Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten
VEILIGHEIDSBELEID VRAGENLIJST
Deze vragenlijst zou je moeten helpen om als stad of gemeente een degelijke strategie rond
informatiebeveiliging op te stellen die gepast is voor jouw stad of gemeente, eerder dan
klakkeloos voort te gaan op het voorbeeld van de rijksdienst voor sociale zekerheid (zie KSZ-website)
@TommyVandepitte 1
of van een andere stad of gemeente.
Het is pas als je aan de uitwerking toekomt dat de strategie in meer detail uitgewerkt
kan/moet worden. De concrete uitwerking van de strategie gebeurt dan door het
(continue) verder uitbouwen van de kennis van de organisatie (gegevens,
bedrijfsmiddelen en risico’s) en de concrete acties die binnen de komende drie jaar
zullen worden genomen (het zogenaamde “veiligheidsplan”). We wijzen erop dat de
strategie op zich onvoldoende is.
Ze is lang, dat klopt. Dat is een consequentie van het opdelen van de vragen in zo concreet
mogelijke deelvragen en het meegeven van de gebruikelijke antwoorden. Dat betekent niet
dat je daar voor jouw stad of gemeente niet van kan of mag afwijken. Het kan zelfs nodig zijn
om een veiligheidsbeleid te maken waar de stad of gemeente zich volledig in kan vinden en
dat dan ook meer gedragen zal zijn.
Je kan de vragenlijst ook gebruiken om jezelf voor te bereiden om van de beslissingnemers
de nodige input te krijgen om tot de opmaak van een gepast veiligheidsbeleid op te stellen.
De indeling van de vragenlijst, die je makkelijk kan opmaken aan de hand van de
inhoudstafel, geeft grotendeels aan waarover je uitspraken van de beslissingnemers wil
krijgen. Daarover hebben we ook een korte presentatie gemaakt (zie
slideshare.net/mactvdp).
Alle feedback op dit document is welkom. Je kan ons onder meer vinden op
@TommyVandepitte (twitter) of dezelfde naam op LinkedIn.
In elk geval, succes !
Inhoudstafel
Toepassingsgebied .................................................................................................................... 4
Risico appetijt ............................................................................................................................. 4
Maturiteit ..................................................................................................................................... 5
Organisatie ................................................................................................................................. 7
Personen................................................................................................................................. 7
Veiligheidsconsulent ........................................................................................................... 7
Ondersteuning Veiligheidsconsulent .................................................................................. 9
Juridisch advies ............................................................................................................... 9
Technisch advies ........................................................................................................... 10
Projectwerking ............................................................................................................... 10
Interne controle.............................................................................................................. 10

Werkgroep Informatiebeveiliging ...................................................................................... 11
Medewerkers ..................................................................................................................... 11
Interne Database-Eigenaars ............................................................................................. 12
Klankbord Informatiebeveiliging........................................................................................ 13
Gemeentesecretaris .......................................................................................................... 14
Management Team ........................................................................................................... 14
Ondertekenaars van overeenkomsten ............................................................................. 14
Burgemeester en schepenen ............................................................................................ 15
Gemeenteraad .................................................................................................................. 15
Specifieke uitwerking ............................................................................................................ 16
Bestaande feitelijke situatie .............................................................................................. 16
Beleidsdocumenten........................................................................................................... 17
Vindplaats ...................................................................................................................... 17
Versiebeheer ................................................................................................................. 18
Communicatie naar medewerkers ................................................................................ 18
Planning............................................................................................................................. 18
Werven .......................................................................................................................... 18
Opvolging....................................................................................................................... 20
Projecten ........................................................................................................................... 21
Aanpak...................................................................................................................................... 23
Implementerende beleidsdocumenten ................................................................................. 23
Veiligheidsplan .................................................................................................................. 23
Beleidsteksten (“policies”) ................................................................................................. 24
Procedures ........................................................................................................................ 24
Richtlijnen en instructies ................................................................................................... 25
Continue verbetering ............................................................................................................ 26
Samenwerking ...................................................................................................................... 28
Intra-gemeentelijk.............................................................................................................. 28
OCMW ........................................................................................................................... 28
AGB’s ............................................................................................................................. 29
Andere extern verzelfstandigde agentschappen .......................................................... 29
@TommyVandepitte 2

Inter-gemeentelijk.............................................................................................................. 30
Politiezone ..................................................................................................................... 30
Intercommunales ........................................................................................................... 31
Bewustmaking .......................................................................................................................... 33
Doelgroep(en) ....................................................................................................................... 33
Inhoudelijke accenten ........................................................................................................... 33
Kanalen ................................................................................................................................. 34
Financieel ................................................................................................................................. 36
Budget................................................................................................................................... 36
Rapportering ......................................................................................................................... 37
Transparantie ........................................................................................................................... 38
Intern ..................................................................................................................................... 38
Rapportering...................................................................................................................... 38
Jaarverslag .................................................................................................................... 38
Verdergaand .................................................................................................................. 40
Controle door de gemeenteraad ....................................................................................... 41
Controle door Vlaanderen ................................................................................................. 41
Data subjecten ...................................................................................................................... 41
@TommyVandepitte 3

@TommyVandepitte 4
Toepassingsgebied
Welke entiteiten willen we in het toepassingsgebied van dit veiligheidsbeleid ?
 De gemeente
 OCMW dat de gemeente bedient
 Politie die de gemeente bedient
 Intern verzelfstandigde agentschappen (221-224 GD)
 Welke?
 Extern verzelfstandigde agentschappen (225 e.v. GD)
 Welke?
 Intergemeentelijke samenwerkingen (“intercommunales”)
 Welke?
 Andere: xxx
Welke gegevens willen we in het toepassingsgebied van dit veiligheidsbeleid ?
 Persoonsgegevens zoals gedefinieerd in de privacywet
 Andere: xxx (bijv. gegevens die onder openbaarheid van bestuur vallen,
gegevens die onder de archiefreglementering vallen)
Risico appetijt
Welke risico’s zijn we bereid te accepteren ?
 Risico’s die een mogelijke impact hebben van minder dan xxx EUR (per jaar).
 Risico’s die een mogelijke impact hebben op minder dan xxx verschillende data
subjecten.
 Risico’s waardoor de gemeente waarschijnlijk in de pers komt, maar die extern
zijn (bijv. hackers) en waar de gemeente alle redelijke maatregelen heeft genomen
om die te voorkomen.
 Risico’s waardoor redundante systemen uitvallen voor minder dan 5 werkdagen.
 Risico’s die kennelijk en ondubbelzinnig contractueel zijn toe te rekenen aan een
toeleverancier van de gemeente.
Welke risico’s zijn we niet bereid te accepteren ?
 Risico’s die een mogelijke impact hebben van meer dan xxx EUR (per jaar).
 Risico’s die een mogelijke impact hebben op meer dan xxx verschillende data
subjecten.
 Risico’s die een mogelijke impact hebben op meer dan xxx verschillende data
subjecten.
 Risico’s waardoor de gemeente waarschijnlijk in de pers komt, waar de
gemeente niet alle redelijke maatregelen heeft genomen om die te voorkomen.

