BESLUIT:
Met éénparigheid van stemmen.
Enig artikel. - De notulen van de openbare vergadering van de raad voor maatschappelijk welzijn van 28 november 2019 worden goedgekeurd.
BESLUIT:
Met éénparigheid van stemmen.
Enig artikel. - Het zittingsverslag van de vergadering van de raad voor maatschappelijk welzijn van 28 november 2019 wordt goedgekeurd.
BESLUIT:
Artikel 1. - De raad voor maatschappelijk welzijn neemt kennis van het schrijven van 5 november 2019 van de gouverneur van de provincie Vlaams-Brabant inzake de goedkeuring van de jaarrekening over het financiële boekjaar 2018.
Artikel 2. - De financieel directeur, de heer Joos Van Droogenbroeck, wordt van dit besluit in kennis gesteld.
BESLUIT:
Met éénparigheid van stemmen.
Artikel 1. - Het deel OCMW van het meerjarenplan 2020-2025 van gemeente en OCMW Roosdaal wordt vastgesteld.
Artikel 2. - Het meerjarenplan maakt integraal deel uit van dit besluit met de volgende resultaten:
Beschikbaar budgettair resultaat | Autofinancieringsmarge | ||
2020 | 1.316.067,19 | 2020 | 115.957,22 |
2021 | 680.843,00 | 2021 | 219.476,75 |
2022 | 222.149,65 | 2022 | 143.022,33 |
2023 | 196.908,68 | 2023 | 202.042,64 |
2024 | 289.720,26 | 2024 | 299.522,63 |
2025 | 270.393,91 | 2025 | 351.102,75 |
Artikel 3. - De lijst van nominatieve toelagen, zoals opgenomen in de bijkomende informatie bij het meerjarenplan, wordt goedgekeurd.
Johan Linthout Jean Timmermans Linda Van Huylenbroeck Wendy Godaert Johan Van Lierde Jan Van Den Bosch An Van den Spiegel Rudy Bracquez Eline De Vos Koenraad Muyldermans Annick Borloo Emma Van der Maelen Marc Devits Kristof Cooreman Dirk Evenepoel Christiane Bert Wim Goossens Linda Van den Eede Tom De Koster Herman Claeys Emmanuel de Béthune Johan Linthout Jean Timmermans Linda Van Huylenbroeck Wendy Godaert Johan Van Lierde Jan Van Den Bosch An Van den Spiegel Rudy Bracquez Eline De Vos Koenraad Muyldermans Annick Borloo Marc Devits Kristof Cooreman Dirk Evenepoel Christiane Bert Wim Goossens Linda Van den Eede Tom De Koster Herman Claeys Emmanuel de Béthune Herman Claeys Wendy Godaert An Van den Spiegel Emmanuel de Béthune Linda Van Huylenbroeck Christiane Bert Wim Goossens Jan Van Den Bosch Linda Van den Eede Tom De Koster Johan Linthout Kristof Cooreman Annick Borloo Rudy Bracquez Koenraad Muyldermans Jean Timmermans Johan Van Lierde Dirk Evenepoel Marc Devits Eline De Vos aantal voorstanders: 17 , aantal onthouders: 2 , aantal tegenstanders: 1 Goedgekeurd
BESLUIT:
17 stemmen ja: Wim Goossens (CD&V), Johan Van Lierde (CD&V), Herman Claeys (CD&V), Emmanuel de Béthune (CD&V), An Van den Spiegel (CD&V), Rudy Bracquez (CD&V), Linda Van den Eede (N-VA), Johan Linthout (CD&V), Kristof Cooreman (N-VA), Linda Van Huylenbroeck (N-VA), Koenraad Muyldermans (CD&V), Wendy Godaert (N-VA), Christiane Bert (CD&V), Annick Borloo (N-VA), Tom De Koster (CD&V), Jean Timmermans (N-VA) en Jan Van Den Bosch (CD&V).
1 stem tegen: Dirk Evenepoel (Roosdaal-Anders).
2 onthoudingen: Marc Devits (Groen) en Eline De Vos (Groen).
Enig artikel - Het onderhands verkoopcontract, waarvan afschrift in bijlage, met de firma Condius nv, Stadenstraat 60 te 8610 Zarren, wordt uiterlijk verlengd tot 31 december 2020.
BESLUIT:
Met éénparigheid van stemmen.
Enig artikel. - De raad voor maatschappelijk welzijn hecht haar goedkeuring aan het informatieveiligheidsbeleid voor het OCMW Roosdaal, als volgt:
1. Algemeen
1.1 Het belang van Informatieveiligheid
Informatie is een bedrijfsmiddel dat, zoals andere belangrijke bedrijfsmiddelen, een belangrijke waarde vertegenwoordigt en dus op gepaste wijze beschermd moet worden. Een beleid voor Informatieveiligheid beschermt deze informatie tegen een brede waaier van bedreigingen om de continuïteit van het bestuur te verzekeren, eventuele schade te beperken en maximaal bij te dragen tot resultaten en opportuniteiten.
Informatieveiligheid wordt geschetst als het verzekeren van vertrouwelijkheid, integriteit, beschikbaarheid en auditeerbaarheid met betrekking tot de informatie. Dit geldt voor alle vormen van informatie, zowel in niet-tastbaar (elektronisch) als tastbaar (papier) formaat. Bijkomend zal de informatieveiligheid middelen aanreiken om vervalste informatie te weerleggen en weerlegging van legitieme informatie onmogelijk te maken.
De informatisering van de instellingen van de federale en Vlaamse overheid, alsook de sociale zekerheid en de toenemende samenwerking bieden immers enorme verbeteringen op het vlak van effectiviteit en efficiëntie, maar tegelijkertijd worden er ook nieuwe risico’s gelopen. Het onderhouden en verbeteren van de informatieveiligheid is dus van essentieel belang voor het verzekeren van de naleving van de wet, maar ook voor de continuïteit van de werking van het bestuur en het imago ervan.
Informatieveiligheid moet steunen op een lagenmodel waar verschillende maatregelen complementair zijn. De veiligheid die kan bereikt worden met technische middelen is slechts één van die lagen. Ze moet ondersteund worden door een geschikt beheer en een integer gebruik van alle bedrijfsmiddelen. Cruciaal voor een goede informatiebeveiliging is dus de deelname van alle personeelsleden van het bestuur en de ondersteuning van het dagelijks bestuur. Ook de bijdrage van derden (bv. leveranciers, externe medewerkers, ...) is belangrijk.
1.2 Doelstelling informatieveiligheid bij een bestuur
De informatieveiligheid binnen een bestuur beoogt de instandhouding en de goede werking van de activiteiten ervan, primair gericht op het voorkomen van schade, met het oog op de realisatie van de doelstellingen zoals vooropgesteld in haar missie.
Meer algemeen heeft ze als doelstelling het voorkomen van schade die kan worden toegebracht aan de goede werking van de informatiesystemen van het bestuur enerzijds en aan de persoonlijke levenssfeer van de betrokkenen anderzijds.
Het streefdoel is een gezond evenwicht tussen een aantal preventieve maatregelen om beveiligingsincidenten te voorkomen en correctieve maatregelen om de negatieve gevolgen van incidenten te beperken. In dit beleid worden de basismaatregelen van het bestuur inzake informatieveiligheid beschreven.
1.3 Wettelijke verplichtingen
De wetgeving in verband met informatieveiligheid evolueert regelmatig. Een laatste stand van zaken is steeds te raadplegen op de websites van de Europese, federale en Vlaamse overheden. De normen in verband met informatieveiligheid evolueren steeds mee met de technologische evolutie en de wetgeving.
