Privacyverklaring

De stad Sint-Truiden is sterk begaan met de veiligheid en privacy van de door hun gebruikte informatie van en voor hun burgers, cliënten en medewerkers in het kader van haar wettelijke opdrachten en bestuurlijke dienstverlening.

De stad Sint-Truiden is zich bewust van de vigerende wetgeving en reguleringen. Zoals de richtlijnen van de Privacycommissie, betreffende de bescherming van de persoonsgegevens van inwoners en de Europese Algemene Verordening Gegevensbescherming  (27 april 2016).   De Stad Sint-Truiden erkent het belang van deze regulering en streeft er dan ook naar om de persoonsgegevens en privacy van haar burgers, cliënten en medewerkers zo goed mogelijk te beschermen tegen ongeauthoriseerde handelingen.

Om deze bescherming te garanderen heeft de stad Sint-Truiden volgende maatregelen genomen:

1. ALGEMEEN
Onder informatiebeveiliging verstaan we het treffen en onderhouden van een samenhangend pakket van maatregelen om de kwaliteit van de informatievoorziening te garanderen.

De kwaliteit van informatievoorziening bestaat uit volgende aspecten:
-Beschikbaarheid: de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar zijn voor gebruikers;
-Integriteit: de mate waarin gegevens of de functionaliteit juist en volledig ingevuld zijn;
-Vertrouwelijkheid: de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn.

Informatiebeveiliging is een belangrijke beleidsverantwoordelijkheid van het bestuur. Met dit beleidsdocument hebben we de ambitie om onze informatieveiligheid structureel naar een hoger niveau te brengen en daar te houden. Dit wordt in de eerste plaats bewerkstelligd door het informatieveiligheidsbeleid en de organisatie van de beveiligingsfunctie duidelijk te beschrijven en vast te stellen.

Immers, ook in een lokaal bestuur is er sprake van een toenemende afhankelijkheid van informatie en computersystemen, waardoor nieuwe kwetsbaarheden en risico’s kunnen optreden. Het is daarom van belang hiertegen adequate maatregelen te nemen. Onvoldoende informatiebeveiliging kan leiden tot onacceptabele risico’s. Incidenten en inbreuken op processen kunnen daarnaast leiden tot financiële schade en imagoverlies.

2. REIKWIJDTE VAN HET BELEID 
Bij het lokaal bestuur Sint-Truiden wordt informatiebeveiliging breed geïnterpreteerd.

Dit beleid geldt voor:
- Alle personeelsleden, zowel interne als externe medewerkers, met inbegrip van het personeel dat ter beschikking gesteld wordt, zowel voor onbepaalde als bepaalde duur (bv. consultants, leveranciers, …)
- Alle natuurlijke personen of rechtspersonen die gebruik maken van of toegang krijgen tot al dan niet vertrouwelijke informatie, al dan niet voor rekening van de organisatie.
- Alle bedrijfsmiddelen en het gebruik ervan binnen de organisatie, zoals elektronische databanken, informatie ongeacht de drager ervan, netwerken, informatiesystemen, software, verwerkingscentra, …
- Alle verwerkingsactiviteiten.

3. BELEIDSPRINCIPES INFORMATIEBEVEILIGING
Informatieveiligheid beoogt de instandhouding en de goede werking van de activiteiten van het bestuur en is hoofdzakelijk gericht op het voorkomen van schade. Dat houdt onder meer in dat er een driejaarlijkse planning- en controlecyclus is. Hierin worden plannen opgesteld en uitgevoerd. De resultaten ervan worden geëvalueerd en vertaald naar nieuwe driejaarlijkse plannen.

Het streefdoel is een gezond evenwicht tussen een aantal preventieve maatregelen (om beveiligingsincidenten te voorkomen) en correctieve maatregelen (om de negatieve gevolgen van incidenten te beperken). In dit beleid worden de basisprincipes van het bestuur inzake informatiebeveiliging beschreven.