 Risico’s waardoor de gemeente waarschijnlijk meermaals (voor verschillende
feiten) in de pers komt, ook als die extern zijn (bijv. hackers) en waar de gemeente
alle redelijke maatregelen heeft genomen om die te voorkomen.
 Risico’s waardoor kritische systemen zoals bepaald door het managementteam
uitvallen voor meer dan 24 uur.
 Risico’s waardoor – wanneer ze zich voordoen – het vertrouwen van de burger in
de gemeente ernstig wordt geschokt.
 Risico’s die een klaarblijkelijke inbreuk zijn op een strafrechtelijk
gesanctioneerde norm.
@TommyVandepitte 5
Wie beoordeelt de risico’s?
De concrete beoordeling van een risico wordt bepaald door
 het college van burgemeester en schepenen, met een geschreven advies van de
veiligheidsconsulent.
 het gemeentesecretaris, met een geschreven advies van de veiligheidsconsulent.
 het managementteam, met een geschreven advies van de veiligheidsconsulent.
 de projectleider die het concrete project implementeert.
 de verantwoordelijke voor de betrokken applicatie en/of databank, desgevallend
beide.
Hoe vaak wordt de risicobeoordeling gemaakt?
 Eenmalig bij de implementering van de toepassing of gegevensverwerking.
 Bij de implementering van de toepassing of gegevensverwerking, daarna jaarlijks
in het kader van het jaarverslag van de veiligheidsconsulent.
 Bij de implementering van de toepassing of gegevensverwerking, daarna
driejaarlijks in het kader van een volledig doorlopen cyclus van het veiligheidsplan
van de veiligheidsconsulent.
Maturiteit
Wat is de inschatting van de gemeente omtrent de maturiteit van de informatiebeveiliging?
Model 1 Model 2
 Niet aanwezig
 Niet georganiseerd.
 Georganiseerd in silo’s (IT, preventie)
 Opgelegd van boven naar beneden.
 Systematisch aangepakt
 Doordrongen.
 Initieel (onvoorspelbaar, reactief)
 Beheerst (projectgebaseerd, reactief)
 Gedefinieerd (staande org., proactief)
 Bestuurd (gemeten en onder controle)
 Optimaal (gericht op procesverbetering)

Heeft de gemeente een nulmeting omtrent de maturiteit van de informatiebeveiliging?
@TommyVandepitte 6
 Nee.
 Ja, een inschatting van de veiligheidsconsulent van xxx.
 Ja, een inschatting van de interne controledienst van xxx.
 Ja, een inschatting van een externe audit van xxx.
 Nog niet, zij wordt georganiseerd door de veiligheidsconsulent voor eind xxx.
 Nog niet, zij wordt georganiseerd door de interne controledienst voor eind xxx.
 Nog niet, zij wordt georganiseerd als een externe audit voor eind xxx.
Waar wil de gemeente staan qua maturiteit van de informatiebeveiliging binnen 3 jaar?
Model 1 Model 2
 Doordrongen.
Welk niveau van maturiteit wil de gemeente bereiken om het vanaf dan aan te houden?
Model 1 Model 2
 Doordrongen.
Binnen welke termijn wil de gemeente dat maturiteitsniveau bereiken om het vanaf dan aan
te houden?
 3 jaar  4 jaar  5 jaar  6 jaar  7 jaar  8 jaar

@TommyVandepitte 7
Organisatie
In dit onderdeel worden de verantwoordelijkheden in grote lijnen toegewezen. Zij worden
verder uitgewerkt in specifieke beleidsteksten (bijv. per werf), procedures, functie-beschrijvingen
en/of instructies.
PERSONEN
VEILIGHEIDSCONSULENT
Kiest de gemeente voor een interne of een externe veiligheidsconsulent?
 intern  extern
Stelt de gemeente ook adjuncten van de veiligheidsconsulent aan?
nee  ja
Zoja, intern en of extern?
 intern  extern
Zoja, hoeveel?
intern  1  2  3  4  5
extern  1  2  3  4  5
Voert de veiligheidsconsulent zijn taak voltijds uit?
nee  ja
Zonee, hoeveel tijd wordt de veiligheidsconsulent toegekend om zijn taken te
vervullen?
 zoveel als redelijkerwijs nodig
 80% van een VTE
 andere: (aanvullen)
Zonee, zal dit periodiek geëvalueerd en herzien worden?
nee  ja
Zoja, hoe periodiek?
 triennaal
 biennaal
 jaarlijks

@TommyVandepitte 8
 semestrieel
 op kwartaalbasis
 maandelijks
Zoja, door wie?
 de gemeenteraad
 het college van burgemeester en schepenen
 de gemeentesecretaris
 de hiërarchisch overste van de veiligheidsconsulent
Wat is de plaats van de veiligheidsconsulent in het organogram van de gemeente (art. 70
Gemeentedecreet)?
 extern
 lid van het managementteam (art. 96 GD)
 rechtstreeks in staf bij de gemeentesecretaris
 hoofd van de dienst procesverbetering
 medewerker van de dienst procesverbetering
 hoofd van de dienst projectbeheer
 medewerker van de dienst projectbeheer
 hoofd van de dienst organisatie
 medewerker van de dienst organisatie
 hoofd van de juridische dienst
 medewerker van de juridische dienst
Wat zijn de taken van de veiligheidsconsulent?
 de taken die hem worden toegewezen in de wet: adviseren (incl. plannen), stimuleren,
controleren, documenteren (incl. rapporteren)
 bijkomend de volgende taken: xxx (bijv. bijhouden van de verschillende versies van
beleidsteksten die gerelateerd zijn aan informatiebeveiliging, gelijke taken voor het ruimere
toepassingsgebied)
Wat zijn de machten van de veiligheidsconsulent?
 de taken die hem worden toegewezen in de wet
 bijkomend de volgende machten: xxx (bijv. rechtstreekse toegang tot de burgemeester,
geven van instructies aan medewerkers in zoverre ze verband houden met de

informatieveiligheid, coördinatie van de communicatie bij incidenten gerelateerd aan
informatiebeveiliging)
Wat is de relatie van de veiligheidsconsulent ten aanzien van de gemeentesecretaris in diens
controlefunctie (art. 87 en 99-101 GD)?
@TommyVandepitte 9
 hiërarchisch ondergeschikt
 functioneel ondergeschikt (N.B. “dagelijks bestuur” zoals in KSZ-KB en VTC-besluit?)
 (afspraken over) verplichte wederzijdse rapportering
 (afspraken over) verplichte eenzijdige rapportering van de rapporten van de
veiligheidsconsulent aan de gemeentesecretaris in diens controlefunctie
 (afspraken over) verplichte eenzijdige rapportering van de rapporten van de
gemeentesecretaris in diens controlefunctie aan de veiligheidsconsulent in de mate dat ze
betrekking hebben op de opdracht van de veiligheidsconsulent
Wordt de veiligheidsconsulent ingeschakeld ter ondersteuning van de voorzitter van de
gemeenteraad om te beslissen of iets de persoonlijke levenssfeer raakt (art. 28 GD)?
 nee  ja
Wordt de veiligheidsconsulent ingeschakeld ter ondersteuning van de voorzitter van de
gemeenteraad om te beslissen over openbaarheid van bestuur ?
Wat is de relatie met van de veiligheidsconsulent(en) van andere gemeentestructuren :
OCMW, politie, etc.?
 de veiligheidsconsulent is veiligheidsconsulent van al deze gemeentestructuren
 de veiligheidsconsulent is tegelijk ook veiligheidsconsulent van volgende
gemeentestructuren: (aanvullen)
 de veiligheidsconsulent van de gemeente onderhoud actief een werkrelatie (o.a. door
uitwisseling van goede praktijken en ervaring) met de veiligheidsconsulent(en) van de
volgende gemeentestructuren: (aanvullen)
 de veiligheidsconsulent van de gemeente onderhoud geen werkrelatie met de
veiligheidsconsulent(en) van deze gemeentestructuren.
ONDERSTEUNING VEILIGHEIDSCONSULENT
Juridisch advies
Kan de veiligheidsconsulent een beroep doen op de afdeling juridisch advies?
Zoja, waarvoor ?
 opvolging en aanlevering van nieuwigheden en wijzigingen m.b.t. wetgeving
gerelateerd aan privacy en informatiebeveiliging

 algemene juridische adviezen m.b.t. privacy en informatiebeveiliging
 ad hoc juridische adviezen m.b.t. privacy en informatiebeveiliging
 juridisch nakijken van de adviezen van de veiligheidsconsulent
@TommyVandepitte 10
 input voor de opmaak van privacy impact assessments
 het verzekeren dat in overheidsopdrachten, waar nodig, bepalingen zijn
opgenomen m.b.t. veilige gegevensverwerking s.l.
 het melden aan de veiligheidsconsulent van overheidsopdrachten waarin
desgevallend bepalingen zouden moeten worden opgenomen m.b.t. veilige
gegevensverwerking s.l. en de daarbijhorend vraag om advies van de
veiligheidsconsulent
 het verzekeren dat in overeenkomsten van de gemeente, waar nodig, bepalingen
zijn opgenomen m.b.t. veilige gegevensverwerking s.l.
 het melden aan de veiligheidsconsulent van overeenkomsten waarin
desgevallend bepalingen zouden moeten worden opgenomen m.b.t. veilige
gegevensverwerking s.l. en de daarbijhorend vraag om advies van de
N.B. De betrokkenen moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.
Technisch advies
Kan de veiligheidsconsulent een beroep doen op de afdeling IT?
Zoja, waarvoor ?
 informatie over de technische werking en beveiliging van IT-systemen
Projectwerking
Kan de veiligheidsconsulent een beroep doen op de afdeling projecten?
Zoja, waarvoor ?
 het melden van projecten waar gegevensverwerking aan te pas komt
 het opmaken van een privacy impact assessment op basis van een sjabloon
aangeleverd door de veiligheidsconsulent
Interne controle