2.Reikwijdte
Het Informatieveiligheidsbeleid (Information Security Policy) van het bestuur is van toepassing op alle ontwikkelde, operationele en toekomstige informatiesystemen van het bestuur. Het is ook van toepassing op alle personeelsleden en raadsleden van het bestuur. Het is tevens van toepassing op alle externe krachten die tijdelijk of voor onbepaalde duur werkzaam zijn binnen of voor het bestuur. Aanvullende maatregelen kunnen toepasselijk zijn op personeelsleden die op semipermanente (deeltijdse) basis afgevaardigd worden naar andere besturen.
3. Beleidsmaatregelen
3.1Beleid voor informatieveiligheid
DOELSTELLING :
De opmaak en het onderhoud van een documentenpakket (beleid, veiligheidsplan, procedures, etc.), conform aan de vereisten van informatieveiligheid, en de communicatie ervan aan alle betrokken partijen.
De Data Protection Officer (DPO) / functionaris voor gegevensbescherming (FG) maakt een documentenpakket op, op maat van het bestuur, dat bestaat uit een beleid (dit document), een veiligheidsplan, gedragscodes (policies), procedures en andere documenten zoals inventarissen en overzichten. Bij specifieke vragen van het bestuur aangaande een problematiek of een situatie betreffende informatieveiligheid kan de DPO/FG adviezen leveren.
3.2 Organisatie van de informatieveiligheid
DOELSTELLING :
Een correcte organisatie en beheer van de informatieveiligheid binnen het bestuur, conform de desbetreffende wetgeving.
a. Het bestuur doet beroep op de dienst Informatieveiligheid en de Data Protection Officer (DPO) / functionaris voor gegevensbescherming (FG) van de Welzijnskoepel West-Brabant. Deze is middels een raadsbeslissing en kennisgeving aan de toezichthoudende autoriteit aangesteld voor het bestuur.
b. De DPO/FG van Welzijnskoepel West-Brabant zorgt voor de sturing, opstelling en herziening van het beleid, bijstelling van de beleidsmaatregelen, opstelling van het veiligheidsplan, opstelling van de vereiste en benodigde policies en procedures, de vaststelling van verantwoordelijkheden en het toezicht op veranderde wetgeving, bedreigingen en incidenten.
c. De uitvoering van het informatieveiligheidsbeleid moet opgevolgd worden door de informatieveiligheidscel (IVC) geleid door de DPO/FG. De informatieveiligheidscel heeft een adviserende, stimulerende, documenterende en controlerende opdracht binnen het bestuur. Daartoe moet de DPO/FG instaan voor :
• het verstrekken van deskundige adviezen aan de persoon belast met het dagelijks bestuur en verantwoordelijk voor de gegevensverwerking;
• het uitvoeren van opdrachten die hem door de persoon belast met het dagelijks bestuur en verantwoordelijk voor de gegevensverwerking worden toevertrouwd.
d. Het beleid, de bijhorende policies en procedures worden regelmatig geëvalueerd en eventueel aangepast. Belangrijke wijzigingen worden steeds bekend gemaakt.
e. Het veiligheidsplan, dat de evolutie van de veiligheidsmaatregelen weergeeft, wordt elke 3 jaar opnieuw grondig geëvalueerd. Belangrijke wijzigingen worden steeds bekend gemaakt.
f. Het bestuur verbindt er zich toe de DPO/FG te voorzien van de noodzakelijke informatie, zodanig dat hij over de nodige gegevens kan beschikken die nodig zijn voor het uitvoeren van zijn opdracht.
g. Bijzondere aandacht wordt besteed aan de organisatorische aspecten van de samenwerking met derden (bv. uitbesteding van taken). De veiligheidsaspecten van de samenwerking worden contractueel vastgelegd.
h. In het kader van de fysieke beveiliging en de beveiliging van de omgeving dienen de informatieveiligheidsdienst en de dienst arbeidsveiligheid (de preventieadviseur) nauw met elkaar samen te werken.
i. In het kader van het operationeel beheer, de logische toegangsbeveiliging en de ontwikkeling en onderhoud van systemen dienen de DPO/FG en de systeembeheerders (informatici, ...) nauw met elkaar samen te werken.
j. Het beheer van toegangen naar de online toepassingen voor de Sociale Zekerheid wordt beheerd door de DPO/FG. De DPO/FG is daartoe gemachtigd door het bestuur en heeft de functie van lokale beheerder. Er wordt een inventaris bijgehouden van alle rollen en verantwoordelijkheden door de DPO/FG.
k. Het beheer van toegangen naar online toepassingen van de Vlaamse en federale overheden is volledig in handen van het bestuur. Alle aanpassingen betreffende toegangen op dit portaal worden overzichtelijk geregeld en gedocumenteerd, onder verantwoordelijkheid van de algemeen directeur of diens adjunct. Verder wordt er een inventaris bijgehouden van alle rollen en verantwoordelijkheden. Op vraag van het bestuur kan de DPO/FG een rol opnemen aangaande het toegangsbeheer.
l. Het bestuur beschikt over een beslissingsplatform voor de validatie en goedkeuring van veiligheidsmaatregelen, dat ervoor zorgt dat maatregelen ondersteund kunnen worden en op een gecoördineerde manier uitgevoerd kunnen worden.
m. De DPO/FG neemt deel aan de overlegvergaderingen van het primair netwerk (POD MI, KSZ, ...) en van het secundair netwerk (OCMW ’s) en koppelt alle nodige informatie terug naar het bestuur.
n. De DPO/FG neemt deel aan de overlegvergaderingen van de VVSG (Vereniging van Vlaamse steden en gemeenten) en koppelt alle nodige informatie terug naar het bestuur.
4. Informatieveiligheid voor de personeelsleden
DOELSTELLING
Het zo goed mogelijk benutten en op het vereiste niveau houden van de kennis en de bewustwording van de personeelsleden ter bevordering van de beveiliging, evenals het verminderen van de risico’s te wijten aan al dan niet opzettelijk menselijk falen.
a. Personeelsleden moeten zich bewust zijn van de bedreigingen via communicatie- en informatiesystemen en van het belang van informatieveiligheid. Ze moeten daartoe de juiste middelen, kennis en vaardigheden tot hun beschikking hebben.
b. Personeelsleden worden voldoende op de hoogte gebracht van de veiligheidsmaatregelen bij het gebruik van communicatie- en informatiemiddelen die zij verwacht worden te treffen. De DPO/FG staat steeds ter beschikking voor vragen en bijkomende uitleg.
c. De DPO/FG stuurt op regelmatige basis informatie rond, om informatieveiligheid onder de aandacht te houden. Er kunnen ook folders en affiches ter beschikking worden gesteld.
d. Het personeelsbeleid van het bestuur draagt bij door de opname van veiligheidsaspecten en de verantwoordelijkheid van de werknemer op het gebied van informatieveiligheid op te nemen in de deontologische code en/of het arbeidsreglement (bv internet en e-mail policy).
e. Elke medewerker heeft de plicht beveiligingsrisico’s en beveiligingsincidenten te melden aan zijn leidinggevende, ICT dienst, DPO/FG of aan de veiligheidscel. Afhankelijk van de graad van het incident (datalek) wordt de toezichthoudende autoriteit ingelicht.
f. Personeelsleden worden gewezen op hun eigen verantwoordelijkheid voor het handhaven van een effectieve toegangsbeveiliging, met name het gebruik van wachtwoorden en beveiliging van gebruikersapparatuur en voor de toepassingen. Wachtwoorden zijn strikt persoonlijk en vertrouwelijk. Zie hiervoor het document “Wachtwoordbeleid gemeente en OCMW Roosdaal” dat kadert in het informatieveiligheidsbeleid van het bestuur.
