← Retour vers "Directive contraignante commune des Ministres de la Justice et de l'Intérieur relative aux mesures nécessaires
en vue d'assurer la gestion et la sécurité dont notamment les aspects relatifs à la fiabilité, la confidentialité,
la disponibilité, la t A
Mesdames et Messieurs les Bourgmestres, Au Commissaire général de la police fédérale. Pour (...)"
| Directive contraignante commune des Ministres de la Justice et de l'Intérieur relative aux mesures nécessaires en vue d'assurer la gestion et la sécurité dont notamment les aspects relatifs à la fiabilité, la confidentialité, la disponibilité, la t A Mesdames et Messieurs les Bourgmestres, Au Commissaire général de la police fédérale. Pour (...) | Gemeenschappelijke dwingende richtlijn van de Ministers van Justitie en van Binnenlandse Zaken met betrekking tot de maatregelen die nodig zijn om het beheer en de veiligheid, waaronder in het bijzonder de aspecten met betrekking tot de betrouwbaar Aan de Dames en Heren Burgemeesters, Aan de Commissaris-generaal van de federale politie. Ter(...) |
|---|---|
| SERVICE PUBLIC FEDERAL JUSTICE Directive contraignante commune des Ministres de la Justice et de l'Intérieur relative aux mesures nécessaires en vue d'assurer la gestion et la sécurité dont notamment les aspects relatifs à la fiabilité, la confidentialité, la disponibilité, la traçabilité et l'intégrité des données à caractère personnel et des informations traitées dans les banques de données visées à l'article 44/2 de la Loi sur la Fonction de Police A Mesdames et Messieurs les Bourgmestres, Au Commissaire général de la police fédérale. Pour information à : Mesdames et Messieurs les Procureurs généraux, Madame et Messieurs les Gouverneurs de province, Monsieur le Ministre-Président de la Région de Bruxelles-Capitale, Monsieur le Procureur fédéral et Mesdames et Messieurs les Magistrats du parquet fédéral, Mesdames et Messieurs les Commissaires d'arrondissement, Monsieur le Président de la Commission Permanente de la police locale, Mesdames et Messieurs les Chefs de corps de la police locale, Madame et Messieurs les Présidents de l'Organe de contrôle de l'information policière, du Comité permanent de contrôle des services de police et de l'Inspection générale de la police fédérale et de la police locale. Madame le Bourgmestre, Monsieur le Bourgmestre, Monsieur le Commissaire général, I. CADRE LEGAL ET CHAMP D'APPLICATION | FEDERALE OVERHEIDSDIENST JUSTITIE Gemeenschappelijke dwingende richtlijn van de Ministers van Justitie en van Binnenlandse Zaken met betrekking tot de maatregelen die nodig zijn om het beheer en de veiligheid, waaronder in het bijzonder de aspecten met betrekking tot de betrouwbaarheid, de vertrouwelijkheid, de beschikbaarheid, de traceerbaarheid en de integriteit van de persoonsgegevens en de informatie die worden verwerkt in de gegevensbanken bedoeld in artikel 44/2 van de Wet op het Politieambt, te verzekeren Aan de Dames en Heren Burgemeesters, Aan de Commissaris-generaal van de federale politie. Ter kennisgeving van: De Dames en Heren Procureurs-generaal, Mevrouw en Heren Provinciegouverneurs, De Heer Minister-President van het Brussels Hoofdstedelijk Gewest, De Heer Federaal procureur en de Dames en Heren Magistraten van het federaal parket, De Dames en Heren Arrondissementscommissarissen, De Heer Voorzitter van de Vaste Commissie van de lokale politie, De Dames en Heren Korpschefs van de lokale politie, Mevrouw en Heren Voorzitters van het Controleorgaan op de politionele informatie, het Vast Comité van Toezicht op de politiediensten en de algemene inspectie van de federale politie en van de lokale politie. Mevrouw de Burgemeester, Mijnheer de Burgemeester, Mijnheer de Commissaris-generaal, I. WETTELIJK KADER EN TOEPASSINGSGEBIED |
| L'article 44/4, § 2 de la loi sur la fonction de police (ci-après « | Het artikel 44/4 § 2 van de wet op het politieambt (hierna "WPA") |
| LFP ») constitue la base légale pour la présente directive | vormt de wettelijke basis voor de onderhavige dwingende richtlijn die |
| contraignante, portant sur les mesures nécessaires en vue d'assurer la | betrekking heeft op de maatregelen die nodig zijn om het beheer en de |
| gestion et la sécurité dont notamment les aspects relatifs à la | veiligheid, waaronder in het bijzonder de aspecten met betrekking tot |
| fiabilité, la confidentialité, la disponibilité, la traçabilité et | de betrouwbaarheid, de vertrouwelijkheid, de beschikbaarheid, de |
| l'intégrité des données à caractère personnel et des informations | traceerbaarheid en de integriteit van de persoonsgegevens en de |
| traitées dans la banque de données nationale générale, les banques de | informatie die worden verwerkt in de Algemene Nationale Gegevensbank, |
| données de base, les banques de données particulières, les banques de | in de basisgegevensbanken, in de bijzondere gegevensbanken, in de |
| données communes et les banques de données techniques visées à | gemeenschappelijke gegevensbanken en in de technische gegevensbanken, |
| l'article 44/2 de la LFP. | bedoeld in artikel 44/2 van de WPA, te verzekeren. |
| Bien que la présente directive traite en principe du contexte | Hoewel de onderhavige richtlijn in principe handelt over de |
| nécessaire pour la sécurité des systèmes opérationnels, cela n'exclut | noodzakelijke context voor de beveiliging van de operationele |
| pas que, en complément de la LFP et du titre 2 de la loi du 30 juillet | systemen, sluit dit evenwel niet uit dat, naast de WPA en titel 2 van |
| 2018 relative à la protection des personnes physiques à l'égard du | de wet van 30 juli 2018 betreffende de bescherming van natuurlijke |
| traitement des données à caractère personnel (ci-après « la loi sur la | personen met betrekking tot de verwerking van persoonsgegevens (hierna |
| protection des données » ou « LPD »), également le Règlement Général | "gegevensbeschermingswet" of "GBW" genoemd), ook de Algemene |
| sur la Protection des Données1 et le titre 1 de la LPD s'appliquent à | Verordening Gegevensbescherming1 en titel 1 van de GBW van toepassing |
| certaines mesures prises en vertu de la présente directive. | zijn op bepaalde maatregelen die genomen worden in uitwerking van de |
| onderhavige richtlijn. | |
| La présente directive est applicable aux services de police au sens de | Onderhavige richtlijn is van toepassing op de politiediensten, zoals |