Kan de veiligheidsconsulent een beroep doen op de afdeling interne controle?
@TommyVandepitte 11
Zoja, waarvoor ?
 het meenemen van het aspect privacy en informatiebeveiliging bij checks op
zoek naar mogelijke verbeteringen in de organisatie
 het uitvoeren van checks op zoek naar mogelijke verbeteringen op het gebied
van privacy en informatiebeveiliging in de organisatie
WERKGROEP INFORMATIEBEVEILIGING
Kan de veiligheidsconsulent beschikken over een werkgroep informatiebeveiliging?
Wie mag zetelen in de werkgroep informatiebeveiliging?
 hoofd van de afdeling facilitair of de persoon die hij daartoe aanwijst
 hoofd van de afdeling IT of de persoon die hij daartoe aanwijst
 hoofd van de afdeling archief of de persoon die hij daartoe aanwijst
 hoofd van de afdeling preventie of de persoon die hij daartoe aanwijst
 hoofd van de afdeling projecten of de persoon die hij daartoe aanwijst
 hoofd van de afdeling juridisch advies of de persoon die hij daartoe aanwijst
 wie ad hoc daartoe wordt opgeroepen door de veiligheidsconsulent
Hoe periodiek komt de werkgroep informatiebeveiliging samen?
 jaarlijks
 semestrieel
 maandelijks
 zo vaak als nodig, te bepalen door de veiligheidsconsulent
N.B. De leden van de werkgroep moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.
MEDEWERKERS
Ondersteunt de gemeente een individuele verantwoordelijkheid van alle medewerkers van
de gemeente op het gebied van informatiebeveiliging?

@TommyVandepitte 12
Zoja, wordt dit verder verbijzonderd?
 in een algemene gedragslijn die voor alle medewerkers geldt
 in de functie-omschrijvingen via een algemene bewoording
 in de functie-omschrijvingen via een bijzondere bewoording per functie
Zijn er onder de medewerkers – buiten de veiligheidsconsulent en eventuele adjuncten -
personen met bijzondere verantwoordelijkheden met betrekking tot informatiebeveiliging?
Zoja, welke?
 aangeduide vlaggendragers informatiebeveiliging per dienst
 vrijwillige ambassadeurs van informatiebeveiliging
 projectbeheerders informatiebeveiliging
 procesverbeteraars informatiebeveiliging
INTERNE DATABASE-EIGENAARS
Ondersteunt de gemeente een gedecentraliseerde verantwoordelijkheid voor de verwerking
van persoonsgegevens van een specifiek data set?
N.B. Een data set is een set van (persoons)gegevens over een bepaalde categorie van data subjecten
die worden verwerkt door een specifiek doel. Dezelfde gegevens die voor een ander doel worden
verwerkt worden in principe als een andere data set beschouwd.
Welke verantwoordelijkheden wordt opgelegd aan de Interne Database-Eigenaars?
 in kaart brengen van het directe en afgeleide gebruik van de data set
 het onder controle houden van het directe en afgeleide gebruik van de data set
door het maken van schriftelijke afspraken met de secundaire gebruikers
 het bewaken van het principe dat secundaire gebruikers de data set altijd bij de
oorspronkelijke data set moeten aansluiten (eerder dan voort te bouwen op afgeleide
informatie)
 het beoordelen of toegangsrechten al dan niet mogen worden toegekend aan
een aanvrager
 het periodiek – desgevallend in tweede lijn (na de algemene procedure van
toegangsrechten) - evalueren van de toegangsrechten tot de data set en beëindigen
van die rechten die niet langer nodig zijn
 het spontaan melden van het ontstaan en het einde van de data set en het
bijhorend interne database-eigenaarschap aan de veiligheidsconsulent

 het op eerste verzoek overmaken van de lijst van (categorieën van)
toegangsgerechtigden aan de veiligheidsconsulent of anderen die gerechtigd zijn op
die informatie
@TommyVandepitte 13
Wie duidt de Interne Database-Eigenaars aan?
 de feitelijke toestand (zie “residuair”)
 het hoofd van de dienst waar de data set wordt binnengehaald of ontwikkeld
Indien formeel geen Interne Database-Eigenaar is aangeduid, wie is dan de residuaire
Interne DataBase-Eigenaar?
 het hoofd van de dienst (met als laagste in aanmerking komend niveau de
teamcoach) waar de data set wordt binnengehaald of ontwikkeld
 het hoofd van de dienst (met als laagste in aanmerking komend niveau de
directeur) waar de data set wordt binnengehaald of ontwikkeld
KLANKBORD INFORMATIEBEVEILIGING
Kan de veiligheidsconsulent beschikken over een klankbord informatiebeveiliging?
N.B. Het klankbord verschilt van de werkgroep op het niveau dat het klankgroep de zogenaamde
“business” omvat, daar waar de werkgroep eerder gericht is naar personen die met een bepaalde
kennis of kunde bijdragen aan of ondersteuning bieden van de kennis of kunde van de
veiligheidsconsulent.
Wie mag zetelen in het klankbord informatiebeveiliging?
 alle Interne Database-Eigenaren
 een vertegenwoordiging van de Interne Database-Eigenaren
Hoe periodiek komt de werkgroep informatiebeveiliging samen?
 jaarlijks
 semestrieel

@TommyVandepitte 14
 maandelijks
 zo vaak als nodig, te bepalen door de veiligheidsconsulent
N.B. De leden van het klankbord moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.
GEMEENTESECRETARIS
Wat is de rol van de gemeentesecretaris op het gebied van informatiebeveiliging?
 een passieve rol als ontvanger van rapporten
 een actieve rol als ondersteuner van de veiligheidsconsulent
 een actieve rol als ambassadeur van informatiebeveiliging
MANAGEMENT TEAM
Wat is de rol van het management team op het gebied van informatiebeveiliging?
Wordt er binnen het management team een sponsor aangeduid tot wie de
veiligheidsconsulent en medewerkers zich kunnen richten voor management-ondersteuning
m.b.t. informatiebeveiliging?
Zoja, wie?
 de directeur onder wiens verantwoordelijkheid IT ressorteert
 de directeur onder wiens verantwoordelijkheid personeel ressorteert
Zoja, wordt de rol van sponsor nader uitgewerkt in een document?
 nee
 ja, het veiligheidsbeleid
 ja, een specifiek document
ONDERTEKENAARS VAN OVEREENKOMSTEN