g. Men moet er zich steeds bewust van zijn welke informatie men aan wie kan en mag doorgeven. Controleer steeds of de aanvrager wel degelijk recht heeft op de informatie.
h. Wanneer men gebonden is aan het beroepsgeheim en/of de discretieplicht dient men zich hier steeds aan te houden. Zie hiervoor de deontologische code die kadert in het informatieveiligheidsbeleid van het bestuur.
i. Personeelsleden worden gewezen op de veiligheidsrisico’s die elektronische systemen met zich meebrengen (vaste computers, mobiele computers, telefoons, mobiele telefoons, smartphones, tablets, e-mail, post, messaging, voicemail, postdiensten, fax, enz.). Deze systemen houden een risico in voor de vertrouwelijkheid van informatie.
j. Het gebruik van bedrijfsmiddelen voor privédoeleinden moet tot een strikt minimum beperkt blijven.
k. Op apparatuur die verbonden is met de infrastructuur en/of netwerk van het bestuur (bv desktop, laptop) mag alleen hardware aangesloten worden en/of software geïnstalleerd worden en/of configuraties ingesteld worden door de bevoegde diensten aangesteld door het bestuur. De gebruiker mag niet in staat gesteld worden om zelf programma’s te installeren of te wijzigingen, of aanpassingen uit te voeren aan de door het bestuur beschikbaar gestelde apparatuur.
l. De personeelsleden zorgen ervoor dat hun computers na het beëindigen van de dagtaak steeds uitgezet worden. Het is niet voldoende dat het personeelslid afmeldt, of het toestel in slaapmodus wordt gebracht. Bij gebruik van ‘Terminal Services’ zorgt het personeelslid er steeds voor dat de sessie afgemeld wordt na gebruik, of dat er een automatische afmelding gebeurt. Bij het gebruik van een thin-client wordt deze na het beëindigen van de taken uitgezet.
m. Bij indiensttreding wordt een onthaaldocument of -map voorzien en overhandigd aan het nieuwe personeelslid waarin de omgang en het gebruik met ICT materiaal van het bestuur beschreven wordt.
n. Toegangsrechten en autorisaties voor nieuwe personeelsleden worden door middel van een procedure afgehandeld. Het toekennen van toegangsrechten en autorisaties gebeurt in overleg met de betrokken dienst- of afdelingshoofden.
o. Bij het verlaten van de dienst of bij wijziging van functie-inhoud worden toegangsrechten en autorisaties van de personeelsleden zo vlug mogelijk aangepast in gezamenlijk overleg met de afdelings- of diensthoofden. Materiaal voor fysieke toegangen (sleutels, badge, toegangscodes, ...) worden, indien nodig, gerecupereerd of afgesloten.
p. De schending van het beveiligingsbeleid en de beveiligingsprocedures van de organisatie worden door middel van een formeel proces afgehandeld.
q. Vertrouwelijke of persoonlijke gesprekken worden steeds gevoerd met aandacht voor de omgeving. Wanneer men cliënten ontvangt of discrete gesprekken voert, intern of met eventuele bezoekers, dan gebeurt dit in daarvoor voorziene ruimtes die de privacy garanderen.
r. (Team)overleg wordt zo gepleegd dat enkel de betrokken personeelsleden het gesprek kunnen meevolgen.
5. Mobiele apparatuur en telewerken
DOELSTELLING :
Gepaste maatregelen treffen voor de organisatie van de online-toegang van buiten de organisatie tot de interne - en persoonsgegevens van de organisatie en de informatie op mobiele dragers beschermen.
a. Personeelsleden kunnen in principe géén gebruik maken van eigen ICT middelen bij het uitvoeren van hun professionele opdrachten. Het bestuur kan, naargelang de situatie, beslissen vergoedingen voor personeelsleden of mandatarissen voor de aankoop van eigen ICT middelen toe te kennen, en/of hiervoor in een abonnement te voorzien. Hierbij dient rekening te worden gehouden met de taken, functie of noden van bereikbaarheid. Het beleid betreffende mobiele toestellen voor personeelsleden en mandatarissen is beschreven in de policy “Mobiele devices” en - indien van toepassing - de policy “BYOD” (bring your own device).
b. De online-toegang van buiten het bestuur naar de toepassingen en bestanden op het netwerk van het bestuur (Remote Desktop of VPN) wordt enkel geregeld via een beveiligde en versleutelde verbinding (https/ssl). Een certificaat zal worden uitgegeven door een CA (Certificate Authority). Rechtstreekse externe toegang via een afstandsbedieningssessie door een personeelslid naar een computer van het bestuur is niet toegestaan, uitgezonderd een sessie door de eigen IT dienst voor IT ondersteunende taken. Het gebruik van ‘Remote Desktop Software’ en VPN is enkel toegestaan voor de uitvoering van professionele taken.
c. Personeelsleden en/of mandatarissen die gebruik maken van laptop of andere mobiele toestellen van het bestuur gaan hier zorgvuldig mee om. Personeelsleden dienen steeds alle mogelijke maatregelen te treffen om verlies van ICT apparatuur en informatieverlies te voorkomen. Er dient een effectieve toegangsbeveiliging toegepast te worden op alle mobiele toestellen (zie hiervoor het document “Wachtwoordbeleid gemeente en OCMW Roosdaal”). De toestellen mogen niet gebruikt worden door derden. Personeelsleden dienen steeds al het mogelijke te doen om te verhinderen dat derden ongeoorloofde toegang zouden verkrijgen tot de toestellen of tot de informatie die ermee geraadpleegd wordt.
d. Het gebruik van eigen externe opslagmedia (USB, disk, smartphone,...) vreemd aan de eigen organisatie, alsook het gebruik van enig andere externe clouddienst (Dropbox, Google Drive, Microsoft OneDrive, enz) voor de opslag van informatie behorend tot het bestuur is niet toegelaten. Indien noodzakelijk stelt het bestuur externe media met – indien mogelijk - een beveiligde partitie ter beschikking. Deze media worden uitgeleend bij de interne ICT dienst. Documenten aangeleverd via externe media, ftp(s) diensten, of via beveiligde online transferdiensten van vertrouwde partners (bv architectenbureau) worden eerst gescand op malware vóór gebruik. Het is wel toegestaan om via een professionele clouddienst (Office365) grote documenten (bv plannen) met partners (bv overheden, architecten, landmeters,...) op een gecontroleerde manier uit te wisselen. Documenten die op deze wijze uitgewisseld worden bevatten géén persoonsgegevens en worden ook eerst gescand op malware vóór gebruik.
e. Het bestuur kan d.m.v. een uitleendienst mobiele toestellen (laptops, smartphones, tablets) beschikbaar aan het personeel (gebruik voor korte termijn) en mandatarissen indien deze vereist zijn voor het uitvoeren van een specifieke taak. Na uitvoering van de taak wordt het toestel terug gebracht naar de uitleendienst. Het personeelslid of mandataris waakt erover dat er geen (persoons)gegevens bewaard blijven op deze mobiele toestellen. De ICT dienst beheert deze uitleendienst en houdt een nauwkeurig register bij van de toestellen die uitgeleend worden, alsook de tijdstippen van uitlening.
f. Het is niet toegestaan documenten behorende tot het bestuur te scannen of te fotograferen voor persoonlijke doeleinden.
6. Beheer van bedrijfsmiddelen
DOELSTELLING :
Het handhaven van een gepaste bescherming voor alle bedrijfsmiddelen.
a. Er worden up-to-date inventarissen bijgehouden van de belangrijkste hard- en software.
