Koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid

(Belgisch Staatsblad van 21 augustus 1993)

[gewijzigd bij het koninklijk besluit van 8 oktober 1998 (Belgisch Staatsblad van 24 december 1998), bij het koninklijk besluit van 17 maart 2013 (Belgisch Staatsblad van 22 april 2013) en bij het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)]

HOOFDSTUK I. DEFINITIES

Artikel 1.

Voor de toepassing van dit besluit wordt verstaan onder:

1° "wet" : de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid ;

2° "Kruispuntbank" : de Kruispuntbank van de sociale zekerheid;

[3° “informatieveiligheidscomité”: de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité bedoeld in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG; – vervangen bij artikel 1 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)]

4° "instelling" : de instellingen van sociale zekerheid bedoeld in artikel 2, eerste lid, 2°, van de wet, de Kruispuntbank, evenals de andere beheersinstellingen van een secundair netwerk;

5° "beheersinstelling van een secundair netwerk" : een instelling die een bijzonder repertorium van de personene bedoeld in artikel 6, tweede lid, 2°, van de wet bijhoudt;

6° “Minister”: de Minister die [de sociale zaken – vervangen bij artikel 1 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)] onder zijn bevoegdheid heeft;

[7° “verantwoordelijke voor het dagelijks bestuur”: de verantwoordelijke voor het dagelijks bestuur van een instelling of, indien het een federale overheidsdienst belast met de toepassing van de sociale zekerheid betreft, de voorzitter van het directiecomité of de directeur-generaal die door hem wordt aangewezen; – vervangen bij artikel 1 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)]

[8° “functionaris voor gegevensbescherming”: de persoon bedoeld in artikel 25 van de wet; – vervangen bij artikel 1 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)]

[9° “informatieveiligheid”: strategie, regels, procedures en middelen voor het beschermen van alle soorten informatie zowel in de transmissiesystemen als in de verwerkingssystemen om de vertrouwelijkheid de beschikbaarheid, de integriteit, de betrouwbaarheid, de authenticiteit en de onweerlegbaarheid ervan te garanderen. – vervangen bij artikel 10 van het koninklijk besluit van 17 maart 2013 (Belgisch Staatsblad van 22 april 2013)].

HOOFDSTUK II. DE INFORMATIEVEILIGHEIDSDIENSTEN VAN DE INSTELLINGEN

Art. 2.

Alle instellingen zijn ertoe gehouden een informatieveiligheidsdienst in te richten.

In afwijking van het eerste lid, kan het [informatieveiligheidscomité – vervangen bij artikel 2 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)], op hun aanvraag of op eigen initiatief, instellingen toestaan, onder de voorwaarden die het comité bepaalt, om de taken van de informatieveiligheidsdienst toe te vertrouwen aan een erkende gespecialiseerde veiligheidsdienst bedoeld in artikel 11.

Art. 3.

De informatieveiligheidsdienst heeft een adviserende, stimulerende, documenterende en controlerende opdracht.

De informatieveiligheidsdienst adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico’s niet voldoende ernstig zijn. Binnen de tijdspanne vereist door de omstandigheden, maar met een maximum van drie maanden, beslist de verantwoordelijke voor het dagelijks bestuur het advies al dan niet op te volgen en deelt hij de veiligheidsdienst de genomen beslissing mee. In geval de beslissing van een schriftelijk advies afwijkt, dient de mededeling ervan op een schriftelijk advies afwijkt, dient de mededeling ervan op een schriftelijke en gemotiveerde wijze te geschieden.

[De informatieveiligheidsdienst bevordert het naleven van de regels met betrekking tot de veiligheid van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van de personen op wie deze persoonsgegevens betrekking hebben, opgelegd door de regelgeving over de bescherming van de natuurlijke personen bij de verwerking van persoonsgegevens, en het aannemen van een veiligheidsgedrag bij de personen tewerkgesteld in de instelling. – vervangen bij artikel 3 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)]

De informatieveiligheidsdienst legt de nodige documentatie aan met betrekking tot de informatieveiligheid.

De informatieveiligheidsdienst ziet toe op de naleving binnen de instelling [van de regels met betrekking tot de veiligheid van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van de personen op wie deze persoonsgegevens betrekking hebben, opgelegd door de hogervermelde Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 of door elke andere geldende regelgeving – vervangen bij artikel 3 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)]. Alle vastgestelde inbreuken worden schriftelijk en uitsluitend aan de verantwoordelijke voor het dagelijks bestuur van de instelling meegedeeld, vergezeld van de nodige adviezen om dergelijke inbreuken in de toekomst te vermijden.

