de dienst procesverbetering
hoofd van de dienst projectbeheer
medewerker van de dienst projectbeheer
hoofd van de dienst organisatie
medewerker van de dienst organisatie
hoofd van de juridische dienst
medewerker van de juridische dienst
andere: (aanvullen)
Wat zijn de taken van de veiligheidsconsulent?
de taken die hem worden toegewezen in de wet: adviseren (incl. plannen), stimuleren,
controleren, documenteren (incl. rapporteren)
bijkomend de volgende taken: xxx (bijv. bijhouden van de verschillende versies van
beleidsteksten die gerelateerd zijn aan informatiebeveiliging, gelijke taken voor het ruimere
toepassingsgebied)
Wat zijn de machten van de veiligheidsconsulent?
de taken die hem worden toegewezen in de wet
bijkomend de volgende machten: xxx (bijv. rechtstreekse toegang tot de burgemeester,
geven van instructies aan medewerkers in zoverre ze verband houden met de
9. Veiligheidsbeleid – vragenlijst steden en gemeenten
informatieveiligheid, coördinatie van de communicatie bij incidenten gerelateerd aan
informatiebeveiliging)
Wat is de relatie van de veiligheidsconsulent ten aanzien van de gemeentesecretaris in diens
controlefunctie (art. 87 en 99-101 GD)?
@TommyVandepitte 9
hiërarchisch ondergeschikt
functioneel ondergeschikt (N.B. “dagelijks bestuur” zoals in KSZ-KB en VTC-besluit?)
(afspraken over) verplichte wederzijdse rapportering
(afspraken over) verplichte eenzijdige rapportering van de rapporten van de
veiligheidsconsulent aan de gemeentesecretaris in diens controlefunctie
(afspraken over) verplichte eenzijdige rapportering van de rapporten van de
gemeentesecretaris in diens controlefunctie aan de veiligheidsconsulent in de mate dat ze
betrekking hebben op de opdracht van de veiligheidsconsulent
andere: (aanvullen)
Wordt de veiligheidsconsulent ingeschakeld ter ondersteuning van de voorzitter van de
gemeenteraad om te beslissen of iets de persoonlijke levenssfeer raakt (art. 28 GD)?
nee ja
Wordt de veiligheidsconsulent ingeschakeld ter ondersteuning van de voorzitter van de
gemeenteraad om te beslissen over openbaarheid van bestuur ?
nee ja
Wat is de relatie met van de veiligheidsconsulent(en) van andere gemeentestructuren :
OCMW, politie, etc.?
de veiligheidsconsulent is veiligheidsconsulent van al deze gemeentestructuren
de veiligheidsconsulent is tegelijk ook veiligheidsconsulent van volgende
gemeentestructuren: (aanvullen)
de veiligheidsconsulent van de gemeente onderhoud actief een werkrelatie (o.a. door
uitwisseling van goede praktijken en ervaring) met de veiligheidsconsulent(en) van de
volgende gemeentestructuren: (aanvullen)
de veiligheidsconsulent van de gemeente onderhoud geen werkrelatie met de
veiligheidsconsulent(en) van deze gemeentestructuren.
ONDERSTEUNING VEILIGHEIDSCONSULENT
Juridisch advies
Kan de veiligheidsconsulent een beroep doen op de afdeling juridisch advies?
nee ja
Zoja, waarvoor ?
opvolging en aanlevering van nieuwigheden en wijzigingen m.b.t. wetgeving
gerelateerd aan privacy en informatiebeveiliging
10. Veiligheidsbeleid – vragenlijst steden en gemeenten
algemene juridische adviezen m.b.t. privacy en informatiebeveiliging
ad hoc juridische adviezen m.b.t. privacy en informatiebeveiliging
juridisch nakijken van de adviezen van de veiligheidsconsulent
@TommyVandepitte 10
input voor de opmaak van privacy impact assessments
het verzekeren dat in overheidsopdrachten, waar nodig, bepalingen zijn
opgenomen m.b.t. veilige gegevensverwerking s.l.
het melden aan de veiligheidsconsulent van overheidsopdrachten waarin
desgevallend bepalingen zouden moeten worden opgenomen m.b.t. veilige
gegevensverwerking s.l. en de daarbijhorend vraag om advies van de
veiligheidsconsulent
het verzekeren dat in overeenkomsten van de gemeente, waar nodig, bepalingen
zijn opgenomen m.b.t. veilige gegevensverwerking s.l.
het melden aan de veiligheidsconsulent van overeenkomsten waarin
desgevallend bepalingen zouden moeten worden opgenomen m.b.t. veilige
gegevensverwerking s.l. en de daarbijhorend vraag om advies van de
veiligheidsconsulent
andere: (aanvullen)
N.B. De betrokkenen moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.
Technisch advies
Kan de veiligheidsconsulent een beroep doen op de afdeling IT?
nee ja
Zoja, waarvoor ?
informatie over de technische werking en beveiliging van IT-systemen
andere: (aanvullen)
N.B. De betrokkenen moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.
Projectwerking
Kan de veiligheidsconsulent een beroep doen op de afdeling projecten?
nee ja
Zoja, waarvoor ?
het melden van projecten waar gegevensverwerking aan te pas komt
het opmaken van een privacy impact assessment op basis van een sjabloon
aangeleverd door de veiligheidsconsulent
andere: (aanvullen)
N.B. De betrokkenen moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.
Interne controle
11. Veiligheidsbeleid – vragenlijst steden en gemeenten
Kan de veiligheidsconsulent een beroep doen op de afdeling interne controle?
@TommyVandepitte 11
nee ja
Zoja, waarvoor ?
het meenemen van het aspect privacy en informatiebeveiliging bij checks op
zoek naar mogelijke verbeteringen in de organisatie
het uitvoeren van checks op zoek naar mogelijke verbeteringen op het gebied
van privacy en informatiebeveiliging in de organisatie
andere: (aanvullen)
N.B. De betrokkenen moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.
WERKGROEP INFORMATIEBEVEILIGING
Kan de veiligheidsconsulent beschikken over een werkgroep informatiebeveiliging?
nee ja
Wie mag zetelen in de werkgroep informatiebeveiliging?
hoofd van de afdeling facilitair of de persoon die hij daartoe aanwijst
hoofd van de afdeling IT of de persoon die hij daartoe aanwijst
hoofd van de afdeling archief of de persoon die hij daartoe aanwijst
hoofd van de afdeling preventie of de persoon die hij daartoe aanwijst
hoofd van de afdeling projecten of de persoon die hij daartoe aanwijst
hoofd van de afdeling juridisch advies of de persoon die hij daartoe aanwijst
wie ad hoc daartoe wordt opgeroepen door de veiligheidsconsulent
andere: (aanvullen)
Hoe periodiek komt de werkgroep informatiebeveiliging samen?
jaarlijks
semestrieel
op kwartaalbasis
maandelijks
zo vaak als nodig, te bepalen door de veiligheidsconsulent
N.B. De leden van de werkgroep moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.
MEDEWERKERS
Ondersteunt de gemeente een individuele verantwoordelijkheid van alle medewerkers van
de gemeente op het gebied van informatiebeveiliging?
12. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 12
nee ja
Zoja, wordt dit verder verbijzonderd?
in een algemene gedragslijn die voor alle medewerkers geldt
in de functie-omschrijvingen via een algemene bewoording
in de functie-omschrijvingen via een bijzondere bewoording per functie
Zijn er onder de medewerkers – buiten de veiligheidsconsulent en eventuele adjuncten -
personen met bijzondere verantwoordelijkheden met betrekking tot informatiebeveiliging?
nee ja
Zoja, welke?
aangeduide vlaggendragers informatiebeveiliging per dienst
vrijwillige ambassadeurs van informatiebeveiliging
projectbeheerders informatiebeveiliging
procesverbeteraars informatiebeveiliging
andere: (aanvullen)
INTERNE DATABASE-EIGENAARS
Ondersteunt de gemeente een gedecentraliseerde verantwoordelijkheid voor de verwerking
van persoonsgegevens van een specifiek data set?
N.B. Een data set is een set van (persoons)gegevens over een bepaalde categorie van data subjecten
die worden verwerkt door een specifiek doel. Dezelfde gegevens die voor een ander doel worden
verwerkt worden in principe als een andere data set beschouwd.
nee ja
Welke verantwoordelijkheden wordt opgelegd aan de Interne Database-Eigenaars?
in kaart brengen van het directe en afgeleide gebruik van de data set
het onder controle houden van het directe en afgeleide gebruik van de data set
door het maken van schriftelijke afspraken met de secundaire gebruikers
het bewaken van het principe dat secundaire gebruikers de data set altijd bij de
oorspronkelijke data set moeten aansluiten (eerder dan voort te bouwen op afgeleide
informatie)
het beoordelen of toegangsrechten al dan niet mogen worden toegekend aan
een aanvrager
het periodiek – desgevallend in tweede lijn (na de algemene procedure van
toegangsrechten) - evalueren van de toegangsrechten tot de data set en beëindigen
van die rechten die niet langer nodig zijn
het spontaan melden van het ontstaan en het einde van de data set en het
bijhorend interne database-eigenaarschap aan de veiligheidsconsulent
13. Veiligheidsbeleid – vragenlijst steden en gemeenten
het op eerste verzoek overmaken van de lijst van (categorieën van)
toegangsgerechtigden aan de veiligheidsconsulent of anderen die gerechtigd zijn op
die informatie
@TommyVandepitte 13
andere: (aanvullen)
Wie duidt de Interne Database-Eigenaars aan?
de feitelijke toestand (zie “residuair”)
het college van burgemeester en schepenen
de gemeentesecretaris
het hoofd van de dienst waar de data set wordt binnengehaald of ontwikkeld
andere: (aanvullen)
Indien formeel geen Interne Database-Eigenaar is aangeduid, wie is dan de residuaire
Interne DataBase-Eigenaar?
het hoofd van de dienst (met als laagste in aanmerking komend niveau de
teamcoach) waar de data set wordt binnengehaald of ontwikkeld
het hoofd van de dienst (met als laagste in aanmerking komend niveau de
directeur) waar de data set wordt binnengehaald of ontwikkeld
het college van burgemeester en schepenen
de gemeentesecretaris
andere: (aanvullen)
KLANKBORD INFORMATIEBEVEILIGING
Kan de veiligheidsconsulent beschikken over een klankbord informatiebeveiliging?
N.B. Het klankbord verschilt van de werkgroep op het niveau dat het klankgroep de zogenaamde
“business” omvat, daar waar de werkgroep eerder gericht is naar personen die met een bepaalde
kennis of kunde bijdragen aan of ondersteuning bieden van de kennis of kunde van de
veiligheidsconsulent.
nee ja
Wie mag zetelen in het klankbord informatiebeveiliging?
alle Interne Database-Eigenaren
een vertegenwoordiging van de Interne Database-Eigenaren
andere: (aanvullen)
Hoe periodiek komt de werkgroep informatiebeveiliging samen?
jaarlijks
semestrieel
14. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 14
op kwartaalbasis
maandelijks
zo vaak als nodig, te bepalen door de veiligheidsconsulent
N.B. De leden van het klankbord moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.
GEMEENTESECRETARIS
Wat is de rol van de gemeentesecretaris op het gebied van informatiebeveiliging?
een passieve rol als ontvanger van rapporten
een actieve rol als ondersteuner van de veiligheidsconsulent
een actieve rol als ambassadeur van informatiebeveiliging
andere: (aanvullen)
MANAGEMENT TEAM
Wat is de rol van het management team op het gebied van informatiebeveiliging?
een passieve rol als ontvanger van rapporten
een actieve rol als ondersteuner van de veiligheidsconsulent
een actieve rol als ambassadeur van informatiebeveiliging
andere: (aanvullen)
Wordt er binnen het management team een sponsor aangeduid tot wie de
veiligheidsconsulent en medewerkers zich kunnen richten voor management-ondersteuning
m.b.t. informatiebeveiliging?
nee ja
Zoja, wie?
de gemeentesecretaris
de directeur onder wiens verantwoordelijkheid IT ressorteert
de directeur onder wiens verantwoordelijkheid personeel ressorteert
andere: (aanvullen)
Zoja, wordt de rol van sponsor nader uitgewerkt in een document?
nee
ja, het veiligheidsbeleid
ja, een specifiek document
ONDERTEKENAARS VAN OVEREENKOMSTEN
15. Veiligheidsbeleid – vragenlijst steden en gemeenten
Wordt aan ondertekenaars van overeenkomsten voor de gemeente een verantwoordelijkheid
opgelegd om na te gaan of in overeenkomsten waarbij gegevensverwerking aan de orde is
de nodige clausules zijn opgenomen?
@TommyVandepitte 15
nee
ja
BURGEMEESTER EN SCHEPENEN
Wat is de rol van het college van burgemeester en schepenen op het gebied van
informatiebeveiliging?
een passieve rol als ontvanger van rapporten
een actieve rol als ondersteuner van de veiligheidsconsulent
een actieve rol als ambassadeur van informatiebeveiliging
andere: (aanvullen)
Wordt er binnen het college van burgemeester en schepenen een sponsor aangeduid tot wie
de veiligheidsconsulent en medewerkers zich kunnen richten voor beleidsondersteuning
m.b.t. informatiebeveiliging?
nee ja
Zoja, wie?
de burgemeester
de schepen onder wiens verantwoordelijkheid IT ressorteert
de schepen onder wiens verantwoordelijkheid personeel ressorteert
andere: (aanvullen)
Zoja, wordt de rol van sponsor nader uitgewerkt in een document?
nee
ja, het veiligheidsbeleid
ja, een specifiek document
GEMEENTERAAD
Wat en wanneer wordt aan de gemeenteraad voorgelegd in verband met informatie-beveiliging?
elk jaar in de maand x / eerste of laatste (voorziene) vergadering van de gemeenteraad
wordt het rapport van de veiligheidsconsulent aan de gemeenteraad voorgelegd
(het budget voor) informatiebeveiliging wordt opgenomen in het meerjarenplan (146 GD)
eventueel delen in het plan met verwijzing ernaar; budget (151 GD), vooral exploitatie- (BAU)
en investeringsbudget
dringende investeringen in verband met informatiebeveiliging (art. 157 en 162 GD) bijv.