Bij voorkeur beschikt het bestuur hiervoor over een softwaretool. In het andere geval kan dit
d.m.v. het gebruik van een eigen document.
b. Het gebruik van bedrijfsmiddelen en de toegang tot informatie en informatiesystemen worden beperkt door toegangs- en autorisatierechten, zowel fysiek als logisch.
c.Er wordt rekening gehouden met het feit dat binnen de context van de Kruispuntbank van Sociale Zekerheid (KSZ) omgegaan wordt met vertrouwelijke gegevens. De behandeling van deze gegevens is onderworpen aan de Algemene Verordening Gegevensbescherming (General Data Protection Regulation (GDPR), in voege getreden op 25 mei 2018.
d. Er worden gedragscodes (policies) opgesteld en onderhouden voor het correct gebruik van internet en e-mail. De maatregelen uit deze policies worden correct gecommuniceerd naar alle betrokkenen. De DPO/FG staat steeds ter beschikking voor vragen en bijkomende uitleg. Zie hiervoor de “Internet en e-mail policy”.
e. Alle gebruikers dienen zich bewust te zijn van het feit dat de toegang tot het internet gefilterd, gecontroleerd, opgeslagen en geanalyseerd kan worden in overeenstemming met de ter zake geldende wetgeving en arbeidsreglement of deontologische code. Zie hiervoor de bepalingen opgenomen in de “Internet en e-mail policy”.
f. Er wordt een clean-screen mentaliteit toegepast op alle gebruikerscomputers van het bestuur. Wanneer men de werkplaats voor enige tijd verlaat, moet men erop toezien de computer te vergrendelen of om af te melden. Ter aanvulling worden alle gebruikerscomputers via een centraal beleid (group policy) na een vooraf ingestelde tijd automatisch vergrendeld. Het ontgrendelen van de computer gebeurt nadien terug door het opnieuw ingeven van de eigen gebruikersnaam en wachtwoord.
g. Wanneer men cliënten of bezoekers ontvangt, zorgt men dat deze niet onbedoeld kunnen meekijken op het scherm. Indien nodig draait men de monitor weg van de cliënt of bezoeker, of men vergrendelt het scherm wanneer men deze even onbeheerd achterlaat.
h. Er wordt een clean-desk mentaliteit toegepast in alle bureaus. Dossiers met persoonsgegevens die niet in behandeling zijn, worden bewaard in een afsluitbare kast. Dossiers die in behandeling zijn worden na de werkuren opgeborgen in een afsluitbare kast of lokaal. Wanneer men het bureau verlaat, of wanneer men cliënten ontvangt, worden alle verwijzingen naar persoonsgegevens (i.e. namen op kaften, ingevulde formulieren, ...) zorgvuldig uit het zicht verwijderd.
i. Vertrouwelijke of persoonlijke telefoongesprekken worden steeds gevoerd met aandacht voor de omgeving. Het baliepersoneel schakelt liefst geen gesprekken door wanneer het betrokken personeelslid in gesprek verkeert met een cliënt (of men vraagt tenminste of het gesprek kan aangenomen worden). Wanneer een vertrouwelijk telefoongesprek gevoerd moet worden, sluit men best de deur of begeeft men zich naar een aparte ruimte. Indien er onverwachts toch andere personen in de buurt zijn, probeert men het gesprek zo discreet mogelijk te voeren (bv. geen namen noemen, ...).
j. Alle digitale bestanden worden steeds bewaard in de daarvoor bestemde netwerkmappen of bibliotheken (libraries). Deze mappen of bibliotheken worden volgens inhoud en per dienst gescheiden. Enkel de personeelsleden van de desbetreffende dienst of met bevoegdheid mogen toegang hebben tot de overeenkomstige mappen of bibliotheken. De personeelsleden hebben enkel toegang tot de netwerkmappen of bibliotheken die vereist zijn voor het vervullen van hun taken en functie binnen het bestuur. De algemeen directeur en diens back-up hebben het recht op toegang tot alle dienst-, project-, applicatiemappen of bibliotheken.
k. Bij het afdrukken van documenten worden deze documenten onmiddellijk door het personeelslid opgehaald. Indien de functionaliteit beschikbaar is, wordt het personeel gestimuleerd om uitgesteld en/of beveiligd af te drukken. Verdwaalde documenten (ook faxen) worden in de juiste postbakjes gelegd. Er blijven geen afgedrukte documenten rond de printers rondslingeren.
l. Bij het scannen van documenten naar een publieke map, zorgt men ervoor dat deze informatie niet ongewild in deze map blijft staan. Deze documenten in een publieke map worden onmiddellijk verplaatst naar een afgeschermde netwerklocatie. Men kan scannen naar het eigen e-mailadres om te voorkomen dat gevoelige informatie bij iemand anders terechtkomt of onderschept wordt.
m. Alle papieren documenten die persoonsgebonden of persoonsgegevens bevatten, worden alvorens deze weg te gooien, versnipperd. Men laat geen documenten die persoonsgegevens bevatten rondslingeren in een prullenmand of papierbak.
n. Er wordt een algemeen beleid ontwikkeld betreffende de levenscyclus van hard- en software. Systemen of toepassingen die niet meer op een afdoende manier kunnen beschermd worden tegen mogelijk kwaadwillige invloeden worden buiten werking gesteld of vervangen door nieuwere en beter beschermde systemen of toepassingen.
7. Toegangsbeveiliging (logisch)
DOELSTELLING :
Het beheren van de toegang tot informatie in overeenstemming met de functionele behoeften en beveiligingseisen.
a. Er wordt rekening gehouden met het feit dat, binnen de context van sociale zekerheid, omgegaan wordt met vertrouwelijke gegevens en dat de gepaste beperking van toegang tot informatie van het allergrootste belang is.
b. Functionele eisen voor toegangsbeveiliging (identificatie, authenticatie en autorisatie) worden correct toegepast.
c. Er wordt een procedure vastgelegd om alle fases in de levenscyclus van een autorisatie te beheren (vb. creatie, wijziging, controle, opheffing). Zie hiervoor de procedure “In- en uitdiensttreding”.
d. Wachtwoorden worden beheerd aan de hand van een formeel proces, beschreven in het document “Wachtwoordbeleid gemeente en OCMW Roosdaal” dat kadert in het informatieveiligheidsbeleid van het bestuur.
e. Er wordt steeds een overzicht of inventaris bewaard met accounts naar toepassingen en bestandssystemen. Dit overzicht kan worden uitgebreid naar specifieke rechten voor toepassingen, bestandssystemen en bibliotheken (libraries).
f. De toewijzing en het gebruik van beheerdersprofielen, speciale en kritieke bevoegdheden worden beperkt en gecontroleerd. Specifieke maatregelen worden uitgewerkt voor de toegangsbeveiliging voor beheerders van besturingssystemen en toepassingen (administratorrechten).
g. Bijzondere aandacht wordt besteed aan de beveiliging van de toegang voor diagnose en hulp op afstand. Er wordt een historiek (logging) bijgehouden voor dergelijke interventies. Externe partners dienen het bestuur op de hoogte te brengen vooraleer interventies op afstand uitgevoerd worden.
h. Gebruikers worden gewezen op hun verantwoordelijkheid voor het handhaven van een effectieve toegangsbeveiliging, met name met betrekking tot het gebruik van wachtwoorden en beveiliging van gebruikersapparatuur. Wachtwoorden zijn strikt persoonlijk en vertrouwelijk.
i. Toegangen tot interne en externe netwerkdiensten worden op afdoende manier beschermd, via een beheersysteem (rechten) eigen aan het bestuurssysteem of toepassing.
j. Toegang en gebruik van systemen wordt gemonitord om afwijkingen van het toegangsbeleid of anomalieën te detecteren.
k. Voor toegang op afstand worden speciale veiligheidsmaatregelen genomen in overeenstemming met de risico’s verbonden aan deze manier van werken.
l. Voor gebruik van mobiele opslagmedia die de beveiligingsperimeter van de instelling kunnen verlaten, worden gepaste veiligheidsmaatregelen genomen.
m. Gegevens op opslagmedia worden permanent gewist of ontoegankelijk gemaakt alvorens de media uit dienst te stellen, te verwijderen of te hergebruiken (bv multifunctionele printers).