Het lokaal bestuur hanteert de volgende beleidsprincipes:
- De beveiliging dient te voldoen aan de relevante wet- en regelgeving, in het bijzonder aan Europese AVG/ GDPR, de federale privacywet en alle navolgende wet- en regelgevingen.
- Er is een functionaris gegevensbescherming aangesteld in het lokaal bestuur. De functionaris gegevensbescherming stelt het informatieveiligheidsbeleid en -plan op, ziet organisatiebreed toe op de naleving ervan en daaruit voortvloeiende maatregelen, zorgt voor onderzoek, voert controles uit, adviseert in complexe beveiligingsvraagstukken, initieert risicoanalyses en vervult een adviserende rol naar de algemeen directeur en het bestuur (zie ook punt 5).
- Er is een informatieveiligheidscel opgericht. In deze cel zit de algemeen directeur, de functionaris gegevensbescherming en alle belanghebbende stakeholders. De informatieveiligheidscel ziet toe op de uitvoering van het veiligheidsbeleid.
- Eigendom van informatie:  Het lokaal bestuur is als rechtspersoon eigenaar van de informatie die onder haar verantwoordelijkheid wordt geproduceerd, tenzij dit anders is overeengekomen (bijv. voor onderzoek). Medewerkers dienen goed geïnformeerd te zijn over de regelgeving voor het (her)gebruik van deze informatie.
- Waardering van informatie: Iedereen behoort de waarde van informatie te kennen en daarnaar te handelen. Deze waarde wordt bepaald door de schade als gevolg van verlies van beschikbaarheid, integriteit en vertrouwelijkheid. Classificatie kan hierbij behulpzaam zijn; zie punt 4.
- Informatiebeveiliging is ieders verantwoordelijkheid. Van medewerkers, mandatarissen en derden (zie punt 2) wordt er verwacht dat ze actief bijdragen aan de veiligheid van geautomatiseerde systemen en de daarin opgeslagen informatie. Niet acceptabel is dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies. De organisatie ondersteunt medewerkers met een organisatiebrede gedragscode, met periodieke bewustwordingscampagnes, et cetera. Het opleggen van sancties na overtredingen maakt het geheel geloofwaardig.
- Informatiebeveiliging vergt een continue aandacht: Regelmatige evaluatie van beleid en audits geven hierin ondersteuning. Technologische en organisatorische ontwikkelingen binnen en buiten de instelling maken het noodzakelijk om periodiek te evalueren of de beveiliging kan waarborgen. Audits maken het bovendien mogelijk het beleid en de genomen maatregelen te controleren op efficiëntie. Bij projecten, zoals infrastructurele wijzigingen of de aanschaf van nieuwe systemen, wordt vanaf de start rekening gehouden met informatiebeveiliging.

4. CLASSIFICATIE
Bij het lokaal bestuur zullen alle gegevens waarop dit informatieveiligheidsbeleid van toepassing is, worden geclassificeerd. Het veiligheidsniveau van de beveiligingsmaatregelen is afhankelijk van de klasse.
Voor vertrouwelijkheid en integriteit wordt de volgende indeling gevolgd:
- Anonieme gegevens: Dit zijn gegevens die niet in verband kunnen gebracht worden met een geïdentificeerde of identificeerbare persoon en zijn dus geen persoonsgegevens;
- Persoonsgegevens: Een persoonsgegeven is iedere informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon;
- Gevoelige persoonsgegevens: Het gaat om gegevens over ras, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, lidmaatschap van een vakvereniging, gezondheid, seksuele leven, verdenkingen, vervolgingen, strafrechtelijke of bestuurlijke veroordelingen. Het is in principe verboden om dergelijke gegevens te verwerken;
- Gecodeerde al dan niet gevoelige persoonsgegevens: Dit zijn persoonsgegevens die slechts door middel van een code in verband kunnen gebracht worden met een geïdentificeerde of identificeerbare persoon.

