Meer en meer geschiedt de communicatie tussen burger en overheid op een digitale wijze. In plaats van ouderwetse brieven wordt de burger nu geconfronteerd met diverse elektronische platformen, communicatie via e-mail en dergelijke meer. Vragen rijzen uiteraard naar het gebruik daarvan in het licht van onder meer de privacywetgeving. Bepalingen met betrekking tot de informatieveiligheid zijn allerminst nieuw. Niet alleen dient er te worden gewezen op de algemene bepalingen en de grondslagen die terug te vinden zijn in de Algemene Verordening Gegevensbescherming (AVG ofwel beter gekend als GDPR), ook zijn er bepalingen terug te vinden in onder meer het Bestuursdecreet die verder de veiligheid van de informatie dienen te verzekeren.
Zo kan in het Bestuursdecreet onder meer worden gewezen op artikel II.22. Hier wordt er onder meer gewezen op de verplichting voor lokale besturen om voor de elektronische communicatie een voldoende graad van informatieveiligheid en onweerlegbaarheid te garanderen. Lokale besturen dienen daartoe maatregelen vast te stellen die aangepast zijn aan de omstandigheden en die gelijkwaardige garanties bieden voor informatieveiligheid en onweerlegbaarheid als de uitwisseling op analoge dragers. Die maatregelen moeten door het lokale bestuur ook worden bekendgemaakt. Informatieveiligheid moet hier in ruime zin begrepen worden, zoals het onder meer is gedefinieerd in de ISO 27000 standaarden. Het begrip omvat alle maatregelen die nodig zijn om de vertrouwelijkheid, de integriteit en de beschikbaarheid van informatie te bescher- men en te bewaren, inclusief de authenticiteit en de betrouwbaarheid ervan.
Voorts is in het Bestuursdecreet bepaald dat de Vlaamse Regering de minimumnormen kan bepalen waaraan die maatregelen moeten voldoen. De achterliggende idee daarvan is om fragmentatie tegen te gaan. Tot op heden zijn er echter geen minimumnormen terug te vinden.
Wel zijn er richtsnoeren voor de lokale besturen. Zo kan er onder meer worden verwezen naar de audit die gevoerd werd door Audit Vlaanderen waarin best practices en ook enkele kwetsbaarheden met betrekking tot de informatieveiligheid bij lokale besturen werden blootgelegd. Ethische hackers werden ingeschakeld om de veiligheid van de lokale besturen te testen. De conclusie was toen dat er werk aan de winkel was voor de lokale besturen.
De belangrijkste onbeheerste risico’s voor de informatiebeveiliging waren toen de volgende:
- Het maken van duidelijke afspraken en het toewijzen van verantwoordelijkheden;
- Audit Vlaanderen merkte hier op dat de verwachtingen tegenover de IT-verantwoordelijke onrealistisch zijn. Het is dus essentieel voor een goed beleid met betrekking tot informatieveiligheid dat de IT-verantwoordelijke ook wordt ondersteund. V-ICT-OR biedt dergelijke ondersteuning voor die verantwoordelijken via http://www.informatieveiligheid.be.
- Ook krijgen software- en IT-dienstenleveranciers te veel carte blanche. In die zin is het belangrijk om duidelijke afspraken te maken met de IT-leverancier en ook duidelijk de verantwoordelijkheden te definiëren. Dit dient onder meer te gebeuren in de opdrachtdocumenten wanneer dergelijke opdracht wordt aanbesteed. Ook hier bieden V-ICT-OR en Equator ondersteuning om dergelijke opdrachten met voldoende kennis van zaken op de markt te brengen. Al is er ook al werk verricht. In het licht van de AVG/GDPR wordt er zo onder meer gedacht aan de verwerkingsovereenkomsten die worden opgesteld tussen het lokaal bestuur als opdrachtgever en de IT-leverancier.
- De technische beveiliging van de IT-omgeving versterken;
- Toegangs- en gebruikersrechten op punt zetten en houden;
- Een degelijke toegangsbeveiliging is cruciaal om onrechtmatige toegang tot (gevoelige) informatie te voorkomen. De logische toegangs- en gebruikersrechten moeten steeds in overeenstemming zijn met de beleidsregels en met andere beheersmaatregelen zoals functiescheiding. Informatie moet afhankelijk van de gevoeligheid een passende bescherming krijgen. Dat geldt ook voor de bedrijfsmiddelen waarop deze informatie staat. Wanneer gebruikers vertrekken of van functie veranderen, moeten hun toegangs- en gebruikersrechten aangepast worden.
- Continuïteit garanderen en gepast omgaan met incidenten;
- Vaak valt op dat wanneer er een inbraak is op het IT-systeem, ook de werking wordt onderbroken. Men denke bijvoorbeeld aan systematische inbraken die ook worden verricht, zoals recent nog bij Picanol en X-Fab, waarbij de schade achteraf enorm bleek.
Om aan deze tekortkomingen tegemoet te komen, is zowel technische als juridische ondersteuning noodzakelijk. Audit Vlaanderen formuleerde de volgende mogelijke acties voor lokale besturen:
- Kies bewust voor de gewenste IT en informatiebeveiligingsgaranties;
- Zet als bestuur samen met je software- en IT-dienstenleveranciers het puntje op de i;
- Meer samenwerking tussen besturen;
- Meer samenwerking met alle actoren;
Samenwerking die ook V-ICT-OR en Equator vooropstellen en graag ondersteunen. Voor meer informatie kan u steeds terecht bij één van de auteurs.
Eddy Van der Stock, Voorzitter en CEO V-ICT-OR;
Alexander Verschave, advocaat Equator Advocaten en navorser UHasselt;
Simon Verhoeven, lead lawyer Equator Advocaten