na een gedetecteerde aanval en/of bijhorend forensisch onderzoek
16. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 16
andere: (aanvullen)
SPECIFIEKE UITWERKING
BESTAANDE FEITELIJKE SITUATIE
Waar wordt een overzicht van de bestaande feitelijke situatie met betrekking tot
informatiebeveiliging bijgehouden?
centraal in een gegevensverwerkingsregister
decentraal in verschillende gegevensverwerkingsregisters die centraal gekend en
onmiddellijk opvraagbaar zijn, nl.
op het niveau van de dienst
op het niveau van het department
volgende registers: (aanvullen) (bijv. HR, facilitair, ICT, burgerzaken,
aankoopdienst, …)
Door wie wordt centraal een overzicht van de bestaande feitelijke situatie met betrekking tot
informatiebeveiliging bijgehouden?
de veiligheidscoördinator
de adjunct-veiligheidscoördinator specifiek met die taak belast
de gemeentesecretaris
de diensten van de gemeentesecretaris
andere: (aanvullen)
Door wie wordt decentraal een overzicht van de bestaande feitelijke situatie met betrekking
tot informatiebeveiliging bijgehouden?
niet van toepassing
het hoofd van de eenheid op welk niveau de decentrale register worden
bijgehouden
specifiek aangeduide personen binnen de eenheid op welk niveau de decentrale
register worden bijgehouden
andere: (aanvullen)
Hoe wordt een overzicht van de bestaande feitelijke situatie met betrekking tot
informatiebeveiliging actueel gehouden?
projectbeheerders dienen nieuwe gegevensverwerkingen te melden
gegevensverwerkingen zijn toegewezen aan “eigenaars” die hun
gegevensverwerking moeten melden en die melding actueel moeten houden
toegangsbeheer vereist verbinding met een (centrale) personendatabase
17. Veiligheidsbeleid – vragenlijst steden en gemeenten
periodiek wordt de gekende informatie getoetst bij de hoofden van de diensten
en/of departmenten
@TommyVandepitte 17
andere: (aanvullen)
BELEIDSDOCUMENTEN
Vindplaats
Waar wordt een overzicht van de beleidsdocumenten met betrekking tot informatiebeveiliging
bijgehouden?
centraal in een register
decentraal in verschillende registers die centraal gekend en onmiddellijk opvraagbaar
zijn, nl.
op het niveau van de dienst
op het niveau van het department
volgende registers: (aanvullen) (bijv. HR, facilitair, ICT, burgerzaken,
aankoopdienst, …)
Door wie wordt centraal een overzicht van de bestaande beleidsdocumenten met betrekking
tot informatiebeveiliging bijgehouden?
de veiligheidscoördinator
de adjunct-veiligheidscoördinator specifiek met die taak belast
de gemeentesecretaris
de diensten van de gemeentesecretaris
de personeelsdienst
de dienst organisatie
andere: (aanvullen)
Door wie wordt decentraal een overzicht van de bestaande beleidsdocumenten met
betrekking tot informatiebeveiliging bijgehouden?
niet van toepassing
het hoofd van de eenheid op welk niveau de decentrale register worden
bijgehouden
specifiek aangeduide personen binnen de eenheid op welk niveau de decentrale
register worden bijgehouden
andere: (aanvullen)
Hoe wordt een overzicht van de bestaande beleidsdocumenten met betrekking tot
informatiebeveiliging actueel gehouden?
beleidsdocumenten worden enkel beslist door het college van burgemeesters en
schepenen
18. Veiligheidsbeleid – vragenlijst steden en gemeenten
beleidsdocumenten moeten altijd kenbaar worden gemaakt aan de
gemeentesecretaris voor ze effect kunnen hebben
beleidsdocumenten die (deels) betrekking hebben op informatiebeveiliging
moeten altijd voor advies worden voorgelegd aan de veiligheidsconsulent alvorens ze
beslist kunnen worden
beleidsdocumenten die (deels) betrekking hebben op informatiebeveiliging
moeten na te zijn beslist, altijd in hun besliste versie worden overgemaakt aan de
veiligheidsconsulent
@TommyVandepitte 18
andere: (aanvullen)
Versiebeheer
Op welke manier wordt aan versiebeheer gedaan van de beleidsdocumenten met betrekking
tot informatiebeveiliging?
de verantwoordelijke voor de bewaring van de beleidsdocumenten, bewaart
eveneens de eerdere versies
eerdere versies van beleidsdocumenten worden bewaard in het archief van de
gemeente
andere: (aanvullen)
Voor welke periode worden versies van beleidsdocumenten met betrekking tot
informatiebeveiliging bijgehouden?
vijf jaar na de eerste januari van het jaar volgend op het ogenblik dat het
document geen uitwerking meer had
zeven jaar na de eerste januari van het jaar volgend op het ogenblik dat het
document geen uitwerking meer had
minstens tien jaar na de eerste januari van het jaar volgend op het ogenblik dat
het document geen uitwerking meer had
Communicatie naar medewerkers
Op welke manier worden van toepassing zijnde beleidsdocumenten met betrekking tot
informatiebeveiliging op permanente wijze gecommuniceerd aan medewerkers?
via het intranet van de gemeente, zonder dat deze document specifiek
gebundeld zijn onder het criterium informatiebeveiliging
via een specifiek daartoe opgezet onderdeel van het intranet van de gemeente
via het handboek voor de medewerkers dat elke medewerker voor en bij
aanwerving ontvangt evenals bij elke wijziging
andere: (aanvullen)
PLANNING
Werven
Wordt de planning van de uitvoering van het veiligheidsbeleid aangepakt in werven?
19. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 19
nee ja
Zonee, hoe wordt de planning wel aangepakt?
aan de hand van het veiligheidsplan waar per actie een timing op wordt geplakt
aan de hand van het veiligheidsplan waar per actie een timing op wordt geplakt
in de jaarplanning
aan de hand van het veiligheidsplan waar het dagelijks bestuur van de
organisatie zelf de prioriteit kan bepalen
aan de hand van het veiligheidsplan waar de veiligheidsconsulent zelf de
prioriteit kan bepalen
andere: aanvullen
Zoja, welke werven worden aangeduid met welke prioriteit?