5. BEVOEGDHEDEN
Volgende verantwoordelijkheden en rollen m.b.t. informatieveiligheid zijn van toepassing in het
lokaal bestuur.
a) Het college van burgemeester en schepenen / vast bureau:
- Stelt het informatieveiligheidsbeleid vast;
- Stelt het informatieveiligheidsplan vast;
- Legt het budget informatieveiligheid voor ter goedkeuring aan de raden.
b) De algemeen directeur:
De algemeen directeur staat als verantwoordelijke voor het dagelijks bestuur in voor de naleving en toepassing van de informatiebeveiliging binnen de organisatie.
De algemeen directeur zorgt ervoor dat het informatieveiligheidsbeleid de missie/visie van het lokaal bestuur ondersteunt en benadrukt het belang van de informatieveiligheid binnen de organisatie en de verplichting om de voorwaarden van dit beleid na te leven. Hierbij: 
- Is de algemeen directeur het aanspreekpunt voor de functionaris gegevensbescherming (Data Protection Officer);
- Krijgt hij/zij jaarlijks een verslag van de functionaris gegevensbescherming over de toepassing van het beleid.
c) Het managementteam:
- Staat in voor de naleving en toepassing van de informatieveiligheid binnen de organisatie;
- Zorgt ervoor dat het informatieveiligheidsbeleid de missie/visie van het lokaal bestuur ondersteunt;
- Benadrukt het belang van de informatieveiligheid binnen de organisatie en de verplichting om de voorwaarden van dit beleid na te leven;
- Volgt jaarlijks het informatieveiligheidsbeleid en de uitvoering ervan (het actieplan) op
- Is verantwoordelijk voor het organisatiebeheersingssysteem waar informatiebeveiliging deel van uitmaakt.
d) De informatieveiligheidscel:
- Stuurt het veiligheidsbeleid binnen de organisatie in nauw overleg met de DPO en de algemeen directeur;
- Staat in nauw contact met het managementteam en vertaalt het informatieveiligheidsbeleid en de informatieveiligheidsmaatregelen naar en van het managementteam;
- Bespreekt, evalueert en neemt concrete maatregelen bij informatieveiligheidsincidenten;
- Neemt concrete maatregelen voor de naleving en toepassing van de informatieveiligheid binnen de organisatie;
- Volgt op reguliere tijdstippen het informatieveiligheidsbeleid en de uitvoering ervan (het actieplan) op;
- Handhaaft de informatieveiligheidsmaatregelen;
- Volgt en stuurt de werking van de DPO en de interne informatieveiligheidsmedewerker(s).
e) Functionaris gegevensbescherming
De functionaris gegevensbescherming (of Data Protection Officer (DPO)) heeft de adviserende, stimulerende, documenterende en controlerende opdracht in het kader van de informatieveiligheid
na aanstelling door het lokaal bestuur. Er is een nauwe samenwerking tussen de DPO en beleidsmedewerkers van het lokaal bestuur voor de uitvoering van zijn taken.
De DPO blijft de expert voor de organisatie op het vlak van informatieveiligheid, maar er worden onderling afspraken gemaakt om het informatieveiligheidsbeleid in de organisatie uit te rollen.
Volgende taken dient de DPO uit te voeren (in samenwerking met de beleidsmedewerkers):
- Adviseert de algemeen directeur, of op zijn/haar verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico’s onvoldoende ernstig zijn.
- Licht op reguliere tijdstippen de algemeen directeur en de informatieveiligheidscel in, of op hun verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. In samenspraak wordt het informatieveiligheidsbeleid en de concrete maatregelen uitgewerkt.
- Bevordert de naleving van de veiligheidsvoorschriften opgelegd vanuit de regelgeving en draagt bij tot het bewustzijn van de medewerkers omtrent het belang van informatieveiligheid.
- Stimuleert onder goedkeuring van de algemeen directeur in samenwerking met de informatieveiligheidscel de implementatie, opvolging en evaluatie van de informatieveiligheid binnen de organisatie.
- Legt de nodige documentatie aan met betrekking tot de informatieveiligheid.
- Ziet toe op de naleving binnen het lokaal bestuur van de veiligheidsvoorschriften opgelegd door of krachtens een wets- of reglementsbepaling. Alle vastgestelde inbreuken worden schriftelijk en uitsluitend aan de algemeen directeur medegedeeld, vergezeld van de nodige
adviezen om dergelijke inbreuken in de toekomst te vermijden.
- Stelt jaarlijks een verslag op voor de algemeen directeur over de maturiteit van het informatieveiligheidsbeleid.
f) Intern aanspreekpunt informatieveiligheid
- Werkt in nauwe samenwerking met de functionaris gegevensbescherming en de informatieveiligheidscel aan de uitwerking en implementatie van het informatieveiligheidsbeleid.
- Heeft een administratief controlerende opdracht in het kader van de informatieveiligheid. Er is een nauwe samenwerking tussen de functionaris gegevensbescherming en beleidsmedewerkers van het lokaal bestuur voor de uitvoering van zijn taken. De
functionaris gegevensbescherming blijft de expert voor de organisatie op het vlak van informatieveiligheid, maar er worden onderling afspraken gemaakt om het informatieveiligheidsbeleid in de organisatie uit te rollen.
g) ICT-deskundige(n)
In de praktijk zijn het ICT-beleid en het informatieveiligheidsbeleid sterk met elkaar verweven. De ICT-deskundige is daarom in de dagelijkse werking een belangrijke actor in de realisatie op het werkveld van een afdoend informatieveiligheidsbeleid. De ICT-deskundige zorgt voor de effectieve, praktische vertaling van de richtlijnen in de dagelijkse werking omtrent ICT. Bij het bepalen van het beleid en de geschikte beheersmaatregelen wordt de ICT-deskundige betrokken.
h) De medewerkers
Elke medewerker wordt geacht de richtlijnen en procedures die van kracht zijn op het vlak van informatieveiligheid en die uit het beleid voortvloeien, na te leven. Hij/zij moet bovendien de DPO op de hoogte brengen van iedere schending van de veiligheidsmaatregelen waarvan hij getuige zou zijn en van iedere onregelmatigheid die de beveiliging van de bedrijfsmiddelen zou kunnen teniet doen.

