Informatieveiligheid

Inleiding

Elke pensioen- en solidariteitsinstelling die belast is met het uitvoeren van de wet van 28 april 2003 betreffende de aanvullende pensioenen en het belastingstelsel van die pensioenen en van sommige aanvullende voordelen inzake sociale zekerheid (KB 15/10/2004), en die gegevens uitwisselt met het netwerk van de sociale zekerheid, moet een systeem voor het beheer van de informatieveiligheid opzetten en organiseren.

Om dit te doen, moeten instellingen die zich bij het netwerk van de Kruispuntbank willen aansluiten, voldoen aan minimale veiligheidsnormen. Elke instelling moet ervoor zorgen dat persoonsgegevens en -dossiers volledig vertrouwelijk worden behandeld in overeenstemming met de wetten, regels en verplichtingen die binnen het netwerk van de sociale zekerheid van kracht zijn.

Het lidmaatschap van het netwerk zal dus afhankelijk worden gesteld van de vaststelling en naleving van de minimale normen en, als eerste stap, de oprichting van een interne dienst voor informatieveiligheid binnen het netwerk en een up to date meerjarenplan met maatregelen om aan de minimale normen te voldoen.

Voor wie ?

Alle pensioeninstellingen en solidariteitsinstellingen

Wat zijn de verplichtingen ?

Voldoen aan de technische en organisatorische regels van het netwerk van de sociale zekerheid.

Voor meer info: https://www.ksz-bcss.fgov.be/nl/wetgeving/netwerk-van-de-ksz/wet-van-15-januari-1990-houdende-oprichting-en-organisatie-van-een

De identiteit van de functionaris voor gegevensbescherming meedelen aan het informatieveiligheidscomité van de Kruispuntbank voor sociale zekerheid en gezondheid.

Voor meer info: https://www.ksz-bcss.fgov.be/nl/gegevensbescherming/praktisch/functionaris-voor-gegevensbescherming-dpo

Voldoen aan de minimale normen voor informatieveiligheid en gegevensbescherming.
De jaarlijkse vragenlijst van de minimale normen invullen;
Deelnemen aan twee informatiesessies van de subwerkgroep Informatieveiligheid;
Elk belangrijk incident met betrekking tot de verwerking van persoonsgegevens van of naar het netwerk van de sociale zekerheid en gezondheid melden aan de KSZ en Sigedis.

Functionaris voor gegevensbescherming (DPO)

De vaststelling en naleving van de minimale normen geschiedt onder leiding van een functionaris voor gegevensbescherming, die door een of meer plaatsvervangers kan worden bijgestaan. De DPO's van de secundaire netwerkinstellingen van DB2P en hun eventuele plaatsvervangers worden pas benoemd na een beslissing van de persoon die belast is met de dagelijkse leiding, die de identiteit van de veiligheidsadviseur en eventuele plaatsvervangers van de sectorale commissie voor sociale zekerheid en gezondheid bekendmaakt.

Met een formulier kan de melding bij KSZ gebeuren (dit ontslaat de instelling niet van de verantwoordelijkheid om de identiteit van de functionaris mee te delen aan de Gegevensbeschermingsautoriteit).

Aanwijzing van een veiligheidsadviseur voor de sociale zekerheid

Informatieveiligheidsbeleid

Minimale normen

De subwerkgroep Policy heeft minimale normen (MNM) opgesteld, geïnspireerd op internationaal erkende standaarden. De subwerkgroep Policy heeft in samenwerking met de werkgroep 'Informatieveiligheid' een informatieveiligheidsbeleid ontwikkeld, geïnspireerd op de ISO 27000-reeks.

Deze MNM hebben tot doel de veiligheidsregels en de controlemiddelen erop te versterken, teneinde het algemene veiligheidsniveau van alle instellingen van sociale zekerheid te verhogen.

De MNM vormen de basis van waaruit de functionaris voor gegevensbescherming het informatieveiligheidsbeleid uitvoert met betrekking tot de hem/haar omringende informatie-systemen en -structuren.

De MNM zijn, waar relevant, vergezeld van aanbevelingen, richtlijnen, verwijzingen en/of procedures gedocumenteerd in beleidslijnen.

Hier vindt je de minimale normen en richtlijnen: De BCSS en gegevensveiligheid.