Wordt aan ondertekenaars van overeenkomsten voor de gemeente een verantwoordelijkheid
opgelegd om na te gaan of in overeenkomsten waarbij gegevensverwerking aan de orde is
de nodige clausules zijn opgenomen?
@TommyVandepitte 15
 nee
 ja
BURGEMEESTER EN SCHEPENEN
Wat is de rol van het college van burgemeester en schepenen op het gebied van
informatiebeveiliging?
Wordt er binnen het college van burgemeester en schepenen een sponsor aangeduid tot wie
de veiligheidsconsulent en medewerkers zich kunnen richten voor beleidsondersteuning
m.b.t. informatiebeveiliging?
Zoja, wie?
 de burgemeester
 de schepen onder wiens verantwoordelijkheid IT ressorteert
 de schepen onder wiens verantwoordelijkheid personeel ressorteert
Zoja, wordt de rol van sponsor nader uitgewerkt in een document?
 nee
 ja, het veiligheidsbeleid
 ja, een specifiek document
GEMEENTERAAD
Wat en wanneer wordt aan de gemeenteraad voorgelegd in verband met informatie-beveiliging?
 elk jaar in de maand x / eerste of laatste (voorziene) vergadering van de gemeenteraad
wordt het rapport van de veiligheidsconsulent aan de gemeenteraad voorgelegd
 (het budget voor) informatiebeveiliging wordt opgenomen in het meerjarenplan (146 GD)
eventueel delen in het plan met verwijzing ernaar; budget (151 GD), vooral exploitatie- (BAU)
en investeringsbudget
 dringende investeringen in verband met informatiebeveiliging (art. 157 en 162 GD) bijv.
na een gedetecteerde aanval en/of bijhorend forensisch onderzoek

@TommyVandepitte 16
SPECIFIEKE UITWERKING
BESTAANDE FEITELIJKE SITUATIE
Waar wordt een overzicht van de bestaande feitelijke situatie met betrekking tot
informatiebeveiliging bijgehouden?
 centraal in een gegevensverwerkingsregister
 decentraal in verschillende gegevensverwerkingsregisters die centraal gekend en
onmiddellijk opvraagbaar zijn, nl.
 op het niveau van de dienst
 op het niveau van het department
 volgende registers: (aanvullen) (bijv. HR, facilitair, ICT, burgerzaken,
aankoopdienst, …)
Door wie wordt centraal een overzicht van de bestaande feitelijke situatie met betrekking tot
 de veiligheidscoördinator
 de adjunct-veiligheidscoördinator specifiek met die taak belast
 de diensten van de gemeentesecretaris
Door wie wordt decentraal een overzicht van de bestaande feitelijke situatie met betrekking
tot informatiebeveiliging bijgehouden?
 niet van toepassing
 het hoofd van de eenheid op welk niveau de decentrale register worden
bijgehouden
 specifiek aangeduide personen binnen de eenheid op welk niveau de decentrale
register worden bijgehouden
Hoe wordt een overzicht van de bestaande feitelijke situatie met betrekking tot
informatiebeveiliging actueel gehouden?
 projectbeheerders dienen nieuwe gegevensverwerkingen te melden
 gegevensverwerkingen zijn toegewezen aan “eigenaars” die hun
gegevensverwerking moeten melden en die melding actueel moeten houden
 toegangsbeheer vereist verbinding met een (centrale) personendatabase

 periodiek wordt de gekende informatie getoetst bij de hoofden van de diensten
en/of departmenten
@TommyVandepitte 17
BELEIDSDOCUMENTEN
Vindplaats
Waar wordt een overzicht van de beleidsdocumenten met betrekking tot informatiebeveiliging
bijgehouden?
 centraal in een register
 decentraal in verschillende registers die centraal gekend en onmiddellijk opvraagbaar
zijn, nl.
 op het niveau van de dienst
 op het niveau van het department
 volgende registers: (aanvullen) (bijv. HR, facilitair, ICT, burgerzaken,
aankoopdienst, …)
Door wie wordt centraal een overzicht van de bestaande beleidsdocumenten met betrekking
tot informatiebeveiliging bijgehouden?
 de veiligheidscoördinator
 de adjunct-veiligheidscoördinator specifiek met die taak belast
 de diensten van de gemeentesecretaris
 de personeelsdienst
 de dienst organisatie
Door wie wordt decentraal een overzicht van de bestaande beleidsdocumenten met
betrekking tot informatiebeveiliging bijgehouden?
 niet van toepassing
 het hoofd van de eenheid op welk niveau de decentrale register worden
bijgehouden
 specifiek aangeduide personen binnen de eenheid op welk niveau de decentrale
register worden bijgehouden
Hoe wordt een overzicht van de bestaande beleidsdocumenten met betrekking tot
informatiebeveiliging actueel gehouden?
 beleidsdocumenten worden enkel beslist door het college van burgemeesters en
schepenen

 beleidsdocumenten moeten altijd kenbaar worden gemaakt aan de
gemeentesecretaris voor ze effect kunnen hebben
 beleidsdocumenten die (deels) betrekking hebben op informatiebeveiliging
moeten altijd voor advies worden voorgelegd aan de veiligheidsconsulent alvorens ze
beslist kunnen worden
 beleidsdocumenten die (deels) betrekking hebben op informatiebeveiliging
moeten na te zijn beslist, altijd in hun besliste versie worden overgemaakt aan de
@TommyVandepitte 18
Versiebeheer
Op welke manier wordt aan versiebeheer gedaan van de beleidsdocumenten met betrekking
tot informatiebeveiliging?
 de verantwoordelijke voor de bewaring van de beleidsdocumenten, bewaart
eveneens de eerdere versies
 eerdere versies van beleidsdocumenten worden bewaard in het archief van de
gemeente
Voor welke periode worden versies van beleidsdocumenten met betrekking tot
 vijf jaar na de eerste januari van het jaar volgend op het ogenblik dat het
document geen uitwerking meer had
 zeven jaar na de eerste januari van het jaar volgend op het ogenblik dat het
document geen uitwerking meer had
 minstens tien jaar na de eerste januari van het jaar volgend op het ogenblik dat
het document geen uitwerking meer had
Communicatie naar medewerkers
Op welke manier worden van toepassing zijnde beleidsdocumenten met betrekking tot
informatiebeveiliging op permanente wijze gecommuniceerd aan medewerkers?
 via het intranet van de gemeente, zonder dat deze document specifiek
gebundeld zijn onder het criterium informatiebeveiliging
 via een specifiek daartoe opgezet onderdeel van het intranet van de gemeente
 via het handboek voor de medewerkers dat elke medewerker voor en bij
aanwerving ontvangt evenals bij elke wijziging
PLANNING
Werven
Wordt de planning van de uitvoering van het veiligheidsbeleid aangepakt in werven?

@TommyVandepitte 19
Zonee, hoe wordt de planning wel aangepakt?
 aan de hand van het veiligheidsplan waar per actie een timing op wordt geplakt
 aan de hand van het veiligheidsplan waar per actie een timing op wordt geplakt
in de jaarplanning
 aan de hand van het veiligheidsplan waar het dagelijks bestuur van de
organisatie zelf de prioriteit kan bepalen
 aan de hand van het veiligheidsplan waar de veiligheidsconsulent zelf de
prioriteit kan bepalen
 andere: aanvullen
Zoja, welke werven worden aangeduid met welke prioriteit?
Algemene werven J/N Prio
Beleidsteksten
Datagerelateerde werven J/N Prio
Data van burgers
Data van medewerkers
Data van gemeenteraadsleden
Data van het publiek (bijv. camera’s)
Werven van bijzonder gereglementeerde gegevens J/N Prio
Verwerkingen waarin een link wordt gelegd naar het rijksregister
Verwerkingen waarin een link wordt gelegd naar de kruispuntbank
sociale zekerheid
Verwerkingen waarin het rijksregisternummer voorkomt
Verwerkingen waarin strafrechtelijke (persoons)gegevens
voorkomen
Verwerkingen waarin gerechtelijke (persoons)gegevens
voorkomen
Verwerkingen waarin medische (persoons)gegevens voorkomen
Verwerkingen waarin gegevens voorkomen op basis waarvan zou
kunnen worden gediscrimineerd
Verwerkingen m.b.t. direct marketing
Verwerkingen van telefooncommunicatie
Verwerkingen m.b.t. reclame per telefoon
Verwerkingen van briefwisseling
Verwerkingen van elektronische communicatie
Verwerkingen m.b.t. reclame per elektronische post
Verwerkingen van camerabeelden
Verwerkingen van afbeeldingen van personen (incl. foto’s)
Verwerkingen waarbij de eID van de burger wordt gebruikt
Verwerkingen waarbij de eID van de medewerker wordt gebruikt
Werven i.v.m. samenwerking J/N Prio
Verwerkingen die zijn uitbesteed naar derden (C2P)
Verwerkingen die gebeuren in samenwerking met het OCMW
(C2C)
Verwerkingen die gebeuren in samenwerking met andere
gemeenten (C2C)
Verwerkingen die gebeuren in samenwerking met (andere)