[Art. 4. De informatieveiligheidsdienst wordt geleid door de functionaris voor gegevensbescherming. De functionaris voor gegevensbescherming kan zich laten bijstaan door één of meer adjuncten.

Na hun aanstelling wordt de identiteit van de functionaris voor gegevensbescherming en zijn eventuele adjuncten in de instellingen, die tot een secundair netwerk behoren, meegedeeld aan de beheersinstelling van het betrokken secundair netwerk.

De functionarissen voor gegevensbescherming en hun eventuele adjuncten kunnen niet van deze functie worden ontheven wegens meningen die zij uiten of daden die zij stellen in het kader van de goede uitoefening van hun functie. – vervangen bij artikel 4 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)]

Art. 5.

De informatieveiligheidsdienst werkt onder het [gezag – vervangen bij artikel 5 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)] van de verantwoordelijke voor het dagelijks bestuur van de instelling.

Art. 6.

De informatieveiligheidsdienst dient een gedegen kennis te bezitten van de informatica-omgeving van de instelling en van de informatieveiligheid. Hij dient deze kennis permanent op peil te houden.

Art. 7.

De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een termijn van drie jaar, met aanduiding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren. Dit ontwerp wordt minstens eenmaal per jaar herzien en zo nodig aangepast. Het ontwerp van veiligheidsplan wordt beschouwd als een advies in de zin van artikel 3, tweede lid.

Art. 8.

De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur van de instelling jaarlijks een verslag op. Dit jaarverslag omvat minstens :

1° een algemeen overzicht van de veiligheidstoestand, de evolutie in het afgelopen jaar en de nog te realiseren doelstellingen;

2° een samenvatting van de schriftelijke adviezen die overgemaakt werden aan de verantwoordelijke voor het dagelijks bestuur en het gevolg dat eraan werd verleend;

3° een overzicht van de werkzaamheden verricht door de informatieveiligheidsdienst;

4° een overzicht van de resultaten van de controles uitgevoerd door de informatie-veiligheidsdienst met weergave van alle vastgestelde voorvallen die van aard waren de informatieveiligheid van de instelling of het netwerk in het gedrang te brengen;

5° de adviezen gericht aan de instelling door de erkende gespecialiseerde veilgheidsdienst bedoeld in artikel 11, waarbij de instelling is aangesloten, en het gevolg dat eraan werd verleend;

6° de adviezen van de werkgroep bedoeld in artikel 14, en het gevolg dat eraan werd verleend;

7° een overzicht van de gevoerde campagnes ter bevordering van de veiligheid;

8° een overzicht van alle gevolgde en de voorziene nog te volgen opleidingen.

Art. 9.

Onverminderd het bepaalde in artikel 3 heeft de informatieveiligheidsdienst van de Kruispuntbank daarenboven een adviserende opdracht inzake de beveiliging van de uitwisseling van de gegevens binnen het netwerk.

Art. 10.

De opdrachten van de informatieveiligheidsdienst bepaald in dit hoofdstuk hebben ook betrekking op de bewaring, de verwerking of de uitwisseling van sociale gegevens van persoonlijke aard die voor rekening van de betrokken ins telling geschieden door derden.

HOOFDSTUK III. DE GESPECIALISEERDE INFORMATIEVEILIGHEIDSDIENST

Art. 11.

Er wordt minstens één door de Minister erkende gespecialiseerde veiligheidsdienst opgericht ter ondersteuning van de instellingen bij de uitvoering van hun taken inzake de informatieveiligheid.

Om te kunnen worden erkend moet een gespecialiseerde veiligheidsdienst voldoen aan de volgende voorwaarden :

1° opgericht zijn in de schoot of in de vorm [van een vereniging zonder winstoogmerk bedoeld in de wet van 27 juni 1921 betreffende de verenigingen zonder winstoogmerk, de stichtingen en de Europese politieke partijen en stichtingen – vervangen bij artikel 6 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)], die enkel instellingen als werkende leden heeft;

2° uitsluitend belast zijn met opdrachten die betrekking hebben op de informatieveiligheid binnen de sociale zekerheid;

3° voldoen aan de tariefregelen, in de mate dat deze zijn vastgesteld door de Minister.

Het [informatieveiligheidscomité – vervangen bij artikel 2 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)] ziet toe op de onafhankelijkheid en de werking van de erkende gespecialiseerde veiligheidsdiensten.

Art. 12.