| l'article 2, 2° de la loi du 7 décembre 1998 organisant un service de | bedoeld in artikel 2, 2° van de wet van 7 december 1998 tot |
| police intégré structuré à deux niveaux. | organisatie van een geïntegreerde politiedienst, gestructureerd op |
| L'avis du Conseil des bourgmestres a été donné le 12 août 2020, celui | twee niveaus. Het advies van de Raad van burgemeesters werd op 12 augustus 2020 |
| de l'Organe de contrôle de l'information policière le 22 septembre | uitgebracht, dat van het Controleorgaan op de politionele informatie |
| 2020 et celui du Collège des Procureurs Généraux le 7 janvier 2021. | op 22 september 2020 en dat van het College van procureursgeneraal op 7 januari 2021. |
| II. INTRODUCTION | II. INLEIDING |
| Pour exécuter leurs missions, les services de police utilisent de plus | Bij de uitvoering van hun opdrachten maken de politiediensten steeds |
| en plus les nouvelles technologies d'information et de communication. | vaker gebruik van nieuwe informatie- en communicatietechnologieën. |
| Dans une société où une attention croissante est accordée à la | In een maatschappij waar er steeds meer aandacht is voor de veiligheid |
| sécurité des informations et à la protection des données à caractère | van informatie en de bescherming van persoonsgegevens, dienen de |
| personnel, les risques inévitablement liés aux traitements de ces | risico's die onvermijdelijk verbonden zijn aan een dergelijke |
| informations et données par les services de police doivent être | informatie- en gegevensverwerking door de politiediensten goed te |
| correctement encadrés et couverts en adoptant les mesures techniques | worden omkaderd en afgedekt door het nemen van de nodige technische en |
| et organisationnelles nécessaires. | organisatorische maatregelen. |
| La LFP prévoit que les ministres de la Justice et de l'Intérieur | De WPA voorziet dat de ministers van Justitie en Binnenlandse Zaken |
| adoptent par le biais d'une directive contraignante les mesures | hiervoor de nodige maatregelen bij dwingende richtlijn bepalen. Bij |
| nécessaires à cette fin. Pour déterminer ces mesures, nous nous sommes | het bepalen van de onderhavige maatregelen hebben de ministers zich |
| inspirés des « Baseline Information Security Guidelines » (BSG) du | geïnspireerd op de "Baseline Information Security Guidelines" (BSG) |
| van het Centrum voor Cyber Security Belgium. Het is de wens van de | |
| Centre pour la Cybersécurité Belgique. Nous souhaitons que ces lignes | ministers dat deze Guidelines het referentiekader vormen voor het |
| directrices constituent le cadre de référence pour la politique de | informatieveiligheidsbeleid en beveiligingsplannen van de |
| sécurité de l'information et les plans de sécurité des services de | politiediensten. De maatregelen vervat in de onderhavige richtlijn dienen de |
| police. Les mesures contenues dans la présente directive visent à permettre | politiediensten, die over verschillende maturiteitsniveaus beschikken |
| aux services de police, qui ont des niveaux de maturité différents en | inzake informatieveiligheid, onder meer in staat te stellen hun |
| matière de sécurité de l'information, d'augmenter leur niveau au fur | maturiteitsniveau stapsgewijs te verhogen aan de hand van de beproefde |
| et à mesure en utilisant la méthode éprouvée du PDCA | PDCA-methode (Plan-Do-Check-Act) en het hiermee gepaard gaande |
| (Plan-Do-Check-Act) et de renforcer la gestion des risques qui y est | risicobeheer te versterken, de continuïteit van de politieactiviteiten |
| associée, d'assurer la continuité des activités policières, de | te verzekeren, het lekken van informatie te voorkomen, de veiligheid |
| prévenir la fuite d'informations, d'assurer la sécurité de son | van haar personeel en de burgers te verzekeren en zo het vertrouwen |
| personnel et des citoyens et de renforcer ainsi la confiance de la société à leur égard. Cette progressivité permet également de maintenir la continuité des activités policières opérationnelles tenant compte des moyens disponibles. La présente directive définit les mesures minimales que les services de police doivent respecter lors de l'élaboration, l'implémentation et l'évaluation de la politique de sécurité de l'information, ainsi que les plans de sécurité et les procédures et processus qui concrétiseront la présente directive. La mise en oeuvre progressive de la présente directive, ainsi que la | van de maatschappij ten opzichte van hen te versterken. Deze progressiviteit beoogt ook de continuïteit van de operationele politieactiviteiten rekening houdend met de beschikbare middelen. De onderhavige richtlijn bepaalt de minimale maatregelen waar de politiediensten rekening mee dienen te houden bij het opstellen, het implementeren en het evalueren van het informatieveiligheidsbeleid, evenals de beveiligingsplannen en de procedures en processen die de onderhavige richtlijn zullen concretiseren. De progressieve implementatie van de onderhavige richtlijn evenals de |
| définition des priorités, seront reprises dans la politique de | bepaling van de prioriteiten, zullen worden hernomen in het |
| sécurité de l'information, dans les plans de sécurité (voir | informatieveiligheidsbeleid, de beveiligingsplannen (zie onder), in |
| ci-dessous), dans des notes internes à la police intégrée et/ou | interne nota's van de geïntegreerde politie en/of middels een |
| moyennant une mise à jour des fiches de la directive du 14 juin 2002 | bijwerking van de fiches van de richtlijn van 14 juni 2002 van de |
| des Ministres de la Justice et de l'Intérieur (MFO-3) relative à la | Ministers van Justitie en van Binnenlandse Zaken (MFO-3) betreffende |
| gestion de l'information de police judiciaire et de police | het informatiebeheer inzake gerechtelijke en bestuurlijke politie, die |
| administrative, lesquelles sont destinées aux services opérationnels. | bestemd zijn voor de operationele diensten. |
| Les chefs de corps pour la police locale et le commissaire général, | De korpschefs voor de lokale politie en de commissaris-generaal, de |
| les directeurs généraux et les directeurs pour la police fédérale sont | directeurs-generaal en de directeurs voor de federale politie staan |
| les garants de la bonne exécution de ces directives en ce qui concerne | borg voor de goede uitvoering van deze richtlijnen voor wat de |