derden (C2C)
Werven gebaseerd op locatie J/N Prio
Verwerkingen waarbij (persoons)gegevens België verlaten
Verwerkingen waarbij (persoons)gegevens de EU verlaten
Werven gerelateerd aan departementen J/N Prio
(aanvullen departement)
Andere werven J/N Prio
(aanvullen)
@TommyVandepitte 20
Opvolging
Op welke manier wordt de vooruitgang van de implementatie (desgevallend de werven)
opgevolgd?
 voorwaarts kijkende key risk indicators
 verslagen van incidenten (eventueel volgens een vooraf vastgesteld sjabloon)
 checks door de diensthoofden
 checks door de vlaggendragers in de diensten
 checks door de (adjunct-)veiligheidsconsulent
 checks door de dienst interne controle, waarvan de veiligheidsconsulent wordt
geïnformeerd
 en die samen met de veiligheidsconsulent zijn opgezet (bijv. door
vragenlijsten, sjablonen, …)
 externe audits, waarvan de veiligheidsconsulent wordt geïnformeerd
 en die in voorafgaand overleg met de veiligheidsconsulent zijn opgezet
 de verplichte (driejaarlijkse) externe audit
 andere: aanvullen
Met welke periodiciteit wordt de vooruitgang opgevolgd?
 continu
 wekelijks
 maandelijks
 tweemaandelijks
 semestrieel

@TommyVandepitte 21
PROJECTEN
Wordt informatiebeveilging in projecten betrokken?
N.B. Dit heeft als voordeel dat – als het correct gebeurt – dat het risico (als er al een is)
vroeg gekend is zodat aan degelijk risicobeheer kan worden gedaan, en de
implementatiekost van maatregelen om “privacy by design” te werken zo laag mogelijk wordt
gehouden.
 ja  nee
Via wie wordt informatiebeveilging formeel in projecten betrokken?
 de projectleider
 de veiligheidsconsulent
 de adjunct-veiligheidsconsulent aangesteld voor de afdeling waar het project
wordt uitgewerkt
 de adjunct-veiligheidsconsulent die ad hoc voor het project wordt aangesteld
door de veiligheidsconsulent
 het hoofd van de afdeling waar het project wordt uitgewerkt
Hoe wordt informatiebeveilging formeel in projecten betrokken?
 de projectleider kan – naar eigen oordeel - informeel advies vragen aan de
veiligheidsconsulent of diens aangeduide adjunct(en) en het resultaat van die
adviezen vermelden in zijn projectverslagen
 de projectleider moet de veiligheidsconsulent of dienst aangeduide adjunct(en)
schriftelijk informeren (bij het begin) van het project en samen met de hem (hen)
bepalen hoe zijn (hun) tussenkomst gedurende het project georganiseerd zal worden
 de projectleider moet schriftelijk informeel advies vragen aan de
veiligheidsconsulent of diens aangeduide adjunct(en) en het resultaat van die
adviezen vermelden in zijn projectverslagen
 de projectleider moet formeel advies vragen aan de veiligheidsconsulent of diens
aangeduide adjunct(en)
 de (risico)beoordeling (“privacy impact assessment”) door de projectleider moet
in het projectcharter worden opgenomen, zodat beslisser(s) er kennis van kunnen
nemen
 de (risico)beoordeling (“privacy impact assessment”) door de (adjunct-
)veiligheidsconsulent moet in het projectcharter worden opgenomen, zodat
beslisser(s) er kennis van kunnen nemen
 een formeel advies van de veiligheidsconsulent moet worden opgemaakt en aan
de beslissingnemer(s) bezorgd

@TommyVandepitte 22
Hoe vaak wordt informatiebeveilging formeel in projecten betrokken?
 een maal
 op specifiek aangeduide ogenblikken
 zoveel als nodig naar het oordeel van de projectleiding
 zoveel als nodig naar het oordeel van de veiligheidsconsulent
 zoveel als nodig naar het oordeel van de beslissingsnemer(s)
Op welk ogenblik wordt informatiebeveilging in projecten betrokken?
 van bij de opstart van het project
 van bij de conceptie van het “probleem” dat door het project moet worden
aangepakt
 vanaf het ogenblik dat door de gebruikers tussen de verschillende opties van de
long list wordt gekozen
 vanaf het ogenblik dat door de technici tussen de verschillende opties van de
long list wordt gekozen
 vanaf het ogenblik dat door technici en gebruikers tussen de verschillende opties
van de short list wordt gekozen
 vanaf het ogenblik dat door de gebruikers en de technici één oplossing is
gekozen
 op het ogenblik dat de beslissing voor één oplossing wordt genomen door de
beslissingnemer(s)
 bij de implementatie van de oplossing waarvoor gekozen is
 bij de evaluatie van de implementatie van de oplossing waarvoor gekozen is

@TommyVandepitte 23
Aanpak
Wat volgt zit op de rand tussen veiligheidsbeleid en de uitvoering daarvan in het
veiligheidsplan. De bedoeling is dus voornamelijk om al na te denken op welke manier het
beleid uitgevoerd zou moeten / kunnen worden.
IMPLEMENTERENDE BELEIDSDOCUMENTEN
VEILIGHEIDSPLAN
Tot op welk niveau van detail gaat het veiligheidsplan m.b.t. de uitvoeringsmaatregelen?
N.B. Meer detail maakt de taken “SMART”-er waardoor het makkelijker is ze te meten en/of
af te ronden.
 het niveau van de minimumnormen voor beveiliging van de CBPL / KSZ / VTC
 het niveau van concrete uitvoeringsmaatregelen zoals omschreven in ISO27002
/ NIST800-53
 een tussenniveau tussen de minimumnormen en concrete
uitvoeringsmaatregelen zoals omschreven in ISO27002 / NIST800-53
Tot op welk niveau van detail gaat het veiligheidsplan m.b.t. de uitvoerder?
 het niveau van de organisatie
 het niveau van het directoraat
 het niveau van de dienst
 het niveau van het team
 het niveau van het individu
Aan de hand van welke algemene criteria bepalen we de prioriteiten van de elementen in het
veiligheidsplan?
N.B. Deze criteria kunnen worden aangevuld of anders worden gerangschikt in concrete
gevallen, maar dit is de algemene beleidsoptie.
Criterium Belang
probabiliteit van een voorval
financiële impact
impact op de continuïteit van de dienst
impact op beschikbaarheid
impact op integriteit
impact op confidentialiteit
impact op respecteren van de doelgebondenheid
andere: aanvullen
Wordt het veiligheidsplan verbijzonderd in jaarplannen?