Algemene werven J/N Prio
Beleidsteksten
Datagerelateerde werven J/N Prio
Data van burgers
Data van medewerkers
Data van gemeenteraadsleden
Data van het publiek (bijv. camera’s)
Werven van bijzonder gereglementeerde gegevens J/N Prio
Verwerkingen waarin een link wordt gelegd naar het rijksregister
Verwerkingen waarin een link wordt gelegd naar de kruispuntbank
sociale zekerheid
Verwerkingen waarin het rijksregisternummer voorkomt
Verwerkingen waarin strafrechtelijke (persoons)gegevens
voorkomen
Verwerkingen waarin gerechtelijke (persoons)gegevens
voorkomen
Verwerkingen waarin medische (persoons)gegevens voorkomen
Verwerkingen waarin gegevens voorkomen op basis waarvan zou
kunnen worden gediscrimineerd
Verwerkingen m.b.t. direct marketing
Verwerkingen van telefooncommunicatie
Verwerkingen m.b.t. reclame per telefoon
Verwerkingen van briefwisseling
Verwerkingen van elektronische communicatie
Verwerkingen m.b.t. reclame per elektronische post
Verwerkingen van camerabeelden
Verwerkingen van afbeeldingen van personen (incl. foto’s)
Verwerkingen waarbij de eID van de burger wordt gebruikt
Verwerkingen waarbij de eID van de medewerker wordt gebruikt
Werven i.v.m. samenwerking J/N Prio
Verwerkingen die zijn uitbesteed naar derden (C2P)
Verwerkingen die gebeuren in samenwerking met het OCMW
(C2C)
Verwerkingen die gebeuren in samenwerking met andere
gemeenten (C2C)
Verwerkingen die gebeuren in samenwerking met (andere)
20. Veiligheidsbeleid – vragenlijst steden en gemeenten
derden (C2C)
Werven gebaseerd op locatie J/N Prio
Verwerkingen waarbij (persoons)gegevens België verlaten
Verwerkingen waarbij (persoons)gegevens de EU verlaten
Werven gerelateerd aan departementen J/N Prio
(aanvullen departement)
Andere werven J/N Prio
(aanvullen)
@TommyVandepitte 20
Opvolging
Op welke manier wordt de vooruitgang van de implementatie (desgevallend de werven)
opgevolgd?
voorwaarts kijkende key risk indicators
verslagen van incidenten (eventueel volgens een vooraf vastgesteld sjabloon)
checks door de diensthoofden
checks door de vlaggendragers in de diensten
checks door de (adjunct-)veiligheidsconsulent
checks door de dienst interne controle, waarvan de veiligheidsconsulent wordt
geïnformeerd
en die samen met de veiligheidsconsulent zijn opgezet (bijv. door
vragenlijsten, sjablonen, …)
externe audits, waarvan de veiligheidsconsulent wordt geïnformeerd
en die in voorafgaand overleg met de veiligheidsconsulent zijn opgezet
de verplichte (driejaarlijkse) externe audit
andere: aanvullen
Met welke periodiciteit wordt de vooruitgang opgevolgd?
continu
wekelijks
maandelijks
tweemaandelijks
op kwartaalbasis
semestrieel
andere: (aanvullen)
21. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 21
PROJECTEN
Wordt informatiebeveilging in projecten betrokken?
N.B. Dit heeft als voordeel dat – als het correct gebeurt – dat het risico (als er al een is)
vroeg gekend is zodat aan degelijk risicobeheer kan worden gedaan, en de
implementatiekost van maatregelen om “privacy by design” te werken zo laag mogelijk wordt
gehouden.
ja nee
Via wie wordt informatiebeveilging formeel in projecten betrokken?
de projectleider
de veiligheidsconsulent
de adjunct-veiligheidsconsulent aangesteld voor de afdeling waar het project
wordt uitgewerkt
de adjunct-veiligheidsconsulent die ad hoc voor het project wordt aangesteld
door de veiligheidsconsulent
het hoofd van de afdeling waar het project wordt uitgewerkt
de gemeentesecretaris
andere: (aanvullen)
Hoe wordt informatiebeveilging formeel in projecten betrokken?
de projectleider kan – naar eigen oordeel - informeel advies vragen aan de
veiligheidsconsulent of diens aangeduide adjunct(en) en het resultaat van die
adviezen vermelden in zijn projectverslagen
de projectleider moet de veiligheidsconsulent of dienst aangeduide adjunct(en)
schriftelijk informeren (bij het begin) van het project en samen met de hem (hen)
bepalen hoe zijn (hun) tussenkomst gedurende het project georganiseerd zal worden
de projectleider moet schriftelijk informeel advies vragen aan de
veiligheidsconsulent of diens aangeduide adjunct(en) en het resultaat van die
adviezen vermelden in zijn projectverslagen
de projectleider moet formeel advies vragen aan de veiligheidsconsulent of diens
aangeduide adjunct(en)
de (risico)beoordeling (“privacy impact assessment”) door de projectleider moet
in het projectcharter worden opgenomen, zodat beslisser(s) er kennis van kunnen
nemen
de (risico)beoordeling (“privacy impact assessment”) door de (adjunct-
)veiligheidsconsulent moet in het projectcharter worden opgenomen, zodat
beslisser(s) er kennis van kunnen nemen
een formeel advies van de veiligheidsconsulent moet worden opgemaakt en aan
de beslissingnemer(s) bezorgd
andere: (aanvullen)
22. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 22
Hoe vaak wordt informatiebeveilging formeel in projecten betrokken?
een maal
op specifiek aangeduide ogenblikken
zoveel als nodig naar het oordeel van de projectleiding
zoveel als nodig naar het oordeel van de veiligheidsconsulent
zoveel als nodig naar het oordeel van de beslissingsnemer(s)
andere: (aanvullen)
Op welk ogenblik wordt informatiebeveilging in projecten betrokken?
van bij de opstart van het project
van bij de conceptie van het “probleem” dat door het project moet worden
aangepakt
vanaf het ogenblik dat door de gebruikers tussen de verschillende opties van de
long list wordt gekozen
vanaf het ogenblik dat door de technici tussen de verschillende opties van de
long list wordt gekozen
vanaf het ogenblik dat door technici en gebruikers tussen de verschillende opties
van de short list wordt gekozen
vanaf het ogenblik dat door de gebruikers en de technici één oplossing is
gekozen
op het ogenblik dat de beslissing voor één oplossing wordt genomen door de
beslissingnemer(s)
bij de implementatie van de oplossing waarvoor gekozen is
bij de evaluatie van de implementatie van de oplossing waarvoor gekozen is
andere: (aanvullen)
23. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 23
Aanpak
Wat volgt zit op de rand tussen veiligheidsbeleid en de uitvoering daarvan in het
veiligheidsplan. De bedoeling is dus voornamelijk om al na te denken op welke manier het
beleid uitgevoerd zou moeten / kunnen worden.
IMPLEMENTERENDE BELEIDSDOCUMENTEN
VEILIGHEIDSPLAN
Tot op welk niveau van detail gaat het veiligheidsplan m.b.t. de uitvoeringsmaatregelen?
N.B. Meer detail maakt de taken “SMART”-er waardoor het makkelijker is ze te meten en/of
af te ronden.
het niveau van de minimumnormen voor beveiliging van de CBPL / KSZ / VTC
het niveau van concrete uitvoeringsmaatregelen zoals omschreven in ISO27002
/ NIST800-53
een tussenniveau tussen de minimumnormen en concrete
uitvoeringsmaatregelen zoals omschreven in ISO27002 / NIST800-53
andere: (aanvullen)
Tot op welk niveau van detail gaat het veiligheidsplan m.b.t. de uitvoerder?
het niveau van de organisatie
het niveau van het directoraat
het niveau van de dienst
het niveau van het team
het niveau van het individu
andere: (aanvullen)
Aan de hand van welke algemene criteria bepalen we de prioriteiten van de elementen in het
veiligheidsplan?