| les banques de données visées à l'article 44/2, §§ 1er et 3 LFP. Le | gegevensbanken bedoeld in artikel 44/2, §§ 1 en 3 WPA, betreft. In |
| cas échéant, une concertation entre les acteurs compétents en | voorkomend geval, wordt een overleg tussen de bevoegde actoren, in het |
| particulier le commissaire général, les directeurs généraux, les | bijzonder de commissaris-generaal, de directeurs-generaal, de |
| directeurs, les chefs de corps, le gestionnaire fonctionnel et le | directeurs, de korpschefs, de functioneel beheerder en de bevoegde |
| délégué à la protection des données compétent est fortement recommandée. | functionaris voor de gegevensbescherming sterk aanbevolen. |
| III. LES MESURES MINIMALES DE PROTECTION | III. DE MINIMALE BEVEILIGINGSMAATREGELEN |
| 1) La politique de sécurité de l'information et les plans de sécurité | 1) Het informatieveiligheidsbeleid en beveiligingsplannen |
| Les services de police doivent disposer d'une politique actualisée et | De politiediensten dienen te beschikken over een uniform en |
| uniforme en matière de sécurité de l'information, ci-après « la | geactualiseerd beleid inzake informatieveiligheid, hierna "het |
| politique de sécurité de l'information », validée par le « comité de | informatieveiligheidsbeleid", dat wordt gevalideerd door het |
| coordination de la police intégrée »2 (ci-après le CCGPI) après avis | "coördinatiecomité van de geïntegreerde politie"2 (hierna het CCGPI) |
| du « comité information et ICT »3. | na advies van het "comité informatie en ICT"3. |
| Rekening houdende met het informatieveiligheidsbeleid, worden | |
| En tenant compte de la politique de sécurité de l'information, des | vervolgens de beveiligingsplannen opgesteld, die de te implementeren |
| plans de sécurité sont ensuite établis, qui contiennent les mesures | technische en organisatorische maatregelen bevatten inzake |
| techniques et organisationnelles de sécurité de l'information à mettre | informatieveiligheid. Deze beveiligingsplannen, evenals de procedures |
| en oeuvre. Ces plans de sécurité, ainsi que les procédures et | en processen die de onderhavige richtlijn zullen concretiseren, worden |
| processus qui concrétiseront la présente directive, sont validés par | gevalideerd door de bevoegde hiërarchie, zijnde het Directiecomité wat |
| la hiérarchie compétente, à savoir le Comité de direction pour la | de federale politie betreft, en de korpschef wat de politiezones |
| police fédérale et le Chef de Corps pour les zones de police, après | betreft, na advies van de betrokken functionaris voor de |
| avis du délégué à la protection des données compétent. | gegevensbescherming. |
| La politique de sécurité de l'information et les plans de sécurité, | Het informatieveiligheidsbeleid en de veiligheidsplannen evenals de |
| ainsi que les procédures et les processus qui concrétiseront la | procedures en processen die de onderhavige richtlijn zullen |
| présente directive, doivent être évalués régulièrement. | concretiseren, dienen regelmatig te worden geëvalueerd. |
| Conformément à l'article 244 LPD, les services de police transmettent | De politiediensten maken conform artikel 244 van de GBW het beleid |
| à l'Organe de contrôle de l'information policière (ci-après le « COC | inzake informatieveiligheid evenals de beveiligingsplannen over aan |
| ») la politique en matière de sécurité de l'information ainsi que les | het Controleorgaan op de politionele informatie (hierna het "COC"). |
| plans de sécurité. | 2) De organisatie van de informatieveiligheid |
| 2) Organisation de la sécurité de l'information | De politiediensten voorzien een risicobeheersysteem inzake |
| Les services de police prévoient un système de gestion des risques en | informatieveiligheid en identificeren de rollen en |
| matière de sécurité de l'information et identifient les rôles et | verantwoordelijkheden van de verschillende actoren betrokken bij de |
| responsabilités des différents acteurs concernés par la sécurité de | |
| l'information. | informatieveiligheid. |
| Le délégué à la protection des données compétent est également chargé | De bevoegde functionaris voor de gegevensbescherming is ook belast met |
| du suivi de la politique de sécurité des informations et de | de opvolging van het informatieveiligheidsbeleid en de implementatie |
| l'implémentation du(des) plan(s) de sécurité. | van het beveiligingsplan of de beveiligingsplannen. |
| Afin de s'assurer que toutes les mesures organisationnelles soient | Om ervoor te zorgen dat alle organisatorische maatregelen worden |
| appliquées, les services de police informent leur personnel et les | uitgevoerd, informeren de politiediensten hun personeel en de derden |
| tiers opérant sous leur responsabilité. La politique de sécurité et | die onder hun verantwoordelijkheid werken. Het veiligheidsbeleid en de |
| les plans de sécurité devront être disponibles et consultables par les | beveiligingsplannen dienen beschikbaar en raadpleegbaar te zijn voor |
| personnes devant les appliquer. L'accès à toute l'information n'est | de personen die deze moeten toepassen. Een toegang tot alle informatie |
| néanmoins pas nécessaire pour atteindre cet objectif. | is echter niet nodig om dit doel te bereiken. |
| Les services de police développent, approuvent et communiquent des | Procedures en goede praktijken voor de informatieveiligheid die de |
| procédures et des bonnes pratiques pour la sécurité de l'information | onderhavige richtlijn zullen concretiseren, worden door de |
| qui concrétiseront la présente directive. | politiediensten ontwikkeld, goedgekeurd en gecommuniceerd. |
| Des procédures sont établies pour chaque utilisateur et en particulier | Er worden procedures vastgelegd voor elke gebruiker, in het bijzonder |
| pour ceux qui ont accès à des données avec une sensibilité | voor diegenen die toegang hebben tot gegevens met een bijzondere |
| particulière ou à des systèmes critiques. | gevoeligheid of tot kritieke systemen. |
| Ces procédures portent sur les thèmes suivants : | Deze procedures hebben betrekking op de volgende onderwerpen: |
| - le contrôle d'accès / la gestion des autorisations ; | - de toegangscontrole / het autorisatiebeheer; |
| - le retrait des droits ; | - de intrekking van rechten; |