 

6. DOCUMENTEN INFORMATIEBEVEILIGING
In het kader van informatiebeveiliging worden de volgende documenten en resultaten opgeleverd:
- Het informatieveiligheidsbeleid:
Het beleid ligt ten grondslag aan de aanpak van informatiebeveiliging binnen de organisatie. Het wordt vastgelegd in een informatieveiligheidsverklaring en legt de voorwaarden en verantwoordelijkheden vast. Het informatieveiligheidsbeleid wordt opgemaakt door de functionaris gegevensbescherming.
- Het informatieveiligheidsplan:
Het informatieveiligheidsplan beschrijft de maatregelen die nodig zijn om een minimaal niveau van informatiebeveiliging te kunnen waarborgen. Als er systemen zijn die na een risicoanalyse hogere eisen nodig hebben dan worden deze genomen. Het informatieveiligheidsplan wordt opgemaakt door de functionaris gegevensbescherming, goedgekeurd door de informatieveiligheidscel en voorgelegd aan het college van burgemeester en schepenen / vast bureau.
- Risicoanalyses en audits:
Periodieke evaluatie van de risico’s van systemen is noodzakelijk om vast te stellen of het gekozen pakket maatregelen nog steeds voldoet aan de gewijzigde omstandigheden omdat bedreigingen in de loop der tijd kunnen veranderen. Informatiesystemen en/of de organisatie kunnen inmiddels zijn aangepast en maatregelen werken wellicht anders uit dan oorspronkelijk bedoeld. De risicoanalyses worden besproken met de systeemeigenaren. De functionaris gegevensbescherming adviseert het bestuur over de gepaste maatregelen. De risicoanalyses worden gemaakt onder verantwoordelijkheid van de functionaris gegevensbescherming en eventueel in samenwerking met externe firma’s.
- Incidentregistratie:
Een actuele en betrouwbare registratie van incidenten is een essentiële randvoorwaarde voor een goed beleid. De systeembeheerders en diensthoofden registreren incidenten via de vastgelegde procedure. De evaluatie hiervan draagt bij aan een mogelijke aanscherping van het informatieveiligheidsplan. Alle incidenten worden gemeld aan de informatieveiligheidscel en de functionaris gegevensbescherming/DPO.
In het informatieveiligheidsplan staat welke soort incidenten in een rapportage moeten worden opgenomen, zoals bijvoorbeeld:
*Niet verklaarbare onregelmatigheden in logfiles van systemen en applicaties;
*Verlies van een informatiebron;
*Ongeplande uitval van informatiesystemen langer dan 1 dag waarvan de systeembeheerder oordeelt dat dit een incident is;
*inbraak op een systeem (of vermoeden van);
*misbruik van een systeem of gegevens door een legitieme gebruiker (of vermoeden van).
Incidenten worden besproken en geëvalueerd in de informatieveiligheidscel.
- Verwerkingsregister
Met het oog op een structureel veiligheidsbeleid voorziet het lokaal bestuur Sint-Truiden in een register van verwerkingen. Dit verwerkingsregister omvat per sector alle verwerkingen waarbij persoonsgegevens worden verwerkt, de doeleinden van de verwerking, de wettelijke basis, de organisaties waarmee die gegevens worden uitgewisseld, de externe verwerkers en de softwaretoepassingen en leveranciers.
Dit register wordt eveneens gebruikt als basis bij vragen door burgers voor inzage van zijn/haar
persoonsgegevens.
Dit register wordt jaarlijks geüpdatet.

Lokaal bestuur Sint-Truiden heeft een incidenten- en meldingsomgeving opgezet via het bestaande burgermeldsysteem en het e-mailadres privacy@sint-truiden.be. Via deze kanalen kan elke burger, cliënt en medewerker vragen stellen omtrent de bescherming van zijn/haar informatie. Deze kanalen kunnen ook gebruikt worden om incidenten omtrent privacy en informatieveiligheid te melden. Deze privacyverklaring werd goedgekeurd door het college van burgemeester en schepenen van de stad Sint-Truiden op 25 juni 2021, alsook door het vast bureau van het OCMW. De heer Maarten Nicolaï (dpo@c-smart.be) werd ook aangesteld als functionaris gegevensbescherming.