gepubliceerd op 13 juli 2009
Besluit van de Vlaamse Regering betreffende de veiligheidsconsulenten, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer
15 MEI 2009. - Besluit van de Vlaamse Regering betreffende de veiligheidsconsulenten, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer
De Vlaamse Regering, Gelet op het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, artikel 9;
Gelet op het akkoord van de Vlaamse minister, bevoegd voor de begroting, gegeven op 6 maart 2009;
Gelet op het advies 09/2009 van de Commissie voor de bescherming van de persoonlijke levenssfeer, gegeven op 8 april 2009;
Gelet op advies 45.258/1 van de Raad van State, gegeven op 7 april 2009, met toepassing van artikel 84, § 1, eerste lid, 1°, van de gecoördineerde wetten op de Raad van State;
Op voorstel van de Vlaamse minister van Institutionele Hervormingen, Bestuurszaken, Buitenlands Beleid, Media, Toerisme, Havens, Landbouw, Zeevisserij en Plattelandsbeleid, en de Vlaamse minister van Binnenlands Bestuur, Stedenbeleid, Wonen en Inburgering;
Na beraadslaging, Besluit :
Artikel 1.In dit besluit wordt verstaan onder : 1° het decreet van 18 juli 2008 : het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer;2° de toezichtcommissie : de Vlaamse toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer, vermeld in artikel 10 van het decreet van 18 juli 2008.
Art. 2.§ 1. Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, § 3, van het decreet van 18 juli 2008 aangewezen is en persoonsgegevens verwerkt, wijst elk, al dan niet onder haar medewerkers, een veiligheidsconsulent aan. De veiligheidsconsulent kan zich door een of meer adjuncten laten bijstaan. § 2. Behalve als de persoon in kwestie al is aangewezen als consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer overeenkomstig artikel 10 en 16 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen of overeenkomstig artikel 4, § 5, of artikel 24, 25 en 46 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, worden de veiligheidsconsulent en zijn adjuncten door de respectieve instantie of entiteit pas aangesteld na gunstig advies van de toezichtcommissie. Voor de toezichtcommissie advies uitbrengt, moet ze nagaan of de kandidaat : 1° voldoende gevormd is om zijn functie van veiligheidsconsulent uit te oefenen;2° over de vereiste tijd beschikt om zijn veiligheidsopdrachten uit te voeren;3° geen activiteiten uitoefent die onverenigbaar zijn met de functie van veiligheidsconsulent. De identiteit van de veiligheidsconsulent en zijn eventuele adjuncten, met inbegrip van de personen die al zijn aangewezen als consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer als vermeld in het eerste lid, wordt na hun aanstelling onmiddellijk door de respectieve instantie of entiteit aan de toezichtcommissie meegedeeld.
Art. 3.De veiligheidsconsulent is, met het oog op de veiligheid van de gegevens, ermee belast om : 1° op eigen initiatief of op verzoek van de verantwoordelijke voor het dagelijks bestuur van de instantie of entiteit deskundige adviezen en aanbevelingen te verstrekken aan de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie over alle aspecten op het vlak van de informatieveiligheid.De adviezen worden schriftelijk en gemotiveerd uitgebracht, tenzij de risico's niet voldoende ernstig zijn. Binnen de periode, vereist door de omstandigheden, van maximaal drie maanden beslist de verantwoordelijke voor het dagelijks bestuur het advies al dan niet te volgen en deelt hij de veiligheidsconsulent de genomen beslissing mee. Als de beslissing afwijkt van een schriftelijk advies van de veiligheidsconsulent, wordt ze schriftelijk en op gemotiveerde wijze aan de veiligheidsconsulent meegedeeld; 2° opdrachten uit te voeren die aan hem worden toevertrouwd door de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie.
Art. 4.De veiligheidsconsulent neemt altijd ongeacht of hij in een of meer instanties of entiteiten een veiligheidsfunctie vervult, de nodige objectiviteit, onpartijdigheid en onafhankelijkheid in acht bij de formulering van adviezen en aanbevelingen. De adviezen en aanbevelingen worden met de vereiste deskundigheid ter zake gegeven.