8. Cryptografie
DOELSTELLING :
Het ontwikkelen van een cryptografisch beleid en de gepaste en noodzakelijke maatregelen nemen wanneer de vertrouwelijkheid van informatie van belang is.
a. Alle interne webapplicaties die extern kunnen bereikt worden, zullen worden voorzien van versleuteling (encryptie). Hiervoor zal de webtoepassing voorzien worden van een certificaat, uitgegeven door een Certificate Authority (CA).
b. Het internetportaal van het bestuur (website) wordt versleuteld (encryptie), voorzien van een certificaat uitgegeven door een Certificate Authority (CA). Dit geldt specifiek voor het e-loket waarbij een burger online aanvragen kan formuleren, aangiften meedelen en attesten kan opvragen.
c. Mobiele toestellen (laptops) die gegevens van het bestuur kunnen bevatten en die de veiligheidsperimeter van het bestuur kunnen verlaten, worden beschermd door algemene versleuteling (encryptie) van de gegevensdrager. De ICT dienst is verantwoordelijk voor de versleuteling. De sleutels om de versleuteling te activeren of te deactiveren worden op een afgeschermde plaats bewaard bij de ICT dienst.
9. Fysieke beveiliging en beveiliging van de omgeving
DOELSTELLING :
Onbevoegde of onnodige fysieke toegang tot informatie en informatiesystemen voorkomen (dit ter beperking van onbevoegde kennisneming, vervalsing of diefstal van informatie) en schade aan of hinderlijke storing van informatiesystemen voorkomen.
a. Bij integratie van andere diensten in het gebouw wordt er rekening gehouden met het verhoogde risico op onbevoegde toegang. De nodige maatregelen worden getroffen om geen onbevoegde toegangen te verlenen.
b. De ramen en deuren van alle lokalen worden na de werkdag steeds afgesloten. Lokalen worden afgesloten indien mogelijk. Ieder personeelslid is verantwoordelijk voor het correct afsluiten van zijn eigen opbergruimten, kasten en bureel. Betreffende de gezamenlijke ruimtes, de afsluiting van het gebouw en het activeren van het alarm wordt een verantwoordelijke aangeduid of worden er afspraken gemaakt.
c. Het balie(personeel) bewaart steeds het overzicht over bezoekers die het gebouw betreden. Alle bezoekers moeten zich steeds aanmelden alvorens ze zich naar hun afspraak kunnen begeven. Alle bezoekers worden steeds afgehaald en begeleid door een personeelslid tijdens het bezoek. Bij het beëindigen van de afspraak wordt elke bezoeker tevens naar de uitgang begeleid. Indien mogelijk wordt een bezoekersregister bijgehouden.
d. Alle gebouwen van het bestuur zijn beveiligd met een inbraak- of alarmsysteem. Deze gebouwen zijn, indien mogelijk, opgedeeld in verschillende zones met eigen toegangsbeheer als maatregel tegen onbevoegde toegang. Personeelsleden hebben toegang tot de gebouwen (binnen en buiten de werkuren) door middel van een persoonlijke sleutel (mechanisch), een persoonlijke elektronisch toegangscode, of een persoonlijke elektronische badge. Voor elektronische toegangssystemen worden de codes op regelmatige tijdstippen veranderd.
e. Tijdens vergaderingen, bijeenkomsten enz. buiten de openingsuren wordt erop gelet dat alle toegangen naar de gebouwen of kantoren afgesloten zijn tegen mogelijke indringing.
f. Personen die een afspraak hebben buiten de openingsuren, worden binnengelaten door iemand van het personeel en naar hun afspraak begeleid. Men verzekert zich ervan dat alle bezoekers de gebouwen nadien ook effectief verlaten.
g. Bij het opmerken van “verdwaalde” personen, probeert men te voorkomen dat deze personen ergens terecht komen waar ze niet moeten zijn. Een simpele “Kan ik u helpen ?” doet wonderen.
h. Worden er personen aangetroffen waar ze niet horen, dan wordt hen vriendelijk maar kordaat duidelijk gemaakt dat zij zich moeten verwijderen.
i. De lokalen waarin zich informatiesystemen (serverlokaal) bevinden worden steeds op afdoende wijze afgesloten. De toegang tot de lokalen met informatiesystemen wordt beperkt en is enkel toegankelijk voor bevoegd personeel.
j. Voor de gebouwen worden er gepaste maatregelen genomen om bescherming te bieden tegen brand, waterschade, diefstal en andere fysieke bedreigingen.
k. De IT infrastructuur (servers, disk units, switches, routers,...) wordt beschermd tegen onverwachte stroomonderbrekingen door middel van een noodvoeding of een alternatieve stroomvoorziening.
l. Gegevens op opslagmedia worden permanent gewist of ontoegankelijk gemaakt alvorens de media uit dienst te stellen, te verwijderen of te hergebruiken (bv multifunctionele printers).
10. Operationeel beheer
DOELSTELLING :
Het garanderen van een correcte en veilige bediening en werking van ICT-voorzieningen.
a. Er moet rekening gehouden worden met het feit dat, naarmate de zichtbaarheid van de elektronische toepassingen van de Sociale Zekerheid, de Vlaamse en/of federale overheid toeneemt, ook het risico op aanvallen op het systeem toeneemt.
b. Bij uitbesteding van ICT-activiteiten naar een extern bedrijf, wordt extra aandacht besteed aan eventuele beveiligingsrisico’s. De beveiligingsmaatregelen bij uitbesteding worden contractueel vastgelegd.
c. Door gepaste capaciteitsplanning en acceptatieprocedures (change management) voor nieuwe of wijzigingen in ICT-systemen, wordt het risico van systeemstoringen tot een minimum beperkt.
d. Er worden maatregelen genomen om potentiële aanvallen met kwaadwillige software en malware (virus, spam, hacking,...) te voorkomen, snel te ontdekken en de eventuele gevolgen ervan zo veel mogelijk in te perken. De anti-malware software wordt nauwkeurig up-to-date gehouden en gecentraliseerd beheerd. Software en toepassingen voor de algemene bescherming van personal computers en servers mogen nooit uitgeschakeld worden zonder toestemming van een bevoegde ICT verantwoordelijke of ICT beheerder.
e. Er worden proactieve maatregelen genomen en een beleid wordt ontwikkeld om gekende kwetsbaarheden in systemen en toepassingen te voorkomen. Indien systemen of toepassingen kunnen uitgerust worden met de laatste releases of upgrades, dan worden deze, na (interne) evaluatie, zo snel als mogelijk toegepast. Externe ICT dienstenleveranciers dienen steeds het lokaal bestuur op de hoogte te brengen via de interne ICT dienst, voorafgaand aan de uitvoering van de geplande werken.
f. De mogelijkheid wordt geboden aan bezoekers en gasten van het bestuur om zich met persoonlijke of eigen bedrijfstoestellen te connecteren met het internet via een gasten- of bezoekersnetwerk. Dit netwerk dient volledig gescheiden te zijn van het interne netwerk van het bestuur. Enkel externe personen, gemachtigd door het bestuur, mogen een verbinding maken met eigen of hun bedrijfstoestellen op het interne netwerk in het kader van de taken die zij dienen uit te voeren voor het bestuur (bv externe IT beheerders).