| - la confidentialité des données ; | - de vertrouwelijkheid van gegevens; |
| - l'accès physique aux bâtiments et aux infrastructures ; | - de fysieke toegang tot gebouwen en infrastructuur; |
| - les systèmes d'accès et la confidentialité des données d'accès ; | - de toegangssystemen en vertrouwelijkheid van toegangsgegevens; |
| - les mesures permettant de déterminer l'utilisation correcte des outils de travail mis à disposition (tels que les appareils mobiles, le télétravail, les informations classifiées, etc.) ; - les mesures qui sont prises pour contrôler les activités (accès, destruction de stockage, accès à distance, journalisation). Ces thèmes sont détaillés ci-dessous. Les services de police élaborent des procédures détaillant les règles d'accès aux données et informations, ayant ou non une sensibilité particulière, ainsi que le contrôle mis en place pour s'assurer du respect de ces règles. Les services de police définissent les règles et mesures de sécurité pour l'utilisation des supports média mobiles et pour l'accès et la gestion des informations à distance (p.e. télétravail). Des procédures qui concrétiseront la présente directive sont prévues à cet effet. | - de maatregelen om het juiste gebruik te bepalen van werkinstrumenten die ter beschikking gesteld worden (zoals mobiele apparaten, telewerk, de geclassificeerde informatie, etc.); - de maatregelen die genomen worden om de activiteiten te controleren (toegang, vernietiging van opslag, toegang op afstand, logbestanden). Deze onderwerpen worden hieronder toegelicht. De politiediensten leggen procedures vast houdende de regels voor de toegang tot de gegevens en de informatie, met al dan niet een bijzondere gevoeligheid, evenals de controle die voorzien wordt om de naleving van deze regels te verzekeren. De politiediensten bepalen regels en veiligheidsmaatregelen voor het gebruik van mobiele informatiedragers en voor de toegang tot en het beheer van informatie op afstand (vb. telewerken). Procedures die de onderhavige richtlijn zullen concretiseren, worden hiervoor voorzien. |
| 3) La sécurité concernant les ressources humaines | 3) De veiligheid inzake het personeelsbeheer |
| Les services de police établissent une politique relative à la gestion | De politiediensten stellen een beleid op voor het beheer van de |
| des membres du personnel et collaborateurs externes en matière de | personeelsleden en de externe medewerkers inzake informatieveiligheid |
| sécurité de l'information et de protection des données. Des procédures | en gegevensbescherming. Er worden procedures ontwikkeld die betrekking |
| couvrant les aspects suivants sont développées : | hebben op de volgende aspecten: |
| Avant le recrutement : | Voor de aanwerving: |
| - procédures d'engagement et mesures y afférentes. | - aanwervingsprocedures en bijbehorende maatregelen. |
| Pendant l'occupation de l'emploi : | Tijdens de tewerkstelling: |
| - les modalités visant à l'adhésion de tous les collaborateurs | - modaliteiten die voorzien dat alle personeelsleden en externe |
| internes et externes aux instructions internes de l'organisation. Après la résiliation ou la modification de la relation de travail : - les responsabilités et les obligations relatives à la sécurité de l'information et à la protection des données demeurent après la résiliation ou le changement d'emploi et ces conditions doivent être clairement communiquées et intégrées dans le processus de gestion des collaborateurs (internes ou externes). Un contrat de confidentialité est conclu avec toute personne n'étant pas soumise au statut des membres de la police intégrée et ayant accès aux systèmes d'information des services de police. | medewerkers zich dienen te houden aan de interne instructies van de organisatie. Na beëindiging of verandering van dienstverband: - verantwoordelijkheden en verplichtingen voor informatiebeveiliging en gegevensbescherming blijven bestaan na beëindiging of verandering van dienstverband en deze voorwaarden moeten duidelijk worden gecommuniceerd en geïntegreerd in het werknemersmanagementproces (intern of extern). Met alle personen die toegang hebben tot de informatiesystemen van de politiediensten en die niet onderworpen zijn aan het statuut van de personeelsleden van de geïntegreerde politie, wordt een vertrouwelijkheidsovereenkomst afgesloten. |
| 4) Sensibilisation, formation & communication | 4) Sensibilisering, opleiding & communicatie |
| Les services de police prévoient une formation continue des membres du | De politiediensten voorzien in een permanente opleiding van de |
| personnel et des collaborateurs externes en ce qui concerne la | personeelsleden en de externe medewerkers met betrekking tot het |
| politique de sécurité de l'information et de protection des données. | informatieveiligheids- en gegevensbeschermingsbeleid. |
| Les services de police prévoient un plan de formation afin que tous | De politiediensten voorzien een opleidingsplan, opdat alle |
| les membres du personnel et collaborateurs externes, reçoivent la | personeelsleden en externe medewerkers, de nodige opleiding krijgen en |
| formation nécessaire et qu'ils soient informés des modifications | op de hoogte worden gehouden van aanpassingen aan de richtlijnen en |
| apportées aux directives et procédures concernant : | procedures betreffende: |
| - la sécurité de l'information et la protection de la vie privée ; | - de informatieveiligheid en de bescherming van het privéleven; |
| - les mesures applicables à l'exercice de leurs fonctions ; | - de maatregelen die van toepassing zijn bij de uitoefening van hun |
| - leur rôle et leur responsabilité à cet égard. | functies; - hun rol en verantwoordelijkheid daarin. |
| Les services de police développent un programme de sensibilisation | De politiediensten ontwikkelen een sensibiliseringsprogramma met de |
| ayant les objectifs suivants : | volgende doelstellingen: |
| - conscientiser les membres du personnel et les collaborateurs | - de personeelsleden en de externe medewerkers bewust maken van de |
| externes à la sécurité de l'information et à la protection de la vie | informatieveiligheid en de bescherming van het privéleven (met focus |
| privée (en mettant l'accent sur les données à caractère personnel) ; | op persoonsgegevens); |
| - expliquer clairement les responsabilités respectives de l'autorité | - duidelijk uitleggen welke de verantwoordelijkheden zijn van de |