N.B. Deze criteria kunnen worden aangevuld of anders worden gerangschikt in concrete
gevallen, maar dit is de algemene beleidsoptie.
Criterium Belang
probabiliteit van een voorval
financiële impact
impact op de continuïteit van de dienst
impact op beschikbaarheid
impact op integriteit
impact op confidentialiteit
impact op respecteren van de doelgebondenheid
andere: aanvullen
Wordt het veiligheidsplan verbijzonderd in jaarplannen?
24. Veiligheidsbeleid – vragenlijst steden en gemeenten
N.B. Afhankelijk van het detail van het veiligheidsplan kan dit overbodig zijn.
@TommyVandepitte 24
nee ja
Wordt het veiligheidsplan “rollend” geconcipieerd?
N.B. Onder “rollend” wordt begrepen dat het veiligheidsplan altijd de komende drie jaar
overspant en dus na de afsluiting van een jaar wordt aangevuld met nieuwe acties voor een
volgend derde jaar.
nee ja
BELEIDSTEKSTEN (“POLICIES”)
Welke beleidsteksten moeten (volgens welke prioriteit) worden uitgewerkt, beslist en
uitgerold?
N.B. Druk prioriteit bij voorkeur uit in termen van weken, maanden en/of jaren of streefdatum
of anders in termen van een hiërarchie.
Beleidstekst Prio
Bijhouden van informatie over de goederen van het OCMW (informatie,
hardware, software, …) (asset management)
Bijhouden van informatie over de uitbestede verwerkingsprocessen
Gedragscode (rond informatiebeveiliging) voor interne medewerkers
Gedragscode / -contract (rond informatiebeveiliging) voor externe
medewerkers
Informatieclassificatie
Incidentenbeheer, incl. communicatie rond incidenten
Continuiteitsbeleid
Openbaarheid van bestuur
Fysieke beveiliging
Softwareontwikkeling
Uitbesteding (algemeen)
Toegangen tot informatie
Paswoorden
Cloud computing door het OCMW of m.b.t. gegevens onder de
verantwoordelijkheid van het OCMW (dropbox, webmail, etc.)
Hardware van het OCMW die ook voor privaat gebruik kan dienen (gsm,
laptop, tablet, etc)
E-mail
Internetgebruik (eventuele blokkering)
Monitoring (CAO 81)
Sociale media
Breng je eigen toestel (BYOD)
Sanctionering van personeel (gradaties) voor overtredingen van de
beleidsteksten, richtlijnen of instructies
Andere: (aanvullen)
PROCEDURES
Welke domeinen worden (in het begin) minstens deels door procedures ondervangen?
alle domeinen waarvoor nog geen richtlijnen zijn uitgewerkt
25. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 25
andere: (aanvullen)
In welke processen moet de (adjunct-)veiligheidsconsulent verplicht ingeschakeld worden?
veiligheidsincident
antwoorden vragenlijsten aan toezichthouders gerelateerd aan
(persoons)gegevensverwerking (CPBL, KSZ, VTC,…)
controles en/of audits gerelateerd aan (persoons)gegevensverwerking door de
toezichthouders (CPBL, KSZ, VTC,…)
vragen van data subjecten waar nog geen gestandardiseerd antwoord voor is
ontwikkeld
opmaak van ICT beleidsplannen om te overleggen welke plannen/projecten een
nadere studie van de informatiebeveiliging aangewezen is
opmaak van planning van interne controle om te overleggen in welke mate
controles elementen van informatiebeveiliging (kunnen) bevatten
projecten die verwerking van persoonsgegevens bevatten
wijzigingen aan verwerkingen van persoonsgegevens
uitbesteding van processen van verwerking van persoonsgegevens
andere: (aanvullen)
RICHTLIJNEN EN INSTRUCTIES
Welke richtlijnen en instructies moeten (volgens welke prioriteit) worden uitgewerkt, beslist
en uitgerold?
N.B. Druk prioriteit bij voorkeur uit in termen van weken, maanden en/of jaren of streefdatum
of anders in termen van een hiërarchie.
Richtlijnen en instructies Prio
Classificeren van informatie in de praktijk
Indeling in zone omwille van fysieke beveiliging
Overheidsopdrachten waarbij verwerking van persoonsgegevens (ook)
wordt uitbesteed
Netwerkbeveiliging
Virusbescherming
Toekenning van toegangsrechten aan nieuwe medewerkers (incl.
badges, sleutels, etc.)
Evaluatie en eventuele wijziging van toegangsrechten bij functiewijziging
van medewerkers
Beëindigig van toegangsrechten bij exit van medewerkers
Gebruik van externe dragers (zoals USB)
Back-up en back-up-testen
Uitdienststelling of vernietiging van hardware waarop (persoons-)
gegevens bewaard werden
Opruiming of vernietiging van papieren dossier waarin (persoons-)
gegevens vervat zijn
Andere: (aanvullen)
26. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 26
CONTINUE VERBETERING
Wordt het veiligheidsplan en de prioriteiten van de acties erin periodiek geëvalueerd en
desgevallen aangepast?
nee (enkel zoals wettelijk vereist: 3-jaarlijks) ja, jaarlijks ja, semestrieel
Wie neemt het initiatief voor de evaluatie van het veiligheidsplan?
de veiligheidsconsulent
de werkgroep informatiebeveiliging
het management team
het college van burgemeester en schepenen
andere: (aanvullen)
Wordt aan elk beleidsdocument (al dan niet expliciet) een procedure voorzien om
uitzonderingen aan te pakken ?
N.B. Het is eigen aan beleidsteksten dat ze niet alles (kunnen) omvatten. Dat is zeker zo in
het begin, maar blijft vaak zo o.m. omwille van de wijzigende omgeving. Net zoals een te
grote vrijheid, belemmert een te grote rigiditeit de implementatie (implementeerbaarheid,
aanvaardbaarheid, …). Daarom moeten de uitzonderingen gebalanceerd en weloverwogen
zijn.
nee ja
Worden de beleidsdocumenten m.u.v. het veiligheidsplan (beleid, richtlijn, instructie,…)
periodiek geëvalueerd en desgevallen aangepast?
nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks
Zoja, door wie (ultiem)?
gemeentesecretaris
management team
college van Burgemeester en Schepenen
gemeenteraad
andere: (aanvullen)
Worden de toegangsregelingen (fysiek, digitaal, archief, openbaarheid van bestuur,…)
periodiek geëvalueerd en desgevallend aangepast?
nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks
Zoja, door wie (ultiem)?
directeur verantwoordelijk voor (aanvullen)
gemeentesecretaris
management team
27. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 27
college van Burgemeester en Schepenen
gemeenteraad
andere: (aanvullen)
Worden de toegekende toegangsrechten (fysiek, digitaal, archief, openbaarheid van
bestuur,…) periodiek geëvalueerd en desgevallend aangepast?
nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks
Zoja, door wie (ultiem)? (eventueel samen, in verschillende lijnen en eventueel na
informeel advies van de veiligheidsconsulent voor twijfelgevallen)
de dienst interne controle
de interne database-eigenaar voor de database(s) waarvan zij “eigenaar” zijn
de directeurs verantwoordelijk voor de betrokken personeelsleden
directeur verantwoordelijk voor (aanvullen)
gemeentesecretaris
management team
college van Burgemeester en Schepenen
andere: (aanvullen)
Wordt informatieclassificatie zoals die in de praktijk is omgezet periodiek gecheckt,
geëvalueerd en desgevallend aangepast – los van aanpassingen n.a.v. in- of afvoeren van
verwerkingsprocessen?
nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks
Zoja, door wie (ultiem)? (eventueel samen, in verschillende lijnen en eventueel na
informeel advies van de veiligheidsconsulent voor twijfelgevallen)
de dienst interne controle
de interne database-eigenaar voor de database(s) waarvan zij “eigenaar” zijn
de (adjunct-)veiligheidsconsulent
directeur verantwoordelijk voor (aanvullen)
gemeentesecretaris
management team
college van Burgemeester en Schepenen
andere: (aanvullen)
Worden bij de interne database-eigenaars periodiek gecheckt of en hoe ze zich van hun taak
kwijten en wordt daarbij door feedback gestreefd naar een uniforme en betere aanpak?
nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks
28. Veiligheidsbeleid – vragenlijst steden en gemeenten
Zoja, door wie (ultiem)? (eventueel samen, in verschillende lijnen en eventueel na
informeel advies van de veiligheidsconsulent voor twijfelgevallen)
@TommyVandepitte 28
de dienst interne controle
de (adjunct-)veiligheidsconsulent
directeur verantwoordelijk voor (aanvullen)
gemeentesecretaris
management team
college van Burgemeester en Schepenen
andere: (aanvullen)
Wordt het informatieoverzicht periodiek gecheckt en desgevallend aangevuld – los van de
aanpassingen die gebeuren naar aanleiding van implementatie of wijziging van
verwerkingsprocessen?
nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks
de dienst interne controle
de (adjunct-)veiligheidsconsulent
directeur verantwoordelijk voor (aanvullen)
gemeentesecretaris
management team
college van Burgemeester en Schepenen
andere: (aanvullen)
SAMENWERKING
INTRA-GEMEENTELIJK
OCMW
Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en OCMW?
nee ja
Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en het
OCMW, zou het dat niet nuttig zijn om een periodiek overleg te hebben?
nee ja
Omtrent welke domeinen?
beoordelingsoverleg
kennisdeling
veiligheidsbeleid
29. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 29
veiligheidsplan
beleidsteksten
richtlijnen en instructies
bewustmakingsacties
checks
andere: (aanvullen)
AGB’s
Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en het AGB?
nee ja
Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en het
AGB, zou het dat niet nuttig zijn om een periodiek overleg te hebben?
nee ja
Omtrent welke domeinen?
beoordelingsoverleg
kennisdeling
veiligheidsbeleid
veiligheidsplan
beleidsteksten
richtlijnen en instructies
bewustmakingsacties
checks
andere: (aanvullen)
Andere extern verzelfstandigde agentschappen
Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en (bepaalde) EVA’s?
nee ja
Zoja, welke?
(aanvullen)
Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en de
EVA’s, zou het dat niet nuttig zijn om een periodiek overleg te hebben?
nee ja
Omtrent welke domeinen?
beoordelingsoverleg
30. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 30
kennisdeling
veiligheidsbeleid
veiligheidsplan
beleidsteksten
richtlijnen en instructies
bewustmakingsacties
checks
andere: (aanvullen)
INTER-GEMEENTELIJK
Politiezone
Welke accenten worden gelegd inzake informatieveiligheid in de samenwerking binnen de
politiezone?
geen
documentatie van de verwerkingen van gerechtelijke gegevens
documentatie van alle verwerkingen van persoonsgegevens
documentatie van de verantwoordelijkheden van de controller(s)
aanstelling van een veiligheidsconsulent
bewustmaking van wie in aanraking komt met de gegevens van de politiezone
controles m.b.t. informatiebeveiliging en rapportering van de bevindingen
andere: (aanvullen)
Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en de politiezone
waartoe hij behoort?
N.B. Aangezien een politiezone gemeenteoverschrijdend is, is dit voor een gemeente niet
evident. Hoewel, als er een grote stad in de politiezone zit, kan het nuttig zijn om hier
“gebruik van te maken”.
nee ja
Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en de
politiezone, zou het dat niet nuttig zijn om een periodiek overleg te hebben?
nee ja
Omtrent welke domeinen?
beoordelingsoverleg
kennisdeling
veiligheidsbeleid
31. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 31
veiligheidsplan
beleidsteksten
richtlijnen en instructies
bewustmakingsacties
checks
andere: (aanvullen)
Intercommunales
Welke accenten worden gelegd inzake informatieveiligheid in de samenwerking binnen de
intercommunales?
geen
documentatie van alle verwerkingen van persoonsgegevens
documentatie van de verantwoordelijkheden van de controller(s) en processor(s)
aanstelling van een veiligheidsconsulent
bewustmaking van wie in aanraking komt met de gegevens van de intercommunale
controles m.b.t. informatiebeveiliging en rapportering van de bevindingen
andere: (aanvullen)
Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en (bepaalde)
intercommunales?
N.B. Aangezien een politiezone gemeenteoverschrijdend is, is dit voor een gemeente niet
evident. Hoewel, als er een grote stad in de politiezone zit, kan het nuttig zijn om hier
“gebruik van te maken”. Als er meerdere grote steden/gemeenten zijn, is het waarschijnlijk
beter een afzonderlijke veiligheidsconsulent te hebben.
nee ja
Zoja, welke?
(aanvullen)
Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en de
intercommunales, zou het dat niet nuttig zijn om een periodiek overleg te hebben?
nee ja
Omtrent welke domeinen?
beoordelingsoverleg
kennisdeling
veiligheidsbeleid
veiligheidsplan
33. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 33
Bewustmaking
DOELGROEP(EN)
Wordt onderscheid gemaakt in verschillende doelpublieken van bewustmakingsacties?
nee ja
Zoja, in welke doelgroepen?
externe medewerkers
leden van het College van Burgemeesters en Schepenen
leden van het MAT
directeurs
teamcoaches
vlaggendragers
leden van de werkgroep
medewerkers die in aanrakening komen met persoonsgegevens
medewerkers die in aanrakening komen met bijzondere categorieën van
persoonsgegevens
medewerkers die in toegang hebben tot het Rijksregister
medewerkers die in toegang hebben tot de KSZ
andere: (aanvullen)
INHOUDELIJKE ACCENTEN
Welke accenten worden gelegd bij bewustmakingsacties?
geen
wordt per actie bepaald door de (adjunct-)veiligheidsconsulent
wordt op jaarbasis bepaald door de (adjunct-)veiligheidsconsulent
wordt per actie bepaald door de werkgroep informatiebeveiliging
wordt op jaarbasis bepaald door de werkgroep informatiebeveiliging
wordt per actie bepaald door het Management Team
wordt op jaarbasis bepaald door door het Management Team
wordt op jaarbasis bepaald door door het College van Burgemeester en Schepenen
wordt per actie bepaald door het Management Team
impact voor het data subject
34. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 34
impact voor de organisatie
impact op de continuïteit van de dienst
impact op beschikbaarheid van de informatie
impact op confidentialiteit van de informatie
impact op integriteit van de informatie
veiligheidsincidenten en near misses
andere: (aanvullen)
Waarop wordt inhoudelijk gefocust?