Art. 5.De veiligheidsconsulent houdt alle informatie die aan hem wordt toevertrouwd of die hij kan inzien, horen of lezen in het kader van zijn opdrachten of beroepsactiviteiten, strikt vertrouwelijk, zowel de informatie die op zijn opdracht betrekking heeft als de informatie over zijn vakgenoten. De veiligheidsconsulent mag van die algemene regel van vertrouwelijkheid van informatie alleen in de volgende twee gevallen afwijken : 1° in de door of krachtens een wets-, decretale of reglementsbepaling vastgelegde gevallen;2° nadat hij het schriftelijke akkoord heeft gekregen van de derde die door de onthulling zal worden getroffen. De veiligheidsconsulent waakt erover dat de verplichte vertrouwelijkheid, vermeld in het eerste lid, wordt nageleefd door zijn medewerkers en door iedere persoon die onder zijn verantwoordelijkheid optreedt in het kader van een opdracht.
Elke schending van de vertrouwelijkheidsverplichting wordt gestraft overeenkomstig artikel 458 van het Strafwetboek.
Art. 6.De veiligheidsconsulent bevordert en ziet toe op de naleving van de veiligheidsvoorschriften, opgelegd door of krachtens een wets-, decretale of reglementsbepaling, en controleert of de personen die in de instantie of de entiteit persoonsgegevens verwerken, een veiligheidsgedrag vertonen.
De veiligheidsconsulent legt de nodige documentatie aan over de informatieveiligheid. Alle vastgestelde overtredingen worden schriftelijk en uitsluitend aan de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit meegedeeld, en de nodige adviezen worden bijgevoegd om dergelijke overtredingen in de toekomst te vermijden.
Art. 7.De veiligheidsconsulent en zijn eventuele adjuncten kunnen niet uit hun functie worden ontheven wegens meningen die zij uiten of daden die zij stellen in het kader van de goede uitoefening van hun functie.
Art. 8.De veiligheidsconsulent werkt onder het rechtstreekse functionele gezag van de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie. Hij werkt nauw samen met de diensten waarin zijn optreden vereist is of kan zijn, inzonderheid met de informaticadienst en de preventieadviseur van de instantie of de entiteit in kwestie.
Art. 9.De veiligheidsconsulent bezit een gedegen kennis van de informaticaomgeving van de instantie of de entiteit in kwestie en van de informatieveiligheid. Hij houdt die kennis permanent op peil.
Art. 10.De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een termijn van drie jaar, met vermelding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren. Dat ontwerp wordt minstens eenmaal per jaar herzien en zo nodig aangepast. Het ontwerp van veiligheidsplan wordt beschouwd als een advies als vermeld in artikel 3, 1°.
Art. 11.De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie jaarlijks een verslag op. Dat jaarverslag omvat minstens : 1° een algemeen overzicht van de veiligheidstoestand, de ontwikkeling in het afgelopen jaar en de nog te realiseren doelstellingen;2° een samenvatting van de schriftelijke adviezen die aan de verantwoordelijke voor het dagelijks bestuur werden bezorgd en het gevolg dat eraan werd gegeven;3° een overzicht van de werkzaamheden, verricht door de veiligheidsconsulent;4° een overzicht van de resultaten van de controles, uitgevoerd door de veiligheidsconsulent, met weergave van alle vastgestelde voorvallen die de informatieveiligheid van de instantie of de entiteit in kwestie in het gedrang hadden kunnen brengen;5° een overzicht van de gevoerde campagnes ter bevordering van de veiligheid;6° een overzicht van alle gevolgde opleidingen en van de geplande opleidingen.
Art. 12.De opdrachten van de veiligheidsconsulent hebben ook betrekking op de bewaring, de verwerking of de uitwisseling van persoonsgegevens die voor rekening van de instantie of de entiteit in kwestie door derden worden uitgevoerd.
Art. 13.Dit besluit treedt in werking op de datum van de inwerkingtreding van het decreet van 18 juli 2008.
Art. 14.De Vlaamse minister, bevoegd voor het reguleringsmanagement, de administratieve vereenvoudiging en het het e-government, en de Vlaamse minister, bevoegd voor de binnenlandse aangelegenheden, zijn, ieder wat hem of haar betreft, belast met de uitvoering van dit besluit.
Brussel, 15 mei 2009.
De minister-president van de Vlaamse Regering, Vlaams minister van Institutionele Hervormingen, Bestuurszaken, Buitenlands Beleid, Media, Toerisme, Havens, Landbouw, Zeevisserij en Plattelandsbeleid, K. PEETERS De Vlaamse minister van Binnenlands Bestuur, Stedenbeleid, Wonen en Inburgering, M. KEULEN