| hiérarchique, d'un service spécifique, du collaborateur et des | hiërarchische overheid, van een specifieke dienst, van de medewerkers |
| personnes chargées du contrôle de l'application des mesures de | en van de personen belast met de controle van de toepassing van de |
| sécurité. | veiligheidsmaatregelen. |
| Les sessions doivent être répétées régulièrement afin que les nouveaux | De sessies dienen op geregelde tijdstippen te worden herhaald, zodat |
| collaborateurs soient inclus assez tôt dans le programme. | ook nieuwe medewerkers tijdig opgenomen worden in het programma. |
| Pour chaque collaborateur, l'information doit être : | De informatie moet voor elk van de medewerkers: |
| o compréhensible; | o verstaanbaar zijn; |
| o appropriée pour l'exercice de sa fonction ; | o aangepast aan de uitoefening van zijn/haar functie; |
| o toujours accessible de manière simple et facile. | o steeds op een eenvoudige, vlotte manier toegankelijk zijn. |
| 5) La gestion des actifs4 | 5) Het beheer van de activa4 |
| Afin de garantir la sécurité des systèmes traitant de l'information | Teneinde de veiligheid te verzekeren van de systemen die operationele |
| opérationnelle, les services de police établissent l'inventaire de leurs actifs essentiels, quels que soient leurs types (informations, données, applications, réseaux, processus, systèmes, etc)5. L'inventaire est une liste non-exhaustive et évolutive, qui sera complétée au fur et à mesure, afin d'assurer une amélioration continue en utilisant le cycle PDCA mentionné ci-dessus. Il s'agit d'augmenter progressivement le niveau de maturité des services de police. Chaque actif sera détaillé et tous les éléments seront repris et tenus à jour afin de bénéficier d'une cartographie correcte de l'architecture des systèmes et de l'information de l'organisation. Un responsable fonctionnel est identifié pour chaque élément de cet inventaire et sa tâche est précisée dans le plan de sécurité concerné. Les services de police veillent à mettre en place une procédure de gestion des actifs de l'information en tenant compte de l'importance | gegevens verwerken, stellen de politiediensten de inventaris op van hun essentiële activa, ongeacht de categorie ervan (informatie, gegevens, applicaties, netwerken, processen, systemen enz.)5. De inventaris is een niet-exhaustieve en evolutieve lijst, die stapsgewijs aangevuld zal worden, teneinde een voortdurende verbetering te kunnen voorzien gebruikmakend van de hiervoor vermelde PDCA-cyclus. Het doel is om het maturiteitsniveau van de politiediensten geleidelijk te verhogen. Alle activa dienen in detail beschreven te worden en alle elementen ervan worden bijgehouden en geactualiseerd om zodoende te beschikken over een correct beeld van de informatie- en systeemarchitectuur van de organisatie. Een functionele verantwoordelijke wordt geïdentificeerd voor elk element van deze inventaris en in het betrokken beveiligingsplan wordt zijn taak duidelijk omschreven. De politiediensten zorgen ervoor dat er een procedure voor het beheer van de informatiemiddelen wordt uitgewerkt. Hierbij wordt rekening |
| des données de l'organisation. | gehouden met het belang van de gegevens van de organisatie. |
| 6) Le contrôle d'accès | 6) De toegangscontrole |
| Pour les services de police, les règles relatives à l'accès aux | Voor de politiediensten zijn de regels m.b.t. de toegang tot de |
| données et informations dans les banques de données policières sont | gegevens en informatie in de politionele gegevensbanken vervat in de |
| contenues dans la directive ministérielle visée à l'article 44/4, § 3 | ministeriële richtlijn bedoeld in artikel 44/4, § 3 WPA. |
| LFP. Pour l'accès aux autres actifs ICT essentiels, les services de police | Voor de toegang tot de andere essentiële ICT-activa bepalen de |
| définissent les règles d'accès dans des procédures distinctes qui | politiediensten de toegangsregels in afzonderlijke procedures die de |
| concrétiseront la présente directive. | onderhavige richtlijn zullen concretiseren. |
| Un processus qui garantit l'identification de l'utilisateur lorsque | Er wordt een proces voorzien dat de identificatie van de gebruiker |
| celui-ci souhaite exercer ses tâches est mis en place. Les actifs ICT | waarborgt wanneer deze zijn of haar taken wenst uit te oefenen. |
| essentiels ne sont accessibles que via un identifiant individuel et | Essentiële ICT-activa zijn enkel toegankelijk via een individuele en |
| unique. | unieke identificator. |
| 7) La cryptographie | 7) Cryptografie |
| Les services de police protègent adéquatement les données et | De politiediensten beschermen afdoende de gegevens en informatie |
| l'information lors de leur stockage, de leur transport et de leur | tijdens de opslag, de overdracht en het gebruik ervan. |
| utilisation. | |
| Comme décrit dans les articles 50 et 60 LPD, les données à caractère | Zoals beschreven in artikel 50 en 60 van de GBW moeten |
| personnel doivent être protégées de manière appropriée pendant le | persoonsgegevens tijdens de opslag, de overdracht en het gebruik ervan |
| stockage, le transport et l'utilisation de celles-ci. Le niveau de | adequaat worden beschermd. Het beschermingsniveau houdt rekening met |
| protection tient compte de l'analyse de risque avec, selon les | de risicoanalyse en, indien nodig, worden pseudonimiserings- of |
| besoins, des mesures de pseudonymisation ou de chiffrement des données | versleutelingsmaatregelen voor de gegevens of informatie of elke |
| ou de l'information, ou toute autre mesure permettant de garantir le | andere maatregel die een passend beschermingsniveau waarborgt genomen. |
| niveau de protection approprié. | |
| 8) La sécurité physique | 8) De fysieke veiligheid |
| Les services de police sécurisent leurs infrastructures. Ils prennent | De politiediensten beveiligen hun infrastructuur. Zij nemen de |
| les mesures de protection et de sécurisation afin de gérer l'accès des | beschermings- en beveiligingsmaatregelen om de toegangen te beheren |
| personnes autorisées aux bâtiments et aux locaux. Les mesures sont | van de personen die de gebouwen en lokalen mogen betreden. De |
| adaptées en fonction de la présence physique de personnes dans les | maatregelen zijn aangepast in functie van de fysieke aanwezigheid van |