wetgeving
statistieken
verhalen
praktische (gevolgen voor de) werking van de organisatie en de medewerkers
mogelijke gevolgen (incl. sancties) voor de organisatie
mogelijke gevolgen (incl. sancties) voor de organisatie
andere: (aanvullen)
KANALEN
Welke kanalen (in ruime zin) (kunnen) worden aangewend voor permanente
bewustmakingsacties?
de rechtspositie van de (interne) medewerkers
de tewerkstellingsovereenkomst van de medewerkers
de deontologische code van de medewerkers
het handboek voor de (nieuwe) medewerkers
de functiebeschrijving van medewerkers
een kennisbank (incl. FAQ’s) voor de medewerkers (op het intranet)
een wiki voor de medewerkers (op het intranet)
andere: (aanvullen)
Welke kanalen (in ruime zin) (kunnen) worden aangewend voor permanente
bewustmakingsacties?
nieuwsberichten op het intranet
e-mailberichten aan de medewerkers
een (periodiek) verplicht te doorlopen “push” e-learningpakket (bijv. video)
35. Veiligheidsbeleid – vragenlijst steden en gemeenten
een (periodiek) verplicht te doorlopen interactief e-learningpakket
een (periodiek) verplicht te doorlopen theoretische test (kennis van de regels)
een (periodiek) verplicht te doorlopen praktische test (toepassing van de regels)
@TommyVandepitte 35
het personeelsblad
een specifieke nieuwsbrief
posters op de werkplek
checks die op de werkplek opvallen (bijv. clear desk checks)
pop-ups bij toegang tot (bepaalde) toepassingen
stempels op elk bureau om de informatieclassificatie door te voeren (als “gadget”)
de evaluatie van medewerkers
andere: (aanvullen)
36. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 36
Financieel
BUDGET
Wordt er een afzonderlijk budget voor informatiebeveiliging geïnstalleerd?
nee ja
Zonee, op welke manier worden de benodigde middelen voor informatiebeveiliging
verzekerd?
de (adjunct-)veiligheidsconsulent kan voor specifieke grotere projecten een
budget opnemen in het veiligheidsplan
de (adjunct-)veiligheidsconsulent kan te allen tijde de nodige middelen vragen
door een vraag voor te leggen aan het Management Team
tot een bepaald bedrag, namelijk (aanvullen)
de (adjunct-)veiligheidsconsulent kan te allen tijde de nodige middelen vragen
door een vraag voor te leggen aan het College van Burgemeester en Schepenen
tot een bepaald bedrag, namelijk (aanvullen)
Zoja, welke elementen vallen expliciet onder het specifieke budget?
budget voor opleiding van (adjunct-)veiligheidsconsulent
budget voor het opzetten van bewustmakingsacties
budget voor het betrekken van intern advies (bijv. de IT dienst, de juridische
dienst, ...)
budget voor het betrekken van extern advies (bijv. bij een erkende
gespecialiseerde beveiligingsdienst, een extern jurist, …)
budget voor het betrekken van externe audits en/of externe forensische experts
andere: (aanvullen)
Zoja, welke elementen vallen expliciet niet onder het specifieke budget?
budget voor opleiding van (adjunct-)veiligheidsconsulent
budget voor het opzetten van bewustmakingsacties
budget voor het betrekken van intern advies (bijv. de IT dienst, de juridische
dienst, ...)
budget voor het betrekken van extern advies (bijv. bij een erkende
gespecialiseerde beveiligingsdienst, een extern jurist, …)
budget voor het betrekken van externe audits en/of externe forensische experts
andere: (aanvullen)
Zoja, wie is de budgethouder voor dit specifieke budget?
37. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 37
de gemeentesecretaris
de directeur verantwoordelijk voor interne controle
de directeur verantwoordelijk voor IT
de interne (adjunct-)veiligheidsconsulent
andere: (aanvullen)
RAPPORTERING
Op welke manier wordt over het budget voor informatiebeveiliging gerapporteerd?
in een excel-bestand dat periodiek wordt overgemaakt
in een excel-bestand dat in een specifiek afgeschermde map wordt bewaard en
gedeeld met de budgethouder
via de interne budget-management-applicatie
andere: (aanvullen)
Hoe frequent wordt over het budget voor informatiebeveiliging gerapporteerd?
continu
wekelijks
maandelijks
tweemaandelijks
op kwartaalbasis
semestrieel
andere: (aanvullen)
Aan wie wordt over het budget voor informatiebeveiliging gerapporteerd?
de gemeentesecretaris
de directeur verantwoordelijk voor interne controle
de directeur verantwoordelijk voor IT
het management team
het College van Burgemeester en Schepenen
andere: (aanvullen)
38. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 38
Transparantie
INTERN
RAPPORTERING
Jaarverslag
Op welke manier wordt de minimum-inhoud van het jaarverslag ingevuld?
