Veelgestelde vragen - Informatieveiligheidsconsulent

Wie moet een informatieveiligheidsconsulent aanstellen?

De verplichting tot het aanstellen van een veiligheidsconsulent wordt in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (e-governmentdecreet), vastgelegd voor elke instantie die:

persoonsgegevens verwerkt;
authentieke gegevensbron beheert;
tussenkomt bij mededeling van persoonsgegevens;
ondersteunt bij gebruikers- en toegangsbeheer.

De veiligheidsconsulent moet aangesteld worden door de directie, dagelijkse leiding van de organisatie. De veiligheidsconsulent moet ook rapporteren aan de directie.

Moet een advies gevraagd worden aan de Vlaamse Toezichtcommissie omtrent de aanstelling van een veiligheidsconsulent?

Een veiligheidsconsulent (of zijn adjuncten) wordt pas aangesteld na gunstig advies van de Vlaamse Toezichtcommissie. U kunt de adviesvraag richten aan de Vlaamse Toezichtcommissie via het daarvoor ontworpen formulier(externe link).
Er moet geen advies over de aanstelling van de veiligheidsconsulent gevraagd worden aan de Vlaamse Toezichtcommissie als de persoon in kwestie al is aangewezen als consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer overeenkomstig artikel 10 en 16 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen of overeenkomstig artikel 4, §5, of artikel 24, 25 en 46 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid.

Welke elementen beoordeelt de Vlaamse Toezichtcommissie in haar advies over de aanstelling van een veiligheidsconsulent?

Voor de toezichtcommissie advies uitbrengt, gaat ze na of de kandidaat:

voldoende gevormd is om zijn functie van veiligheidsconsulent uit te oefenen;
over de vereiste tijd beschikt om zijn veiligheidsopdrachten uit te voeren;
geen activiteiten uitoefent die onverenigbaar zijn met de functie van veiligheidsconsulent.
Meer duiding vindt u in de antwoorden op onderstaande vragen.

Welke zijn de opdrachten en de rol van een veiligheidsconsulent?

Over het algemeen heeft de dienst belast met de informatieveiligheid een adviserende, stimulerende, documenterende en controlerende opdracht m.b.t. informatieveiligheid. De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico's niet voldoende ernstig zijn.

Het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten geeft uitvoering aan artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (e-governmentdecreet), nl. het bepalen van de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. De Memorie van Toelichting bij het voornoemde artikel 9 van het e-governementdecreet verduidelijkt dat bij de verdere omschrijving van de taken van de veiligheidsconsulenten de strengste voorwaarden die bij de Kruispuntbank van de Sociale Zekerheid (KSZ) gelden, eveneens voor de Vlaamse veiligheidsconsulenten zullen gelden. Vandaar dat in het specifieke uitvoeringsbesluit de bepaling van de opdrachten en de aanwijzingsvereisten zijn omschreven naar analogie met de KSZ-wet van 15 januari 1990 en het KB van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid.

De veiligheidsconsulent zal er op toezien dat de verschillende verantwoordelijkheden inzake veiligheid (preventie, toezicht, opsporing en verwerking) duidelijk in kaart zijn gebracht en dat de personen belast met de veiligheid in alle onafhankelijkheid kunnen handelen en ervan gevrijwaard blijven dat ze voor persoonlijke- of tegenstrijdige belangen onder druk worden gezet. Rechtstreeks rapporterend aan de directie van de instelling, moet hij kunnen beschikken over voldoende middelen (tijd, human ressources, uitrusting en budget) en vrijuit toegang hebben tot de informatie die noodzakelijk is voor zijn functie en voor zover hij binnen het kader van het veiligheidsbeleid blijft.

De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een termijn van drie jaar, met vermelding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren.

Welke kennis moet een informatieveiligheidsconsulent hebben?

De veiligheidsconsulent bezit een gedegen kennis van de informaticaomgeving van de instantie of de entiteit in kwestie en van de informatieveiligheid. Hij houdt die kennis permanent op peil. Artikel 2, §2, van het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten bepaalt de criteria waarmee rekening wordt gehouden:

Is de kandidaat voldoende gevormd?
De veiligheidsconsulent hoeft geen informaticus te zijn, maar dient wel een goede kennis van informatica en informatieveiligheid te bezitten door het volgen van opleidingen of door werkervaring.
Beschikt de kandidaat over voldoende tijd om de specifieke opdrachten van de functie te vervullen?
Oefent de kandidaat geen activiteiten uit die onverenigbaar zijn met de functie van veiligheidsconsulent?

Hoeveel tijd moet de informatieveiligheidsconsulent besteden aan zijn opdracht?

De VTC vraagt standaard een minimale tijdsbesteding van 4 uur per week per organisatie. Voor grotere organisaties (bv. een grote stad) of organisaties waar de informatieveiligheidsproblematiek dat vraagt, kan dat gaan tot een voltijdse tewerkstelling.
De 4 uur per week wordt dus ook als minimum gevraagd aan de lokale besturen. Als gemeente en OCMW dezelfde infrastructuur gebruiken en samen een informatieveiligheidsconsulent aanstellen, wordt 6 uur per week aanvaard.
Een afwijking van het principe van 4 uur per week (tot 3 uur) kan slechts bij uitzonderlijke, bij voorkeur tijdelijke, omstandigheden en een zeer goede motivatie die verwijst naar reeds gedane inspanningen op het vlak van informatieveiligheid.

Welke functies zijn onverenigbaar met de functie van informatieveiligheidsconsulent?

Het is niet mogelijk een exhaustieve lijst te geven van functies die onverenigbaar zijn met de functie van veiligheidsconsulent. Het is aangewezen geval per geval te evalueren, rekening houdend met de specificiteit van elke instelling. Het principe dat wordt toegepast is dat een persoon niet tegelijk controleur en gecontroleerde mag zijn. Onderstaande functies zijn niet compatibel met deze van veiligheidsconsulent: hoofd van de informaticadienst, coördinator informatisering, hoofd van de personeelsdienst, … in het algemeen de verantwoordelijke van de betrokken dienst.

Zijn er deontologische regels waartoe de informatieveiligheidsconsulent gehouden is?

Een aantal deontologische regels voor de informatieveiligheidsconsulent werden uitgewerkt door de Kruispuntbank van de Sociale Zekerheid (KSZ) in een ethische gedragscode. Deze code beoogt een grotere waardering te geven aan de functie van veiligheidsconsulent en omvat deontologische regels m.b.t. onder meer:

zijn objectiviteit, onpartijdigheid en onafhankelijkheid;
zijn professionele ingesteldheid;
zijn loyaliteit ten opzichte van zijn werkgever;
het interdisciplinair en vertrouwelijk karakter van zijn functie.

De code(externe link) kunt u raadplegen op de website van de kruispuntbank van de Sociale Zekerheid.

Mogen gemeente en OCMW eenzelfde persoon als informatieveiligheidsconsulent aanduiden?

Ja. Deze persoon zal wel twee verschillende veiligheidsplannen moeten opmaken, een voor de gemeente en een voor het OCMW.

Als gemeente en OCMW dezelfde infrastructuur gebruiken en samen een informatieveiligheidsconsulent aanstellen, wordt 6 uur per week aanvaard als tijdsbesteding.
(externe link)
Meer informatie omtrent het optreden van een veiligheidsconsulent voor gemeente en OCMW vindt u op de website van de Kruispuntbank van de Sociale Zekerheid (KSZ)(externe link).
Bijkomende informatie vindt u in de rubriek ‘FAQ veiligheid en privacy’ op de website van de KSZ(externe link).