| locaux. | personen in de lokalen. |
| Les services de police protègent leurs données et leurs supports de | De politiediensten beschermen hun gegevens en hun gegevensdragers. Zij |
| données. Ils prennent des mesures préventives contre la perte, | nemen preventieve maatregelen tegen verlies, schade, diefstal van of |
| l'endommagement, le vol ou la compromission des actifs de | ongeoorloofde toegang tot de activa van de organisatie en tegen een |
| l'organisation et contre une éventuelle interruption des activités de | eventuele onderbreking van de activiteiten van de organisatie. |
| l'organisation. | |
| 9) La sécurité liée aux opérations | 9) De operationele veiligheid |
| Les services de police mettent en oeuvre des mesures spécifiques pour | De politiediensten nemen voor alle essentiële activa afzonderlijk |
| chaque actif essentiel : tout acte suspect ou tout incident est | specifieke maatregelen: elke verdachte handeling of elk incident wordt |
| rapporté et investigué. Une trace du suivi de ces incidents est | gemeld en onderzocht. Er wordt tevens een spoor bewaard van de |
| également conservée. | opvolging van deze incidenten. |
| Les mesures techniques minimales qui doivent être prévues pour les | De minimale technische maatregelen die voor de ICT-middelen van de |
| moyens ICT des services de police6, sont: | politiediensten genomen moeten worden6, zijn: |
| - un antimalware/antivirus actuel et à jour ; | - een anti-malware/antivirus: actueel en up-to-date; |
| - un système de détection et de blocage des intrusions ou des accès | - een detectie- en blokkeringssysteem voor inbraak of ongeoorloofde |
| non autorisés ; | toegang; |
| - une procédure de mise à jour des logiciels ; | - een procedure voor het bijwerken van software; |
| - une gestion des incidents (y compris leur communication) ; | - een incident management (inclusief communicatie); |
| - des procédures de back-up et de continuité des activités (sécurité opérationnelle). | - back-up en business continuity (Operationele veiligheid) procedures. |
| 10) La sécurité de la communication des informations | 10) De beveiliging van de mededeling van de informatie |
| Les services de police prennent des mesures spécifiques pour sécuriser | De politiediensten nemen specifieke maatregelen om de mededeling van |
| la communication de l'information, afin d'éviter les accès non | informatie te beveiligen, teneinde een ongeoorloofde toegang tot de |
| autorisés aux données et informations7. | gegevens en informatie te vermijden7. |
| Si la loi le permet, les données et informations des services de | Indien toegelaten door de wet, worden de informatie en de gegevens van |
| police sont toujours consultées en retournant vers la banque de | de politiediensten steeds geraadpleegd door terug te keren naar de |
| données d'origine avec un contrôle des autorisations prévues pour | oorspronkelijke gegevensbank met een controle van de daarvoor |
| celle-ci. Des communications, des copies ou des extractions sont | voorziene autorisaties. Mededelingen, kopieën of extracties worden |
| évitées. Si ce n'est absolument pas possible et qu'une communication | vermeden. Indien dit absoluut niet mogelijk is en een mededeling van |
| de certaines données et informations des services de police doit | bepaalde informatie of gegevens van de politiediensten toch dient te |
| malgré tout être effectuée, alors ces données communiquées doivent | gebeuren, dienen de meegedeelde gegevens steeds toereikend, ter zake |
| toujours avoir un caractère adéquat, pertinent et non excessif par | dienend en niet overmatig te zijn rekening houdende met het doeleinde |
| rapport à la finalité de la communication et les mesures de sécurité | van de mededeling en dienen steeds de nodige veiligheidsmaatregelen |
| nécessaires doivent toujours être prises. | voorzien te worden. |
| 11) Acquisition, développement et maintenance des systèmes | 11) Aankoop, ontwikkeling en onderhoud van informatiesystemen |
| d'information Lors de l'achat, du développement (et test) et de la maintenance de | De politiediensten dienen bij de aankoop, de ontwikkeling (en testen) |
| systèmes, les services de police conçoivent et utilisent des processus | en het onderhoud van systemen, processen en procedures die de |
| et des procédures qui concrétiseront la présente directive pour | onderhavige richtlijn zullen concretiseren, op te stellen en te |
| protéger les informations et ce, aussi bien pendant la phase de | gebruiken om de informatie te beschermen, zowel in de |
| développement que d'utilisation opérationnelle. | ontwikkelingsfase als tijdens het operationeel gebruik ervan. |
| Les systèmes et les processus de traitement de données sont développés | De systemen en processen voor gegevensverwerking worden ontworpen en |
| et conçus pour protéger par défaut les données et informations (art. | ontwikkeld om de gegevens en informatie standaard (by default) te |
| 51, § 2 LPD). | beschermen (art. 51, § 2 GBW). |
| 12) Relations avec les tiers (fournisseurs, autorités) | 12) Betrekkingen met derden (leveranciers, overheden) |
| Les services de police définissent les relations avec les fournisseurs | De politiediensten leggen de relaties met de leveranciers en de |
| et les autorités. | overheden vast. |
| Ces relations sont formalisées dans un document qui indique | Deze relaties worden geformaliseerd in een document, dat in voorkomend |
| clairement, le cas échéant : | geval duidelijk aangeeft: |
| - qui est (sont) le(s) responsable(s) du traitement ; | - wie de verwerkingsverantwoordelijke(n) is (zijn); |
| - quelle partie est le sous-traitant ; | - welke partij de verwerker is; |
| - comment les responsabilités sont réparties ; | - hoe de verantwoordelijkheden worden verdeeld; |
| - comment la protection des données est organisée, y compris : | - hoe de gegevensbescherming georganiseerd is; met inbegrip van: |
| o la sécurité et le comportement requis ; | o de veiligheid en de vereiste houding; |
| o la gestion des incidents ; | o het beheer van incidenten; |
| o le signalement des violations ; | o de melding van inbreuken; |
| o le contact avec les autorités (ou non). | o het contact met de overheden (of niet). |
| 13) Le recours au cloud | 13) Het gebruik van een "Cloud" |
| Si les services de police font appel à des services de « cloud | Indien politiediensten beroep doen op "cloud computing" diensten, |