1. een algemeen overzicht van de veiligheidstoestand, de ontwikkeling in het
afgelopen jaar en de nog te realiseren doelstellingen
het algemeen overzicht van de veiligheidstoestand is beperkt tot een korte
algemeen beschrijving (max. 1 pagina)
een grafische voorstelling van de belangrijkste risico’s in een risico-matrix
een statistische voorstelling van de vooruitgang in het veiligheidsplan (open,
gepland, bezig, afgewerkt)
de top drie risico’s
het risico-register in extenso, desgevallend aangepast aan gewijzigde toestand
de huidige status zonder toelichting van de elementen van het veiligheidsplan en
de eventueel ad hoc toegevoegde elementen
de huidige status met toelichting van de elementen van het veiligheidsplan en de
eventueel ad hoc toegevoegde elementen
andere: (aanvullen)
2. een samenvatting van de schriftelijke adviezen die aan de verantwoordelijke voor het
dagelijks bestuur werden bezorgd en het gevolg dat eraan werd gegeven
een lijst of tabel met betekenisvolle titels van de adviezen
een samenvatting van 5 lijnen per adviezen
per advies: datum
per advies: door beslisser gevolgd, gedeeltelijk gevolgd, niet gevolgd of (nog)
niet gekend
per advies: bij implementatie gevolgd, gedeeltelijk gevolgd, niet gevolgd of (nog)
niet gekend
een samenvatting van aspecten van het advies die niet gevolgd zijn
andere: (aanvullen)
3. een overzicht van de werkzaamheden, verricht door de veiligheidsconsulent
samenkomsten met de (adjunct-)veiligheidsconsulenten
opgemaakte privacy impact assessments
contacten met de toezichthouders (CBPL, KSZ, VTC,…)
andere: (aanvullen)
4. een overzicht van de resultaten van de controles, uitgevoerd door de
veiligheidsconsulent, met weergave van alle vastgestelde voorvallen die de
39. Veiligheidsbeleid – vragenlijst steden en gemeenten
informatieveiligheid van de instantie of de entiteit in kwestie in het gedrang hadden
kunnen brengen
formele controles die volgens een auditmethodologie werden uitgevoerd
controles waarvan een schriftelijk rapport is opgemaakt
vaststellingen die een impact kunnen hebben op de informatiebeveiliging, als ze
gesignaleerd zijn aan de directeur die verantwoordelijk is voor het eventueel
verhelpen van de situatie
vaststellingen die een impact kunnen hebben op de informatiebeveiliging, ook
als ze niet gesignaleerd zijn aan de directeur die verantwoordelijk is voor het
eventueel verhelpen van de situatie
veiligheidsincidenten
per controle of vaststelling: de aard
per controle of vaststelling: een (eind)datum of periode
per controle of vaststelling: de scope (toepassingsgebied)
per controle of vaststelling: de bevindingen
per controle of vaststelling: of er regularisatiemaatregelen worden genomen en
welke
@TommyVandepitte 39
andere: (aanvullen)
5. een overzicht van de gevoerde campagnes ter bevordering van de veiligheid
alle gevoerde bewustmakingscampagnes die zelfs maar gedeeltelijk
informatiebeveiliging aanraken
gevoerde bewustmakingscampagnes die exclusief gewijd waren aan
informatiebeveiliging
alle geplande bewustmakingscampagnes die zelfs maar gedeeltelijk
informatiebeveiliging aanraken
geplande bewustmakingscampagnes die exclusief gewijd zouden zijn aan
informatiebeveiliging
per bewustmakingsactie: een beschrijving
per bewustmakingsactie: het accent dat werd gelegd, als er een was
per bewustmakingsactie: de doelgroep
per bewustmakingsactie: het gebruikte kanaal
andere: (aanvullen)
6. een overzicht van alle gevolgde opleidingen en van de geplande opleidingen
alle gevolgde opleidingen
gevolgde opleidingen waarvoor betaald diende te worden
gevolgde opleidingen waarvoor een test werd afgelegd
gevolgde opleidingen waarvoor aanwezigheidsattest werd verstrekt
alle geplande opleidingen
geplande opleidingen waarvoor betaald dient te worden
geplande opleidingen waarvoor een test zal dienen te worden afgelegd
geplande opleidingen waarvoor aanwezigheidsattest zal worden verstrekt
per opleiding: opleidingverstrekker
per opleiding: titel van de opleiding
per opleiding: samenvatting van de inhoud van de opleiding
40. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 40
andere: (aanvullen)
Welke elementen buiten de minimum-inhoud van het jaarverslag worden in het jaarverslag
opgenomen?
geen
overzicht van de schriftelijke adviezen aan anderen dan het dagelijks bestuur
overzicht van de belangrijkste niet-schriftelijke adviezen
overzicht van de controles die niet zijn uitgevoerd door de veiligheidsconsulent
(bijv. externe audits, checks door interne controle,…), maar wel relevant zijn voor
informatiebeveiliging
andere: (aanvullen)
Op welke periode slaat het jaarverslag?
het kalenderjaar, waarbij het eerste jaar op een ruimere periode kan slaan dan
een jaar
de periode van een jaar die loopt vanaf
de beslissing van de aanstelling van de veiligheidsconsulent
de beslissing van goedkeuring van het veiligheidsbeleid
de beslissing van goedkeuring van het veiligheidsplan
volgende datum: (aanvullen)
andere: (aanvullen)
Door wie wordt formeel akte genomen van het jaarverslag?
het management team
het College van Burgemeester en Schepenen
de gemeenteraad
andere: (aanvullen)
Door wie wordt het jaarverslag voorgelegd voor het wordt voorgelegd aan het orgaan dat er
formeel akte van neemt?
de gemeentesecretaris
de directeur verantwoordelijk voor interne controle
de directeur verantwoordelijk voor IT
het management team
het College van Burgemeester en Schepenen
andere: (aanvullen)
Verdergaand
Wordt er verdergaande rapportering opgezet bovenop het jaarverslag?
nee ja
Zoja, op welke manier?
41. Veiligheidsbeleid – vragenlijst steden en gemeenten
@TommyVandepitte 41
kwartaalrapportering aan gemeentesecretaris
kwartaalrapportering aan management team
andere: (aanvullen)
CONTROLE DOOR DE GEMEENTERAAD
Welke controle wordt uitgevoerd op het veiligheidsbeleid en zijn implementatie door de
gemeenteraad?
vraagrecht van de gemeenteraadleden (40 5° GD), onder volgende voorwaarden
(aanvullen)
inzagerecht (30 en 40 4° GD), onder volgende voorwaarden (aanvullen)
rapportering naar een commissie binnen de gemeenteraad (39 en 40 6° GD),
namelijk (aanvullen)
andere: (aanvullen)
CONTROLE DOOR VLAANDEREN
Op welke manier wordt het informatiebeveiligingsbeleid ingepast in de passieve
transparantie t.a.v. de toezichthoudende overheid (art. 250 en 254 GD)?
hierover wordt een bijzonder reglement opgemaakt in samenwerking met de
veiligheidsconsulent
vragen worden niet voorgelegd voor advies door de veiligheidsconsulent
vragen worden voorgelegd voor advies door de veiligheidsconsulent
andere: (aanvullen)
Op welke manier wordt het informatiebeveiligingsbeleid ingepast in de actieve transparantie
t.a.v. de toezichthoudende overheid (art. 252-253 GD)?
hierover wordt een bijzonder reglement opgemaakt in samenwerking met de
veiligheidsconsulent
wat de gemeente zou doorsturen, wordt voorgelegd voor advies door de
veiligheidsconsulent, tenzij een bijzonder reglement daarvan afwijkt
wat de gemeente zou doorsturen, wordt niet voorgelegd voor advies door de
veiligheidsconsulent
andere: (aanvullen)
DATA SUBJECTEN
Op welke manier zal de stad actief transparant zijn ten aanzien van de data subjecten?
hierover wordt een bijzonder reglement opgemaakt in samenwerking met de
veiligheidsconsulent
bij elke gegevensverzameling bij het data subject wordt een bijzondere
privacyverklaring opgenomen die de minimale wettelijke informatie verstrekt
42. Veiligheidsbeleid – vragenlijst steden en gemeenten
bij elke gegevensverzameling bij het data subject wordt een bijzondere
privacyverklaring opgenomen buiten specifieke informatie wordt verwezen naar een
algemene privacyverklaring
bij elke gegevensverzameling buiten het data subject om wordt deze ingelicht
per brief indien de gegevensbron niet voldeed aan de informatieverstrekking aan het
data subject
er wordt een algemene privacyverklaring opgemaakt (per groep van data
subjecten) waarnaar kan worden verwezen en waarin een overzicht van de
gegevensverwerkingen voor dat data subject is opgenomen
@TommyVandepitte 42
andere: (aanvullen)
Op welke manier zal de stad passief transparant zijn ten aanzien van de data subjecten?
hierover wordt een bijzonder reglement opgemaakt in samenwerking met de
veiligheidsconsulent
al dergelijke vragen van data subjecten worden voorgelegd aan de (adjunct-)
veiligheidsconsulent
al dergelijke vragen van data subjecten worden voorgelegd aan de juridische
dienst
andere: (aanvullen)