g. Op werkdagen worden minstens dagelijks back-ups gemaakt van alle essentiële gegevens (fileserver, database,...). Het resultaat van elke back-up job wordt telkens gecontroleerd. Back-up problemen worden zo snel als mogelijk opgelost, dit om de integriteit, de beschikbaarheid en de continuïteit van de diensten te handhaven. De back-ups worden bewaard op een beveiligde locatie (fysieke en/of logisch), op voldoende afstand en op een plaats verschillend van de systemen die back-upt worden.
h. Speciale aandacht wordt besteed aan de beveiliging van informatie in netwerken buiten de bescherming van de eigen infrastructuur. Maximale beveiligingsmaatregelen worden genomen bij het verzenden/ontvangen van gevoelige gegevens via openbare netwerken zoals het internet.
i. Wachtwoorden opgeslagen op ICT systemen (PC, server, externe disk, USB,...) worden steeds met maximale bescherming bewaard. Bescherming kan o.a. via het gebruik van een wachtwoordkluis of document bescherming (wachtwoord). Het bewaren en noteren van wachtwoorden op papier moet vermeden worden. De gebruiker of eigenaar van het wachtwoord zorgt ervoor dat het wachtwoord niet zichtbaar kan gemaakt worden. Er wordt nauwlettend, discreet en gecontroleerd gewaakt over het beheer van wachtwoorden voor beheerdersfuncties.
j. Externe opslagmedia worden beveiligd tegen schade, diefstal en ongeoorloofde toegang.
k. Met het oog op de naleving van de wettelijke bepalingen op de bewaring en het gebruik van gearchiveerde gegevens, moet bij elke evolutie van de informatica-infrastructuur en het informatiesysteem nagegaan worden of de gearchiveerde gegevens, de opslagmedia en de noodzakelijke applicaties nodig voor hun exploitatie, op elkaar afgestemd blijven.
l. Maatregelen worden genomen om te voorkomen dat informatie die wordt uitgewisseld met andere organisaties, verloren gaat, gewijzigd of misbruikt wordt.
m. Aandacht wordt besteed aan het beschermen van de integriteit van informatie op publiek toegankelijke systemen (zoals eigen websites) om ongeoorloofde wijzigingen te voorkomen die het bestuur zou kunnen schaden. Ongeoorloofde wijzigingen moeten worden voorkomen die het bestuur of één van de organisaties, in het kader van de uitvoering van hun opdrachten, zouden kunnen schaden.
n. Er wordt een beleid ontwikkeld bij de uitdienststelling van computermateriaal en gegevensdragers. Er wordt voor gezorgd dat gegevens op de gepaste en veilige manier verwijderd worden van servers, personal computers, mobiele gegevensdragers en multifunctionele printers.
o. In het geval een nieuwe of een bepaalde verwerking van persoonsgegevens een waarschijnlijk hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen, zal het bestuur een gegevensbeschermingseffectbeoordeling / Data Protection Impact Assessment (GEB/DPIA) uitvoeren. De risicobeoordeling zal per geval afzonderlijk plaatsvinden voor de bepaalde verwerking of voorafgaandelijk aan de aanvang van de nieuwe verwerking. Het uitvoeren van een gegevensbeschermingseffectbeoordeling is een verplichting volgens de GDPR.
11. Communicatiebeveiliging
DOELSTELLING :
Gepast beheer van de netwerken op gebied van veiligheid en beschikbaarheid.
a. Elk netwerk behorend tot het lokaal bestuur (administratief centrum, OCMW & WZC, scholen & CVO, bibliotheken, cultureel centrum, sportdiensten, technische diensten,...) wordt beschermd door een firewall met IDS / IPS en wordt correct geconfigureerd. Hiermee wordt het netwerk van het bestuur afdoende beschermd tegen softwarematige inbraken of aanvallen en diefstal van informatie. Elke firewall beschikt over een historiek (logging) van het in- en uitgaand dataverkeer. Een analyse van het in- en uitgaand dataverkeer kan worden uitgevoerd. In het geval van een gedeelde ICT infrastructuur tussen een gemeente n een OCMW wordt een centrale firewall met IDS / IPS geïmplementeerd voor beide besturen. Optioneel wordt, in het geval van een gedeelde ICT infrastructuur tussen gemeente en OCMW een firewall cluster (high availability) met IDS / IPS geïmplementeerd voor beide besturen. Deze opstelling garandeert een redundante internetverbinding voor beide besturen.
b. In het geval van een gedeelde ICT infrastructuur (netwerk, server) tussen een gemeente en een OCMW moeten de specifieke gegevens voor elk afzonderlijk bestuur strikt gescheiden worden gehouden (richtsnoeren v3.0). Een uitzondering kan worden gemaakt voor geïntegreerde diensten (decreet lokaal bestuur) van elk bestuur (bv personeelsdienst).
c. Er wordt een webfilter (geïntegreerd in firewall) of proxy server geïnstalleerd die het mogelijk maakt om bepaalde websites of web categorieën ontoegankelijk te maken. Dit voorkomt opzoekingen of consultaties door personeelsleden die niet gerelateerd of noodzakelijk zijn bij de uitvoering van hun opdrachten.
d. Er worden specifieke maatregelen genomen voor de beveiliging van vertrouwelijke informatie en de integriteit bij het verzenden en ontvangen van gegevens over publieke netwerken. Dit gebeurt door middel van VPN (Virtual Private Network) (niet van toepassing voor het bestuur). Webservers die extern bereikbaar zijn worden uitgerust met een certificaat (versleuteling van gegevens bij communicatie).
e. De externe ICT-dienstenleveranciers mogen, voor het uitvoeren van hun ondersteuningsopdrachten en taken, gebruik maken van een VPN verbinding naar het bestuur. Deze toegangen worden zorgvuldig toegekend en bijgehouden.
12. Verwerving, ontwikkeling en onderhoud van systemen
DOELSTELLING :
Het verzekeren van de vereiste beveiliging in verband met de gebruikte systemen en dit gedurende de volledige levenscyclus. Het bestuur verwacht het naleven van deze norm tevens van zijn softwareleveranciers
a. Voor nieuwe systemen of uitbreidingen van bestaande systemen dienen de veiligheidsvereisten gespecificeerd te worden aan de uitvoerders of ontwikkelaars van deze systemen.
b. De ontwikkeling van toepassingssoftware wordt gebaseerd op een gestructureerde aanpak die de veiligheidsvereisten oplegt. (Niet van toepassing voor het bestuur)
c. Bij de ontwikkeling van toepassingssoftware dient bijzondere aandacht besteed te worden aan de validatie van invoergegevens, de beveiliging van interne verwerking en de validatie van uitvoergegevens. (Niet van toepassing voor het bestuur)
d. Maximale maatregelen worden genomen om te vermijden dat geheime communicatiekanalen in systemen (door de ontwikkelaars van deze systemen) verborgen worden. Een controle door nazicht van software door een 3e partij is een methode om deze risico’s te bepalen of in te perken. (Niet van toepassing voor het bestuur)
e. Bij de ontwikkeling van toepassingssystemen moet rekening worden gehouden met gekende zwakke punten op gebied van veiligheid, eigen aan programmeertalen. Een controle door nazicht van software door een 3e partij is een methode om deze risico’s te bepalen of in te perken. (Niet van toepassing voor het bestuur)
f. Het beschermen van de vertrouwelijkheid, de authenticiteit en de integriteit van de informatie steunt op gepaste cryptografische beveiligingsmaatregelen (versleuteling, digitale handtekening, enz.). Hierbij wordt bijzondere aandacht besteed aan de bescherming van cryptografische sleutels. Waar nodig ondersteunen deze technieken ook de onweerlegbaarheid van de gegevens.