N.B. Afhankelijk van het detail van het veiligheidsplan kan dit overbodig zijn.
@TommyVandepitte 24
Wordt het veiligheidsplan “rollend” geconcipieerd?
N.B. Onder “rollend” wordt begrepen dat het veiligheidsplan altijd de komende drie jaar
overspant en dus na de afsluiting van een jaar wordt aangevuld met nieuwe acties voor een
volgend derde jaar.
BELEIDSTEKSTEN (“POLICIES”)
Welke beleidsteksten moeten (volgens welke prioriteit) worden uitgewerkt, beslist en
uitgerold?
N.B. Druk prioriteit bij voorkeur uit in termen van weken, maanden en/of jaren of streefdatum
of anders in termen van een hiërarchie.
Beleidstekst Prio
Bijhouden van informatie over de goederen van het OCMW (informatie,
hardware, software, …) (asset management)
Bijhouden van informatie over de uitbestede verwerkingsprocessen
Gedragscode (rond informatiebeveiliging) voor interne medewerkers
Gedragscode / -contract (rond informatiebeveiliging) voor externe
medewerkers
Informatieclassificatie
Incidentenbeheer, incl. communicatie rond incidenten
Continuiteitsbeleid
Openbaarheid van bestuur
Fysieke beveiliging
Softwareontwikkeling
Uitbesteding (algemeen)
Toegangen tot informatie
Paswoorden
Cloud computing door het OCMW of m.b.t. gegevens onder de
verantwoordelijkheid van het OCMW (dropbox, webmail, etc.)
Hardware van het OCMW die ook voor privaat gebruik kan dienen (gsm,
laptop, tablet, etc)
E-mail
Internetgebruik (eventuele blokkering)
Monitoring (CAO 81)
Sociale media
Breng je eigen toestel (BYOD)
Sanctionering van personeel (gradaties) voor overtredingen van de
beleidsteksten, richtlijnen of instructies
Andere: (aanvullen)
PROCEDURES
Welke domeinen worden (in het begin) minstens deels door procedures ondervangen?
 alle domeinen waarvoor nog geen richtlijnen zijn uitgewerkt

@TommyVandepitte 25
In welke processen moet de (adjunct-)veiligheidsconsulent verplicht ingeschakeld worden?
 veiligheidsincident
 antwoorden vragenlijsten aan toezichthouders gerelateerd aan
(persoons)gegevensverwerking (CPBL, KSZ, VTC,…)
 controles en/of audits gerelateerd aan (persoons)gegevensverwerking door de
toezichthouders (CPBL, KSZ, VTC,…)
 vragen van data subjecten waar nog geen gestandardiseerd antwoord voor is
ontwikkeld
 opmaak van ICT beleidsplannen om te overleggen welke plannen/projecten een
nadere studie van de informatiebeveiliging aangewezen is
 opmaak van planning van interne controle om te overleggen in welke mate
controles elementen van informatiebeveiliging (kunnen) bevatten
 projecten die verwerking van persoonsgegevens bevatten
 wijzigingen aan verwerkingen van persoonsgegevens
 uitbesteding van processen van verwerking van persoonsgegevens
RICHTLIJNEN EN INSTRUCTIES
Welke richtlijnen en instructies moeten (volgens welke prioriteit) worden uitgewerkt, beslist
en uitgerold?
N.B. Druk prioriteit bij voorkeur uit in termen van weken, maanden en/of jaren of streefdatum
of anders in termen van een hiërarchie.
Richtlijnen en instructies Prio
Classificeren van informatie in de praktijk
Indeling in zone omwille van fysieke beveiliging
Overheidsopdrachten waarbij verwerking van persoonsgegevens (ook)
wordt uitbesteed
Netwerkbeveiliging
Virusbescherming
Toekenning van toegangsrechten aan nieuwe medewerkers (incl.
badges, sleutels, etc.)
Evaluatie en eventuele wijziging van toegangsrechten bij functiewijziging
van medewerkers
Beëindigig van toegangsrechten bij exit van medewerkers
Gebruik van externe dragers (zoals USB)
Back-up en back-up-testen
Uitdienststelling of vernietiging van hardware waarop (persoons-)
gegevens bewaard werden
Opruiming of vernietiging van papieren dossier waarin (persoons-)
gegevens vervat zijn
Andere: (aanvullen)

@TommyVandepitte 26
CONTINUE VERBETERING
Wordt het veiligheidsplan en de prioriteiten van de acties erin periodiek geëvalueerd en
desgevallen aangepast?
 nee (enkel zoals wettelijk vereist: 3-jaarlijks)  ja, jaarlijks  ja, semestrieel
Wie neemt het initiatief voor de evaluatie van het veiligheidsplan?
 de veiligheidsconsulent
 de werkgroep informatiebeveiliging
 het management team
Wordt aan elk beleidsdocument (al dan niet expliciet) een procedure voorzien om
uitzonderingen aan te pakken ?
N.B. Het is eigen aan beleidsteksten dat ze niet alles (kunnen) omvatten. Dat is zeker zo in
het begin, maar blijft vaak zo o.m. omwille van de wijzigende omgeving. Net zoals een te
grote vrijheid, belemmert een te grote rigiditeit de implementatie (implementeerbaarheid,
aanvaardbaarheid, …). Daarom moeten de uitzonderingen gebalanceerd en weloverwogen
zijn.
Worden de beleidsdocumenten m.u.v. het veiligheidsplan (beleid, richtlijn, instructie,…)
periodiek geëvalueerd en desgevallen aangepast?
 nee  ja, jaarlijks  ja, tweejaarlijks  ja, driejaarlijks
Zoja, door wie (ultiem)?
 gemeentesecretaris
 management team
 college van Burgemeester en Schepenen
 gemeenteraad
Worden de toegangsregelingen (fysiek, digitaal, archief, openbaarheid van bestuur,…)
periodiek geëvalueerd en desgevallend aangepast?
Zoja, door wie (ultiem)?
 directeur verantwoordelijk voor (aanvullen)

@TommyVandepitte 27
 gemeenteraad
Worden de toegekende toegangsrechten (fysiek, digitaal, archief, openbaarheid van
bestuur,…) periodiek geëvalueerd en desgevallend aangepast?
Zoja, door wie (ultiem)? (eventueel samen, in verschillende lijnen en eventueel na
informeel advies van de veiligheidsconsulent voor twijfelgevallen)
 de dienst interne controle
 de interne database-eigenaar voor de database(s) waarvan zij “eigenaar” zijn
 de directeurs verantwoordelijk voor de betrokken personeelsleden
Wordt informatieclassificatie zoals die in de praktijk is omgezet periodiek gecheckt,
geëvalueerd en desgevallend aangepast – los van aanpassingen n.a.v. in- of afvoeren van
verwerkingsprocessen?
 de interne database-eigenaar voor de database(s) waarvan zij “eigenaar” zijn
 de (adjunct-)veiligheidsconsulent
Worden bij de interne database-eigenaars periodiek gecheckt of en hoe ze zich van hun taak
kwijten en wordt daarbij door feedback gestreefd naar een uniforme en betere aanpak?

@TommyVandepitte 28
Wordt het informatieoverzicht periodiek gecheckt en desgevallend aangevuld – los van de
aanpassingen die gebeuren naar aanleiding van implementatie of wijziging van
verwerkingsprocessen?
SAMENWERKING
INTRA-GEMEENTELIJK
OCMW
Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en OCMW?
Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en het
OCMW, zou het dat niet nuttig zijn om een periodiek overleg te hebben?
Omtrent welke domeinen?
 beoordelingsoverleg
 kennisdeling
 veiligheidsbeleid

@TommyVandepitte 29
 veiligheidsplan
 beleidsteksten
 richtlijnen en instructies
 bewustmakingsacties
 checks
AGB’s
Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en het AGB?
Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en het
AGB, zou het dat niet nuttig zijn om een periodiek overleg te hebben?
 kennisdeling
 checks
Andere extern verzelfstandigde agentschappen
Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en (bepaalde) EVA’s?
Zoja, welke?
 (aanvullen)
Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en de
EVA’s, zou het dat niet nuttig zijn om een periodiek overleg te hebben?

