Overslaan en naar de inhoud gaan
chat-altchatcrossloginquestion-circlesearchsmileystarthumbup-downwarning
Vlaanderen
Contacteer ons
    Terug naar overzicht Stuur een e-mail

    Stuur een e-mail naar 1700, de informatiedienst voor al uw vragen aan de overheid.
    U ontvangt een kopie van uw bericht.

    Terug naar overzicht Chat met ons
    Uw chatgesprek wordt automatisch gestart zodra er een medewerker beschikbaar is.
    Even geduld, uw positie in de wachtrij wordt bepaald.

    Minimale beoordelingscriteria inzake informatieveiligheid

    Vlaamse Toezichtcommissie

    16 december 2022

    Zoals bekend is elke verantwoordelijke en elke verwerker van persoonsgegevens verplicht om maatregelen te treffen waarmee een gepast niveau van veiligheid kan worden verzekerd.

    Bij de controle van meldingen van gegevenslekken stelt de VTC vast dat incidenten zeer vaak integraal vermeden hadden kunnen worden of dat minstens de impact ervan sterk gereduceerd had kunnen worden, door de implementatie van relatief rudimentaire en gangbare veiligheidsmaatregelen.

    Er blijkt vaak onvoldoende besef te zijn van de enorme risico-reducerende rol die dergelijke maatregelen kunnen spelen om de burgers te beschermen, en om het functioneren van overheidsdiensten te verzekeren.

    Om die reden zal de VTC toekomstige meldingen van gegevenslekken mede beoordelen aan de hand van de beschermingsmaatregelen die gepubliceerd werden door CERT.be:

    • Zorg voor een business continuity and recovery plan met een getest back-up-systeem.
    • Bij back-ups wordt de 3-2-2 regel aanbevolen: voorzie 3 back-ups waarvan er 2 lokaal bewaard worden op 2 verschillende dragers en waarvan er 2 elders bewaard worden (1 op een andere locatie en 1 in de cloud*).
    • Zorg voor MFA/2FA op alle externe toegangen.
    • Voorzie netwerksegmentatie.
    • Voorzie een plan voor logging en monitoring en back-ups van de log servers.
    • Voorzie regelmatige updates om kwetsbaarheden snel te verhelpen.
    • Voor grote bedrijven en organisaties is een gespecialiseerde business anti-ransomware oplossing aanbevolen.
    • Zorg dat je organisatie voorbereid is op een cyberaanval.
    • Laat je IT security architecture & policy nakijken door een specialist.
    • Maak werk van een cybersecurity strategie

    * mits naleving van de richtlijnen van de VTC i.v.m. cloud

    Met name voor het voorkomen en bestrijden van phishing- en ransomware-aanvallen zijn deze maatregelen cruciaal.

    De VTC beschouwt deze lijst als een minimumvereiste waaraan alle verantwoordelijke Vlaamse instanties zouden moeten voldoen. Inbreuken op deze lijst zullen dan ook beschouwd worden als een sterke indicatie van nalatigheid, en van een inbreuk op de GDPR. De VTC wijst erop dat de implementatie van redelijke veiligheidsmaatregelen niet louter een beleidskeuze is, maar een juridische verplichting. Nalatigheid inzake informatieveiligheid kan ook aanleiding geven tot de aansprakelijkheid van de instantie en eventueel zelfs beleidsverantwoordelijken ten aanzien van de betrokkenen en andere partijen die schade lijden.

    Voor vragen over deze maatregelen of over de implementatie ervan raadt de VTC Vlaamse instanties aan om zich in eerste orde te wenden tot hun functionaris voor gegevensbescherming (DPO), waarover elke Vlaamse instantie beschikt en die over de gepaste expertise beschikt om u te adviseren over noodzakelijke aanpassingen en investeringen.

    Terug naar beginpagina