g. De integriteit van informaticasystemen wordt gewaarborgd door een goed beheer van de software op operationele systemen en de toegangsbeveiliging voor softwarebibliotheken.
h. Formele procedures voor het beheer van wijzigingen worden gebruikt om de kans op verminderde beschikbaarheid of uitval van informatiesystemen tot een minimum te beperken. In het bijzonder worden nieuwe versies van besturingssystemen met de nodige omzichtigheid benaderd.
i. Veiligheidsmaatregelen worden genomen bij het uitbesteden van softwareontwikkeling. De veiligheidsaspecten van de samenwerking worden contractueel vastgelegd. Wijzigingen aan softwarepakketten geleverd door derden dienen zo veel mogelijk beperkt te worden. (Niet van toepassing voor het bestuur)
j. De vertrouwelijkheid van testgegevens moet op hetzelfde niveau gegarandeerd worden als operationele gegevens. (Niet van toepassing voor het bestuur)
k. Updates van besturingssystemen en toepassingen worden op gepaste wijze uitgevoerd om de veiligheid en weerbaarheid ervan te kunnen garanderen.
13. Leveranciersrelaties
DOELSTELLING :
Het correct vastleggen van verantwoordelijkheden in kader van onderaanneming of
uitbesteding.
a. In geval van onderaanneming of uitbesteding van diensten door een derde partij worden de bepalingen inzake de geleverde diensten contractueel vastgelegd in een samenwerkings- of dienstenovereenkomst.
b. In geval van verwerking van persoonsgegevens door het lokale bestuur via onderaanneming of door een derde partij, zal tussen de verwerkingsverantwoordelijke (het bestuur) en de verwerker van deze gegevens een verwerkingsovereenkomst opgesteld worden volgens de richtlijnen van de AVG (GDPR). Voor de verwerking van persoonsgegevens met Vlaamse instanties zal een protocol worden opgesteld.
c. In het kader van een oplossing van het type “Cloud Computing“ beperkt de keuze zich volgens de desbetreffende KSZ-policy (ISMS.0050) enkel tot de diensten van het type “gemeenschappelijke ” (of privé-)-Cloud.
14. Beheer van incidenten in verband met informatieveiligheid
DOELSTELLING :
Verbeteringen aanbrengen in het veiligheidsplan op grond van opgedane ervaring met het omgaan met veiligheidsincidenten.
a. Personeelsleden en/of medewerkers hebben de plicht om datalekken en veiligheidsincidenten te melden aan ofwel de DPO/FG, veiligheidscel, ICT dienst of hun leidinggevende. Bij incidenten waarbij de dienstverlening in het gedrang komt, zal tevens de veiligheidscel ( waar de FG/DPO deel van uit maakt) op de hoogte gebracht worden.
b. Een procedure wordt opgesteld om correct te kunnen omgaan met verschillende types bedreigingen en incidenten.
c. Om een beter zicht te krijgen op eventuele risico’s en incidenten, wordt er een incidenten register bijgehouden door het bestuur, samen met de DPO/FG.
15. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
DOELSTELLING :
Kunnen reageren op verstoring van bedrijfsactiviteiten en het beschermen van kritieke bedrijfsprocessen in geval van grootschalige incidenten.
a. Gebeurtenissen en elementen die kunnen leiden tot onderbreking in de dienstverlening (bv. panne, stroomonderbreking, brand, waterschade, ...) worden geïdentificeerd en de impact van zulke gebeurtenissen wordt geanalyseerd. Maatregelen worden genomen om herhaling van dergelijke feiten te voorkomen.
b. Het bestuur beschikt of zorgt voor de opmaak van een intern rampenplan (Disaster Recovery Procedure) in het geval van een gedeeltelijke of volledige onderbreking van de dienstverlening, om deze dienstverlening te herstellen binnen een vooraf bepaald tijdsbestek. Dit plan wordt up-to-date gehouden en indien de financiële en organisatorische middelen beschikbaar zijn, op regelmatige tijdstippen getest. Het plan beschrijft de te volgen stappen om de werkzaamheden en dienstverlening te hervatten, alsook de nodige contactgegevens van firma’s en contactpersonen verantwoordelijk voor de uitvoering van dit plan. Het bestuur kan hierin worden bijgestaan door de DPO/FG.
c. Het OCMW bestuur voorziet in een uitwijkmogelijkheid in geval van totale ramp.
16. Communicatie betreffende informatieveiligheid
DOELSTELLING :
Communicatie betreffende de verwerking van persoonsgegevens door het bestuur bekendmaken.
a. Het bestuur voorziet in een privacyverklaring. De privacyverklaring omvat de wijze van verwerking van persoonsgegevens door het bestuur. Deze verklaring moet bondig, transparant en in begrijpbare taal opgemaakt zijn. De contactgegevens van de DPO/FG zijn kenbaar gemaakt op de privacyverklaring. Elke belanghebbende moet in staat gesteld worden om informatie aangaande de verwerking van de eigen persoonsgegevens te bekomen zoals wettelijk is voorzien.
b. Deze privacyverklaring wordt tevens gepubliceerd op de website. Deze is gemakkelijk vindbaar aangegeven voor alle bezoekers van de website.
17. Naleving
DOELSTELLING :
Een correcte naleving van alle wettelijke en contractuele beveiligingseisen waaraan de gebruikte informatiesystemen onderworpen zijn, de correcte behandeling van persoonsgegevens en naleving van het veiligheidsbeleid van het bestuur.
a. Het bestuur zal de wettelijke en contractuele beveiligingseisen naleven waaraan de gebruikte informatiesystemen onderworpen zijn.
b. De toestand van het niveau van de beveiliging van de informatiesystemen (inclusief de herziening en de opvolging van de procedures) wordt regelmatig geëvalueerd op basis van het desbetreffende beleid. Dit zal gebeuren door interne begeleiding, interne controle, interne audit en/of een externe audit.
c. De controle op de toepassing van het veiligheidsbeleid zal mogelijk worden gemaakt met ICT-hulpmiddelen die ter beschikking gesteld worden van interne en externe auditeurs.
d. Het beleid (policies), de bijhorende procedures en eventuele andere nuttige documenten worden ter beschikking gesteld op een voor elk personeelslid toegankelijke plaats. Elke belangrijke toevoeging, aanpassing of verwijdering wordt steeds bekend gemaakt. De DPO/FG staat steeds ter beschikking voor vragen en bijkomende uitleg.
e. Sommige policies en procedures zullen een verklaring inhouden die ondertekend moet worden door elk personeelslid. Zo verklaart hij/zij dat hij/zij het document gelezen heeft en verbindt hij/zij zich ertoe zich te houden aan de richtlijnen die beschreven staan in het document.
f. De DPO/FG heeft een intern-auditerende functie. Hij/zij adviseert, motiveert, documenteert en sensibiliseert waar en wanneer nodig.
g. De eigenlijke implementatie en controle op de naleving van de informatie-veiligheidsmaatregelen die beschreven worden in het beleid, de bijhorende policies, procedures en andere documenten behorende tot het informatieveiligheidsdomein behoort tot de verantwoordelijkheid van de persoon die belast is met het dagelijks bestuur (algemeen directeur). Bij een eventuele niet-naleving van de informatieveiligheidsmaatregelen gebeurt de sanctionering conform de rechtspositieregeling en/of de wetgeving.