@TommyVandepitte 30
 kennisdeling
 checks
INTER-GEMEENTELIJK
Politiezone
Welke accenten worden gelegd inzake informatieveiligheid in de samenwerking binnen de
politiezone?
 geen
 documentatie van de verwerkingen van gerechtelijke gegevens
 documentatie van alle verwerkingen van persoonsgegevens
 documentatie van de verantwoordelijkheden van de controller(s)
 aanstelling van een veiligheidsconsulent
 bewustmaking van wie in aanraking komt met de gegevens van de politiezone
 controles m.b.t. informatiebeveiliging en rapportering van de bevindingen
Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en de politiezone
waartoe hij behoort?
N.B. Aangezien een politiezone gemeenteoverschrijdend is, is dit voor een gemeente niet
evident. Hoewel, als er een grote stad in de politiezone zit, kan het nuttig zijn om hier
“gebruik van te maken”.
politiezone, zou het dat niet nuttig zijn om een periodiek overleg te hebben?
 kennisdeling

@TommyVandepitte 31
 checks
Intercommunales
Welke accenten worden gelegd inzake informatieveiligheid in de samenwerking binnen de
intercommunales?
 geen
 documentatie van alle verwerkingen van persoonsgegevens
 documentatie van de verantwoordelijkheden van de controller(s) en processor(s)
 aanstelling van een veiligheidsconsulent
 bewustmaking van wie in aanraking komt met de gegevens van de intercommunale
 controles m.b.t. informatiebeveiliging en rapportering van de bevindingen
Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en (bepaalde)
intercommunales?
N.B. Aangezien een politiezone gemeenteoverschrijdend is, is dit voor een gemeente niet
evident. Hoewel, als er een grote stad in de politiezone zit, kan het nuttig zijn om hier
“gebruik van te maken”. Als er meerdere grote steden/gemeenten zijn, is het waarschijnlijk
beter een afzonderlijke veiligheidsconsulent te hebben.
Zoja, welke?
 (aanvullen)
intercommunales, zou het dat niet nuttig zijn om een periodiek overleg te hebben?
 kennisdeling

@TommyVandepitte 32
 checks

@TommyVandepitte 33
Bewustmaking
DOELGROEP(EN)
Wordt onderscheid gemaakt in verschillende doelpublieken van bewustmakingsacties?
Zoja, in welke doelgroepen?
 externe medewerkers
 leden van het College van Burgemeesters en Schepenen
 leden van het MAT
 directeurs
 teamcoaches
 vlaggendragers
 leden van de werkgroep
 medewerkers die in aanrakening komen met persoonsgegevens
 medewerkers die in aanrakening komen met bijzondere categorieën van
persoonsgegevens
 medewerkers die in toegang hebben tot het Rijksregister
 medewerkers die in toegang hebben tot de KSZ
INHOUDELIJKE ACCENTEN
Welke accenten worden gelegd bij bewustmakingsacties?
 geen
 wordt per actie bepaald door de (adjunct-)veiligheidsconsulent
 wordt op jaarbasis bepaald door de (adjunct-)veiligheidsconsulent
 wordt per actie bepaald door de werkgroep informatiebeveiliging
 wordt op jaarbasis bepaald door de werkgroep informatiebeveiliging
 wordt per actie bepaald door het Management Team
 wordt op jaarbasis bepaald door door het Management Team
 wordt op jaarbasis bepaald door door het College van Burgemeester en Schepenen
 wordt per actie bepaald door het Management Team
 impact voor het data subject

@TommyVandepitte 34
 impact voor de organisatie
 impact op de continuïteit van de dienst
 impact op beschikbaarheid van de informatie
 impact op confidentialiteit van de informatie
 impact op integriteit van de informatie
 veiligheidsincidenten en near misses
Waarop wordt inhoudelijk gefocust?
 wetgeving
 statistieken
 verhalen
 praktische (gevolgen voor de) werking van de organisatie en de medewerkers
 mogelijke gevolgen (incl. sancties) voor de organisatie
 mogelijke gevolgen (incl. sancties) voor de organisatie
KANALEN
Welke kanalen (in ruime zin) (kunnen) worden aangewend voor permanente
bewustmakingsacties?
 de rechtspositie van de (interne) medewerkers
 de tewerkstellingsovereenkomst van de medewerkers
 de deontologische code van de medewerkers
 het handboek voor de (nieuwe) medewerkers
 de functiebeschrijving van medewerkers
 een kennisbank (incl. FAQ’s) voor de medewerkers (op het intranet)
 een wiki voor de medewerkers (op het intranet)
Welke kanalen (in ruime zin) (kunnen) worden aangewend voor permanente
bewustmakingsacties?
 nieuwsberichten op het intranet
 e-mailberichten aan de medewerkers
 een (periodiek) verplicht te doorlopen “push” e-learningpakket (bijv. video)

 een (periodiek) verplicht te doorlopen interactief e-learningpakket
 een (periodiek) verplicht te doorlopen theoretische test (kennis van de regels)
 een (periodiek) verplicht te doorlopen praktische test (toepassing van de regels)
@TommyVandepitte 35
 het personeelsblad
 een specifieke nieuwsbrief
 posters op de werkplek
 checks die op de werkplek opvallen (bijv. clear desk checks)
 pop-ups bij toegang tot (bepaalde) toepassingen
 stempels op elk bureau om de informatieclassificatie door te voeren (als “gadget”)
 de evaluatie van medewerkers

@TommyVandepitte 36
Financieel
BUDGET
Wordt er een afzonderlijk budget voor informatiebeveiliging geïnstalleerd?
Zonee, op welke manier worden de benodigde middelen voor informatiebeveiliging
verzekerd?
 de (adjunct-)veiligheidsconsulent kan voor specifieke grotere projecten een
budget opnemen in het veiligheidsplan
 de (adjunct-)veiligheidsconsulent kan te allen tijde de nodige middelen vragen
door een vraag voor te leggen aan het Management Team
 tot een bepaald bedrag, namelijk (aanvullen)
 de (adjunct-)veiligheidsconsulent kan te allen tijde de nodige middelen vragen
door een vraag voor te leggen aan het College van Burgemeester en Schepenen
 tot een bepaald bedrag, namelijk (aanvullen)
Zoja, welke elementen vallen expliciet onder het specifieke budget?
 budget voor opleiding van (adjunct-)veiligheidsconsulent
 budget voor het opzetten van bewustmakingsacties
 budget voor het betrekken van intern advies (bijv. de IT dienst, de juridische
dienst, ...)
 budget voor het betrekken van extern advies (bijv. bij een erkende
gespecialiseerde beveiligingsdienst, een extern jurist, …)
 budget voor het betrekken van externe audits en/of externe forensische experts
Zoja, welke elementen vallen expliciet niet onder het specifieke budget?
 budget voor opleiding van (adjunct-)veiligheidsconsulent
 budget voor het opzetten van bewustmakingsacties
 budget voor het betrekken van intern advies (bijv. de IT dienst, de juridische
dienst, ...)
 budget voor het betrekken van extern advies (bijv. bij een erkende
gespecialiseerde beveiligingsdienst, een extern jurist, …)
 budget voor het betrekken van externe audits en/of externe forensische experts
Zoja, wie is de budgethouder voor dit specifieke budget?

@TommyVandepitte 37
 de directeur verantwoordelijk voor interne controle
 de directeur verantwoordelijk voor IT
 de interne (adjunct-)veiligheidsconsulent
RAPPORTERING
Op welke manier wordt over het budget voor informatiebeveiliging gerapporteerd?
 in een excel-bestand dat periodiek wordt overgemaakt
 in een excel-bestand dat in een specifiek afgeschermde map wordt bewaard en
gedeeld met de budgethouder
 via de interne budget-management-applicatie
Hoe frequent wordt over het budget voor informatiebeveiliging gerapporteerd?
 continu
 wekelijks
 maandelijks
 tweemaandelijks
 semestrieel
Aan wie wordt over het budget voor informatiebeveiliging gerapporteerd?
 het College van Burgemeester en Schepenen

