SÉCURITÉ DE L'INFORMATION

Introduction

Tout organisme de pension et de solidarité chargé d'exécuter la loi du 28 avril 2003 relative aux pensions complémentaires et au régime fiscal de celles-ci et de certains avantages complémentaires en matière de sécurité sociale (AR 15/10/2004), partageant des données avec le réseau de la sécurité sociale, doit mettre en place et organiser un système de gestion de la sécurité de l’information.

Pour ce faire, les organisations qui souhaitent s’intégrer au réseau de la Banque Carrefour doivent respecter les normes minimales de sécurité. Toute organisation doit, en effet, veiller à ce que les données à caractère personnel et les dossiers soient traités en toute confidentialité dans le respect des lois, règles et obligations en vigueur au sein du réseau de la sécurité sociale.

L’adhésion au réseau sera ainsi conditionnée par la mise en place des normes minimales et dans un premier temps instituer en son sein un service interne chargé de la sécurité de l'information et disposer d’un plan pluriannuel actualisé mentionnant les mesures permettant de satisfaire aux normes minimales.

Qui est concerné ?

Tous les «organismes de pension» et «organismes de solidarité».

Quels sont les obligations

Respecter les règles techniques et organisationnelles du réseau de la sécurité sociale

Plus d’infos sur : https://www.ksz-bcss.fgov.be/fr/legislation/reseau-de-la-bcss/loi-du-15-janvier-1990-organique-de-la-banque-carrefour-de-la-securite

Notifier l’identité du DPO au comité sécurité de l’information de la banque carrefour de la sécurité sociale et de la santé.

Plus d’infos sur : https://www.ksz-bcss.fgov.be/fr/protection-des-donnees/en-pratique/delegue-a-la-protection-des-donnees-dpo

Respecter les normes minimales de sécurité de l’information et de la protection des données.
Répondre au questionnaire annuel des normes minimales ;
Participer à 2 sessions d’information du sous-groupe de travail sécurité de l’information ;
Signaler à la BCSS et à Sigedis, tout incident majeur relatif au traitement de données à caractère personnel de données émanant de ou à destination du réseau de la sécurité sociale et de la santé.

Le Délégué à la Protection des Données (DPO)

La mise en place et le respect des normes minimales sont placés sous la direction d'un délégué à la protection des données qui est éventuellement assisté d'un ou de plusieurs adjoints. Les DPOs des institutions du réseau secondaire DB2P et leurs adjoints éventuels ne sont désignés après décision du responsable de la gestion journalière qui communique l'identité du conseiller en sécurité et des adjoints éventuels, au Comité sectoriel de la sécurité sociale et de la santé.

Un formulaire permet d’effectuer cette notification à la BCSS (ceci ne dispense pas l’institution de la communication de l’identité du délégué à l’Autorité de protection des données) :

Désignation d’un conseiller en sécurité pour la Sécurité Sociale

Politique de sécurité de l’information

Les Normes minimales

Le sous-groupe de travail Policy a élaboré des normes minimales (MNM) inspirées de normes standards internationalement reconnues. Ces MNM ont pour objectif de renforcer les règles de sécurité et les moyens de les contrôler afin d'accroître le niveau de sécurité global de toutes les institutions de sécurité sociale.

Les MNM constituent la base à partir de laquelle le délégué à la protection des données élabore la politique de sécurité de l’information concernant les systèmes et les structures d’information qui l’entourent.

Les MNM sont, le cas échéant, accompagnées de recommandations, directives, références et/ou procédures documentées dans les lignes de conduite.

Vous trouverez ici les normes minimales ainsi que les lignes directives :

La BCSS et la sécurité des données.