| computing », ces derniers doivent se conformer aux mesures de sécurité | voldoen deze aan de vereiste veiligheidsmaatregelen zoals hernomen in |
| requises, telles qu'elles sont définies dans la politique de sécurité | het informatieveiligheidsbeleid en, in voorkomend geval, in het |
| de l'information et, le cas échéant, dans le plan de sécurité | betrokken beveiligingsplan. Wanneer wordt afgeweken van de principes |
| correspondant. Les dérogations aux principes énoncés dans la politique | vastgelegd in het informatieveiligheidsbeleid dient steeds het |
| de sécurité de l'information doivent toujours être soumises à l'avis | voorafgaand advies van het comité informatie en ICT te worden |
| préalable du comité 'Information et ICT, et une décision du CCGPI est | ingewonnen en is een beslissing vereist van het CCGPI. |
| requise. Des contrats et des documents sont rédigés afin de faire respecter les | Contracten/documenten dienen als dusdanig te worden opgesteld, opdat |
| mesures de sécurité exigées. | de vereiste veiligheidsmaatregelen worden gerespecteerd. |
| Les rapports d'audit et les certifications des fournisseurs de | Auditrapporten en certificeringen van cloud-dienstverleners, alsook de |
| services cloud ainsi que l'architecture de la solution « cloud » sont | architectuur van de cloud-oplossing, worden aan de bevoegde |
| communiquées aux gestionnaires des systèmes compétents (à la DRI et | systeembeheerders (bij DRI en in respectievelijke politiezone) |
| dans la zone de police respective) afin qu'ils puissent vérifier au | gecommuniceerd, zodat zij voorafgaandelijk kunnen nagaan of deze |
| préalable si les mesures de sécurité requises sont respectées et/ou | voldoen aan de vereiste veiligheidsmaatregelen en/of desgewenst de |
| demander les adaptations nécessaires le cas échéant. | nodige aanpassingen kunnen vragen. |
| Il est exigé que les centres de données « cloud » et les facilités techniques qui y sont liées se situent sur le territoire de l'Union Européenne. Dans les contrats et les documents, il est clairement établi qui est le responsable du traitement, quelle partie est le sous-traitant et comment les responsabilités sont réparties. 14) Gestion des incidents liés à la sécurité de l'information Les services de police veillent à ce que les membres du personnel ainsi que les collaborateurs externes et d'autres personnes impliquées disposent d'une procédure permettant de signaler les activités suspectes. Il s'agit d'une procédure permettant de rapporter, d'enregistrer et de gérer des violations potentielles ou présumées de données à caractère personnel ou de la sécurité des systèmes afin que les vulnérabilités puissent être traitées rapidement et de manière structurée. Les services de police mettent également en place un plan de gestion tant pour des incidents en matière de sécurité de l'information que pour des violations de données à caractère personnel. Ce plan reprendra : - les rôles et les responsabilités de tous les acteurs impliqués ; - un registre interne des incidents contenant tous les incidents de sécurité signalés. Les services de police veillent à ce que le membre du personnel qui signale un éventuel incident de sécurité n'en subisse pas de conséquences négatives. | Vereist is dat Cloud-datacenters en de bijbehorende technische faciliteiten zich op het grondgebied van de Europese Unie bevinden. In contracten/documenten moet duidelijk worden vastgelegd wie de verwerkingsverantwoordelijke is, welke partij verwerker is en hoe de verantwoordelijkheden worden verdeeld. 14) Incident management aangaande informatieveiligheid De politiediensten zorgen ervoor dat zowel personeelsleden als externe medewerkers en andere betrokken personen beschikken over een procedure die het mogelijk maakt om verdachte activiteiten te rapporteren. Het gaat om een procedure om mogelijke of vermoedelijke inbreuken in verband met persoonsgegevens of in verband met de veiligheid van systemen te rapporteren, te registeren en te behandelen zodat kwetsbaarheden voortijdig en gestructureerd kunnen behandeld worden. De politiediensten stellen eveneens een incidentenbeheersplan op, zowel voor informatieveiligheidsincidenten als inbreuken in verband met persoonsgegevens, dat: - de rollen en verantwoordelijkheden van alle betrokken actoren vastlegt; - een intern register voorziet waarin alle gemelde inbreuken op de beveiliging worden hernomen. De politiediensten zorgen ervoor dat het personeelslid dat een mogelijk veiligheidsincident rapporteert hierdoor geen negatieve gevolgen ondervindt. |
| 15) Aspects de la sécurité de l'information dans la gestion de la | 15) Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer |
| continuité de l'activité | De politiediensten voorzien een beschermingssysteem dat de |
| Les services de police prévoient un système de protection garantissant | beschikbaarheid van de gegevens en de informatie garandeert. |
| la disponibilité des données et de l'information. | De politiediensten voorzien de nodige bescherming van de informatie en |
| Les services de police prévoient la protection nécessaire de | de gegevens die zij verwerken tegen verlies, ongeoorloofde wijziging |
| l'information et des données qu'ils traitent contre la perte, la | of vernietiging, hetzij per ongeluk hetzij door een moedwillige |
| modification ou la destruction non autorisée, soit par accident soit | |
| par acte malveillant. | handeling. |
| Les services de police veillent à ce que la disponibilité et l'accès à | De politiediensten zorgen ervoor dat de beschikbaarheid van en toegang |
| des informations ou à des données soient rétablis rapidement après un | tot de informatie en de gegevens na een fysiek of technisch incident |
| incident physique ou technique. | tijdig kan hersteld worden. |
| Les services de police prévoient une solution afin d'assurer la | De politiediensten voorzien een oplossing, teneinde de continuïteit |
| continuité des applications utilisées. Dans cette solution, les codes | van de gebruikte toepassingen te verzekeren. In deze oplossing worden |
| de développement des applications seront au maximum conservés. | maximaal de ontwikkelcodes van de toepassingen bijgehouden. |
| 16) Veille juridique | 16) Juridische monitoring |
| Les services de police suivent toutes les modifications législatives | De politiediensten volgen alle wetswijzigingen inzake de |