@TommyVandepitte 38
Transparantie
INTERN
RAPPORTERING
Jaarverslag
Op welke manier wordt de minimum-inhoud van het jaarverslag ingevuld?
1. een algemeen overzicht van de veiligheidstoestand, de ontwikkeling in het
afgelopen jaar en de nog te realiseren doelstellingen
 het algemeen overzicht van de veiligheidstoestand is beperkt tot een korte
algemeen beschrijving (max. 1 pagina)
 een grafische voorstelling van de belangrijkste risico’s in een risico-matrix
 een statistische voorstelling van de vooruitgang in het veiligheidsplan (open,
gepland, bezig, afgewerkt)
 de top drie risico’s
 het risico-register in extenso, desgevallend aangepast aan gewijzigde toestand
 de huidige status zonder toelichting van de elementen van het veiligheidsplan en
de eventueel ad hoc toegevoegde elementen
 de huidige status met toelichting van de elementen van het veiligheidsplan en de
eventueel ad hoc toegevoegde elementen
2. een samenvatting van de schriftelijke adviezen die aan de verantwoordelijke voor het
dagelijks bestuur werden bezorgd en het gevolg dat eraan werd gegeven
 een lijst of tabel met betekenisvolle titels van de adviezen
 een samenvatting van 5 lijnen per adviezen
 per advies: datum
 per advies: door beslisser gevolgd, gedeeltelijk gevolgd, niet gevolgd of (nog)
niet gekend
 per advies: bij implementatie gevolgd, gedeeltelijk gevolgd, niet gevolgd of (nog)
niet gekend
 een samenvatting van aspecten van het advies die niet gevolgd zijn
3. een overzicht van de werkzaamheden, verricht door de veiligheidsconsulent
 samenkomsten met de (adjunct-)veiligheidsconsulenten
 opgemaakte privacy impact assessments
 contacten met de toezichthouders (CBPL, KSZ, VTC,…)
4. een overzicht van de resultaten van de controles, uitgevoerd door de
veiligheidsconsulent, met weergave van alle vastgestelde voorvallen die de

informatieveiligheid van de instantie of de entiteit in kwestie in het gedrang hadden
kunnen brengen
 formele controles die volgens een auditmethodologie werden uitgevoerd
 controles waarvan een schriftelijk rapport is opgemaakt
 vaststellingen die een impact kunnen hebben op de informatiebeveiliging, als ze
gesignaleerd zijn aan de directeur die verantwoordelijk is voor het eventueel
verhelpen van de situatie
 vaststellingen die een impact kunnen hebben op de informatiebeveiliging, ook
als ze niet gesignaleerd zijn aan de directeur die verantwoordelijk is voor het
eventueel verhelpen van de situatie
 veiligheidsincidenten
 per controle of vaststelling: de aard
 per controle of vaststelling: een (eind)datum of periode
 per controle of vaststelling: de scope (toepassingsgebied)
 per controle of vaststelling: de bevindingen
 per controle of vaststelling: of er regularisatiemaatregelen worden genomen en
welke
@TommyVandepitte 39
5. een overzicht van de gevoerde campagnes ter bevordering van de veiligheid
 alle gevoerde bewustmakingscampagnes die zelfs maar gedeeltelijk
informatiebeveiliging aanraken
 gevoerde bewustmakingscampagnes die exclusief gewijd waren aan
informatiebeveiliging
 alle geplande bewustmakingscampagnes die zelfs maar gedeeltelijk
informatiebeveiliging aanraken
 geplande bewustmakingscampagnes die exclusief gewijd zouden zijn aan
 per bewustmakingsactie: een beschrijving
 per bewustmakingsactie: het accent dat werd gelegd, als er een was
 per bewustmakingsactie: de doelgroep
 per bewustmakingsactie: het gebruikte kanaal
6. een overzicht van alle gevolgde opleidingen en van de geplande opleidingen
 alle gevolgde opleidingen
 gevolgde opleidingen waarvoor betaald diende te worden
 gevolgde opleidingen waarvoor een test werd afgelegd
 gevolgde opleidingen waarvoor aanwezigheidsattest werd verstrekt
 alle geplande opleidingen
 geplande opleidingen waarvoor betaald dient te worden
 geplande opleidingen waarvoor een test zal dienen te worden afgelegd
 geplande opleidingen waarvoor aanwezigheidsattest zal worden verstrekt
 per opleiding: opleidingverstrekker
 per opleiding: titel van de opleiding
 per opleiding: samenvatting van de inhoud van de opleiding

@TommyVandepitte 40
Welke elementen buiten de minimum-inhoud van het jaarverslag worden in het jaarverslag
opgenomen?
 geen
 overzicht van de schriftelijke adviezen aan anderen dan het dagelijks bestuur
 overzicht van de belangrijkste niet-schriftelijke adviezen
 overzicht van de controles die niet zijn uitgevoerd door de veiligheidsconsulent
(bijv. externe audits, checks door interne controle,…), maar wel relevant zijn voor
Op welke periode slaat het jaarverslag?
 het kalenderjaar, waarbij het eerste jaar op een ruimere periode kan slaan dan
een jaar
 de periode van een jaar die loopt vanaf
 de beslissing van de aanstelling van de veiligheidsconsulent
 de beslissing van goedkeuring van het veiligheidsbeleid
 de beslissing van goedkeuring van het veiligheidsplan
 volgende datum: (aanvullen)
Door wie wordt formeel akte genomen van het jaarverslag?
 de gemeenteraad
Door wie wordt het jaarverslag voorgelegd voor het wordt voorgelegd aan het orgaan dat er
formeel akte van neemt?
Verdergaand
Wordt er verdergaande rapportering opgezet bovenop het jaarverslag?
Zoja, op welke manier?

@TommyVandepitte 41
 kwartaalrapportering aan gemeentesecretaris
 kwartaalrapportering aan management team
CONTROLE DOOR DE GEMEENTERAAD
Welke controle wordt uitgevoerd op het veiligheidsbeleid en zijn implementatie door de
gemeenteraad?
 vraagrecht van de gemeenteraadleden (40 5° GD), onder volgende voorwaarden
(aanvullen)
 inzagerecht (30 en 40 4° GD), onder volgende voorwaarden (aanvullen)
 rapportering naar een commissie binnen de gemeenteraad (39 en 40 6° GD),
namelijk (aanvullen)
CONTROLE DOOR VLAANDEREN
Op welke manier wordt het informatiebeveiligingsbeleid ingepast in de passieve
transparantie t.a.v. de toezichthoudende overheid (art. 250 en 254 GD)?
 hierover wordt een bijzonder reglement opgemaakt in samenwerking met de
 vragen worden niet voorgelegd voor advies door de veiligheidsconsulent
 vragen worden voorgelegd voor advies door de veiligheidsconsulent
Op welke manier wordt het informatiebeveiligingsbeleid ingepast in de actieve transparantie
t.a.v. de toezichthoudende overheid (art. 252-253 GD)?
 wat de gemeente zou doorsturen, wordt voorgelegd voor advies door de
veiligheidsconsulent, tenzij een bijzonder reglement daarvan afwijkt
 wat de gemeente zou doorsturen, wordt niet voorgelegd voor advies door de
DATA SUBJECTEN
Op welke manier zal de stad actief transparant zijn ten aanzien van de data subjecten?
 bij elke gegevensverzameling bij het data subject wordt een bijzondere
privacyverklaring opgenomen die de minimale wettelijke informatie verstrekt

 bij elke gegevensverzameling bij het data subject wordt een bijzondere
privacyverklaring opgenomen buiten specifieke informatie wordt verwezen naar een
algemene privacyverklaring
 bij elke gegevensverzameling buiten het data subject om wordt deze ingelicht
per brief indien de gegevensbron niet voldeed aan de informatieverstrekking aan het
data subject
 er wordt een algemene privacyverklaring opgemaakt (per groep van data
subjecten) waarnaar kan worden verwezen en waarin een overzicht van de
gegevensverwerkingen voor dat data subject is opgenomen
@TommyVandepitte 42
Op welke manier zal de stad passief transparant zijn ten aanzien van de data subjecten?
 al dergelijke vragen van data subjecten worden voorgelegd aan de (adjunct-)
 al dergelijke vragen van data subjecten worden voorgelegd aan de juridische
dienst

@TommyVandepitte 43

Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Recommended

Recommended

More Related Content

Similar to Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Similar to Veiligheidsbeleid Steden en Gemeenten - vragenlijst (20)

More from Tommy Vandepitte

More from Tommy Vandepitte (20)

Veiligheidsbeleid Steden en Gemeenten - vragenlijst