De erkende gespecialiseerde veiligheidsdienst heeft onder meer tot opdracht:

1° de terbeschikkingstelling aan de instellingen van specialisten in informatie-veiligheid;

2° het verlenen van deskundige adviezen aan de instellingen of het [informatieveiligheidscomité – vervangen bij artikel 2 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)], indien deze hierom vragen;

3° het organiseren van vorming inzake informatieveiligheid ten behoeve van de instellingen;

4° het ondersteunen en begeleiden van promotiecampagnes inzake informatieveiligheid;

5° de uitvoering van de taken beschreven onder Hoofdstuk II ten behoeve van de instellingen die overeenkomstig artikel 2, tweede lid, geen informatieveiligheidsdienst hebben opgericht

6° het uitvoeren van externe controles en gedetailleerde onderzoeken naar de veiligheidstoestand van de instellingen op vraag van de betrokken instelling of van het [informatieveiligheidscomité – vervangen bij artikel 2 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)].

Art. 13.

Elke instelling mag, m.b.t. alle aspecten van de informatieveiligheid, slechts beroep doen op de diensten van één enkel erkende gespecialiseerde veiligheidsdienst.

[Art. 13 bis.

Indien een vereniging opgericht in uitvoering van artikel 17bis van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid erkend is als gespecialiseerde veiligheidsdienst in uitvoering van artikel 11, kunnen alle instellingen deelnemen aan dergelijke vereniging om beroep te doen op de diensten die krachtens dit koninklijk besluit worden toevertrouwd aan een erkende gespecialiseerde veiligheidsdienst. – ingevoegd bij artikel 1 van het koninklijk besluit van 8 oktober 1998 (Belgisch Staatsblad van 24 december 1998)]

HOOFDSTUK IV. DE WERKGROEP INZAKE INFORMATIEVEILIGHEID

Art. 14.

In de schoot van het Algemeen Coördinatiecomité van de Kruispuntbank wordt een werkgroep inzake informatieveiligheid opgericht. Deze werkgroep wordt voorgezeten door de [functionaris voor gegevensbescherming – vervangen bij artikel 7 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)] van de Kruispuntbank en bestaat voor het overige uit de [functionarissen voor gegevensbescherming – vervangen bij artikel 7 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)] van de beheersinstellingen van een secundair netwerk en van de instellingen die niet tot een secundair netwerk behoren, evenals uit één [functionaris voor gegevensbescherming – vervangen bij artikel 7 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)] gekozen binnen de schoot van elke subwerkgroep bedoeld in het tweede lid.

In de schoot van elke beheersinstelling van een secundair netwerk wordt bovendien een subwerkgroep inzake informatieveiligheid opgericht. Die subwerkgroep wordt voorgezeten door de [functionaris voor gegevensbescherming – vervangen bij artikel 7 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)] van deze instelling en bestaat voor het overige uit de [functionarissen voor gegevensbescherming – vervangen bij artikel 7 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)] van de instellingen die behoren tot het secundair netwerk beheerd door deze instelling, evenals uit een lid van de informatieveiligheidsdienst van de Kruispuntbank.

De werkgroep en de subwerkgroepen komen zoveel bijeen als nodig is na oproeping door hun voorzitter.

De werkgroep en de subwerkgroepen zijn belast met de coördinatie en de communicatie tussen de informatieveiligheidsdiensten van de erin vertegenwoordigde instellingen.

De werkgroep inzake informatieveiligheid is meer bepaald belast met :

1° de voorbereiding van minimumnormen m.b.t. de fysieke en logische informatieveiligheid;

2° de voorbereiding van een controlelijst voor de evaluatie van de naleving van de minimumnormen inzake fysieke en logische informatieveiligheid;

3° adviesverstrekking aan het [informatieveiligheidscomité – vervangen bij artikel 2 van het koninklijk besluit van 21 december 2018 (Belgisch Staatsblad van 16 januari 2019)] inzake informatieveiligheid.

HOOFDSTUK V. OVERGANGS EN SLOTBEPALINGEN

Art. 15.

Het eerste jaarverslag waarvan sprake in artikel 8, wordt overgemaakt binnen de 12 maanden na de inwerkingtreding van dit besluit.

Art. 16.

Dit besluit treedt in werking de eerste dag van de derde maand volgend op die gedurende welke het in het Belgisch Staatsblad wordt bekendgemaakt.

In afwijking van het eerste lid zal de datum waarop dit besluit in werking treedt voor de openbare instellingen die niet uitsluitend ressorteren onder de federale overheid, later worden bepaald.

Art. 17.

Onze Minister van Pensioenen, Onze Minister van Tewerkstelling en Arbeid, Onze Minister van de Kleine en Middelgrote Ondernemingen en Onze Minister van Sociale Zaken zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.