| relatives à la sécurité de l'information et la protection des données, | informatieveiligheid en de gegevensbescherming op, evenals de door de |
| ainsi que les avis émis ou modifiés par les autorités ou organes | bevoegde overheden of organen uitgebrachte of gewijzigde adviezen |
| compétents à ce sujet. | hieromtrent. |
| 17) Evaluation des mesures de sécurité | 17) Evaluatie van de beveiligingsmaatregelen |
| Les services de police évaluent régulièrement la sécurité de l'information (entre autres conformément au cycle PDCA précité). Les plans de sécurité doivent évoluer avec le temps. Ils peuvent être revus pour tenir compte : - des changements dans les menaces et des leçons tirées suite à la gestion d'incidents ; - des résultats d'analyses de risques, d'enquêtes de contrôle ou d'audits ; - de changements de l'organisation ou du contexte juridique, réglementaire ou technologique. | De politiediensten evalueren op geregelde tijdstippen de informatiebeveiliging (onder andere conform de voornoemde PDCA-cyclus). De beveiligingsplannen dienen mettertijd te evolueren. Ze kunnen met name worden herzien om rekening te houden met: - veranderingen in bedreigingen en feedback als gevolg van incidentenbehandeling; - de resultaten van risicoanalyses, controleonderzoeken of audits; - veranderingen in organisatorische, juridische, regelgevende en technologische contexten. |
| Ces évolutions et adaptations sont suivies par le comité information | Deze evoluties en aanpassingen worden opgevolgd door het comité |
| et ICT et le comité de coordination de la police intégrée, avec les | informatie en ICT en het "coördinatiecomité van de geïntegreerde |
| tâches principales suivantes : | politie", met de volgende hoofdtaken: |
| - le suivi de l'exécution de la politique de sécurité et des plans de | - de opvolging van de uitvoering van het veiligheidsbeleid en de |
| sécurité ; | beveiligingsplannen; |
| - la mesure de l'évolution et du statut de sécurité de l'organisation | - het meten van de voortgang en de beveiligingsstatus van de |
| ; | organisatie; |
| - la proposition de mises à jour ; | - het voorstellen van updates; |
| - la proposition de documents et directives complémentaires pour | - het voorstellen van aanvullende documenten en richtsnoeren om de |
| faciliter et rendre plus claire la mise en oeuvre ; | tenuitvoerlegging ervan te vergemakkelijken of te verduidelijken; |
| - le suivi de l'évolution des documents techniques. | - de opvolging van de evolutie van de technische documenten. |
| IV. La méthodologie | IV. De methodologie |
| Pour établir l'inventaire des actifs essentiels des services de police | Voor het inventariseren van de essentiële activa van de |
| et l'analyse de risque pour chacun des actifs essentiels, les services | politiediensten en de risicoanalyse voor elk van deze essentiële |
| de police peuvent s'inspirer de la méthodologie prévue dans les « | activa kunnen de politiediensten zich inspireren op de methodologie |
| Baseline Information Security Guidelines » du Centre pour la | voorzien in de "Baseline Information Security Guidelines" van het |
| Cybersécurité Belgique. | Belgisch Centrum voor Cybersecurity. |
| Le Ministre de la Justice, | De Minister van Justitie, |
| V. VAN QUICKENBORNE | V. VAN QUICKENBORNE |
| La Ministre de l'Intérieur, | De Minister van Binnenlandse Zaken, |
| A. VERLINDEN | A. VERLINDEN |
| _______ | _______ |
| Notes | Nota's |
| 1 Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 | 1 Verordening (EU) 2016/679 van het Europees Parlement van 27 april |
| avril 2016 relatif à la protection des personnes physiques à l'égard | 2016 betreffende de bescherming van natuurlijke personen in verband |
| du traitement des données à caractère personnel et à la libre | met de verwerking van persoonsgegevens en betreffende het vrije |
| circulation de ces données, et abrogeant la directive 95/46/CE. | verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. |
| 2 Tel que visé à l'article 8ter de la loi du 7 décembre 1998 | 2 Zoals bedoeld in artikel 8ter van de wet van 7 december 1998 tot |
| organisant un service de police intégré structuré à deux niveaux. | organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus. |
| 3 Tel que visé à l'article 8sexies de la loi du 7 décembre 1998 | 3 Zoals bedoeld in artikel 8sexies van de wet van 7 december 1998 tot |
| organisant un service de police intégré structuré à deux niveaux. | organisatie van een geïntegreerde politiedienst, gestructureerd op |
| 4 Pour la sécurité de l'information, on considère les actifs essentiels au sens large comme étant "toutes les ressources qui ont | twee niveaus. 4 Voor informatiebeveiliging worden de essentiële activa in brede zin |
| une valeur pour l'organisation et qui doivent être sécurisées". Cela | beschouwd als 'alle middelen die een waarde hebben voor de organisatie |
| ne se limite pas uniquement à l'infrastructure IT ou aux ressources | en die moeten worden beveiligd'. Dit beperkt zich niet enkel tot |
| matérielles, mais aussi aux personnes. Il peut également s'agir de | IT-infrastructuur of tastbare middelen, maar ook tot mensen. Het |
| ressources immatérielles, telles que des processus, des procédures, | kunnen bovendien ook ontastbare middelen zijn, zoals processen, |
| certaines méthodes de travail, des connaissances et des compétences, etc. | procedures, bepaalde werkwijzen, kennis en expertise etc. |
| 5 Datacenter, systèmes d'accès, antivirus, ... | 5 Datacenter, toegangsystemen, antivirus, ... |
| 6 Comme décrit dans l'introduction, il s'agit d'une implémentation | 6 Zoals beschreven in de inleiding, gaat het om een progressieve |
| progressive en fonction du niveau de maturité. | implementatie ingevolge het maturiteitsniveau. |
| 7 Il peut s'agir de mesures de sécurité prévues par un arrêté royal | 7 Het kan onder meer gaan om veiligheidsmaatregelen die voorzien |
| prévu par l'article 44/11/12 LFP réglementant un accès particulier ou | worden in een koninklijk besluit voorzien door artikel 44/11/12 WPA |
| un protocole de coopération en matière de communication de données | dat een bepaalde toegang regelt of een samenwerkingsprotocol inzake |
| avec un partenaire des services de la police. | mededeling van gegevens aan een partner van de politiediensten. |