18. Handhaving, opvolging en herziening
DOELSTELLING :
Het ter kennis brengen van het bestaan of uitvoering van controles door bevoegde instanties. Een mogelijke herziening van dit beleid is gebaseerd op de KSZ Minimale Normen en naargelang de beleidsmatige en technologische evoluties.
a. De Vlaamse gegevensbeschermingsautoriteit (VTC - Vlaamse Toezichtcommissie
voor de verwerking van persoonsgegevens), de POD-mi / KSZ en/of elk ter zake bevoegd comité of instantie (bv Audit Vlaanderen) kunnen controles uitvoeren of door een externe instantie laten uitvoeren op de naleving van specifieke aspecten van de KSZ Minimale Normen met betrekking tot de informatiebeveiliging van de persoonsgegevens. Deze Minimale Normen zijn in beginsel slechts van kracht bij de verwerking van persoonsgegevens, ze moeten echter eveneens worden toegepast in het kader van machtigingen verleend door elk van de (eerdere) sectorale comités ingesteld bij de Commissie voor de bescherming van de persoonlijke levenssfeer en volgens de Europese regelgeving GDPR.
b. Elk bestuur draagt de verantwoordelijkheid om in functie van de voor hun specifieke situatie en al naargelang de belangrijkheid van de te beveiligen werkingsmiddelen, de meest aangewezen beveiligingsmiddelen te implementeren. Tot slot dient te worden opgemerkt dat deze Minimale Normen voor herziening vatbaar zijn. Deze worden aangepast in functie van de evoluties die zich wettelijk, technisch, en in het bijzonder inzake veiligheidsrisico’s, ISO-normeringen of op ander vlak, voordoen.
19. Overzicht organisatie, beleidsdocumenten en procedures informatieveiligheid
• Informatieveiligheidscel (gezamenlijk gemeentebestuur en OCMW)
• Veiligheidsplan : document opgemaakt (herziening elke 3 jaar), update voorzien Q4 2019
• ‘Wachtwoordbeleid gemeenten en OCMW Roosdaal’ : beschikbaar (goedgekeurd Q2 2019)
• ‘Beleid mobiele devices’ : op te maken
• ‘Beleid BYOD’ : op te maken
• ‘Disaster recovery procedure’ : op te maken
• Netwerkschema : beschikbaar
• Incidentenbeheer : beschikbaar
• Internet en-e-mail policy : in bijlage in arbeidsreglement
20. Overzicht aanpassingen en correcties
Dit document werd opgemaakt in gezamenlijk overleg met de algemeen directeur Emma Van der Maelen, bestuurssecretaris Guy Evenepoel van het gemeentebestuur Roosdaal en de Data Protection Officer Filip Haesen in september / oktober 2019.
BESLUIT:
Met éénparigheid van stemmen.
Artikel 1. - Het besluit van de raad voor maatschappelijk welzijn van 21 oktober 2014 'vaststellen begrip dagelijks personeelsbeheer' wordt opgeheven.
Artikel 2. - De lijst van wat onder dagelijks personeelsbeheer valt, wordt als volgt omschreven:
a. individueel personeelsbeheer:
▪ opmaak functiebeschrijvingen
▪ opdrachthouderschap
▪ toestemming dienstreizen en meest geschikte vervoermiddel
▪ verlofaanvragen en aanvragen dienstvrijstellingen
▪ loopbaanonderbreking, zorgkrediet en andere tijdelijke loopbaanmaatregelen
▪ opdracht permanentieplicht
▪ toestemming tot verrichten van vrijwilligerswerk, stage, begeleid werk en gemeenschapsdienst (onbezoldigd)
▪ de individuele weddevaststelling met inbegrip van de overname van anciënniteiten en de beslissing over de duur van in aanmerking komende diensten in de overheid, in de privé sector, als zelfstandige of in het onderwijs, binnen de grenzen vastgelegd door de raden in de rechtspositieregeling en de aanstellende overheid bij de vacantverklaring
▪ maatregelen van inwendige orde: dit zijn maatregelen om de goede werking van de dienst te verbeteren of te verzekeren bv. een reorganisatie of de uitoefening van het hiërarchisch gezag.
b. individuele toepassingen van de bepaling met betrekking tot vorming en evaluatie en dergelijke:
▪ individuele opvolging van de evaluatie
▪ vormingsaanvragen
▪ concrete invulling van het recht en de plicht op vorming, onder voorbehoud van wat de raad, of na delegatie, het uitvoerend orgaan, in het vormingsreglement bepaalt
c. toepassing van de rechtspositieregeling voor het personeel:
▪ de evaluatieprocedure intern organiseren binnen de door de raad bepaalde termijnen
▪ dienstroosters opmaken en prestaties noteren
▪ vergoedingen voor reiskosten in het kader van dienstreizen
▪ andere taken bepaald en toegewezen aan de algemeen directeur in de rechtspositieregeling
d. collectief personeelsbeheer
▪ vastleggen van dienstvrijstellingen
▪ vaststellen van het aantal personeelsleden met een arbeidshandicap, uitgedrukt in voltijdse equivalanten, dat overeenkomst met ten minste 2% van het totaal aantal personeelsleden (in vte) in het bestuur.
Johan Linthout Jean Timmermans Linda Van Huylenbroeck Wendy Godaert Johan Van Lierde Jan Van Den Bosch An Van den Spiegel Rudy Bracquez Eline De Vos Koenraad Muyldermans Annick Borloo Emma Van der Maelen Marc Devits Kristof Cooreman Dirk Evenepoel Christiane Bert Wim Goossens Linda Van den Eede Tom De Koster Herman Claeys Emmanuel de Béthune Johan Linthout Jean Timmermans Linda Van Huylenbroeck Wendy Godaert Johan Van Lierde Jan Van Den Bosch An Van den Spiegel Rudy Bracquez Eline De Vos Koenraad Muyldermans Annick Borloo Marc Devits Kristof Cooreman Dirk Evenepoel Christiane Bert Wim Goossens Linda Van den Eede Tom De Koster Herman Claeys Emmanuel de Béthune Rudy Bracquez Herman Claeys Johan Linthout Johan Van Lierde Dirk Evenepoel Jan Van Den Bosch Emmanuel de Béthune Koenraad Muyldermans Christiane Bert Tom De Koster An Van den Spiegel Wim Goossens Kristof Cooreman Marc Devits Jean Timmermans Linda Van Huylenbroeck Linda Van den Eede Wendy Godaert Annick Borloo Eline De Vos aantal voorstanders: 12 , aantal onthouders: 8 , aantal tegenstanders: 0 Goedgekeurd
BESLUIT:
12 stemmen ja: Wim Goossens (CD&V), Johan Van Lierde (CD&V), Herman Claeys (CD&V), Emmanuel de Béthune (CD&V), An Van den Spiegel (CD&V), Rudy Bracquez (CD&V), Johan Linthout (CD&V), Koenraad Muyldermans (CD&V), Christiane Bert (CD&V), Dirk Evenepoel (Roosdaal-Anders), Tom De Koster (CD&V) en Jan Van Den Bosch (CD&V).
8 onthoudingen: Linda Van den Eede (N-VA), Kristof Cooreman (N-VA), Linda Van Huylenbroeck (N-VA), Wendy Godaert (N-VA), Annick Borloo (N-VA), Jean Timmermans (N-VA), Marc Devits (Groen) en Eline De Vos (Groen).
Artikel 1. - Het voorliggend gezamenlijk organogram van de gemeente en het OCMW
Roosdaal wordt goedgekeurd.
Artikel 2. - Alle voorgaande besluiten betreffende personeelsformatie en organogram worden opgeheven.