← Terug naar "Gemeenschappelijke dwingende richtlijn van de Ministers van Justitie en van Binnenlandse Zaken met betrekking
tot de maatregelen die nodig zijn om het beheer en de veiligheid, waaronder in het bijzonder de aspecten
met betrekking tot de betrouwbaar Aan de Dames en Heren Burgemeesters, Aan
de Commissaris-generaal van de federale politie. Ter(...)"
| Gemeenschappelijke dwingende richtlijn van de Ministers van Justitie en van Binnenlandse Zaken met betrekking tot de maatregelen die nodig zijn om het beheer en de veiligheid, waaronder in het bijzonder de aspecten met betrekking tot de betrouwbaar Aan de Dames en Heren Burgemeesters, Aan de Commissaris-generaal van de federale politie. Ter(...) | Directive contraignante commune des Ministres de la Justice et de l'Intérieur relative aux mesures nécessaires en vue d'assurer la gestion et la sécurité dont notamment les aspects relatifs à la fiabilité, la confidentialité, la disponibilité, la t A Mesdames et Messieurs les Bourgmestres, Au Commissaire général de la police fédérale. Pour (...) |
|---|---|
| FEDERALE OVERHEIDSDIENST JUSTITIE Gemeenschappelijke dwingende richtlijn van de Ministers van Justitie en van Binnenlandse Zaken met betrekking tot de maatregelen die nodig zijn om het beheer en de veiligheid, waaronder in het bijzonder de aspecten met betrekking tot de betrouwbaarheid, de vertrouwelijkheid, de beschikbaarheid, de traceerbaarheid en de integriteit van de persoonsgegevens en de informatie die worden verwerkt in de gegevensbanken bedoeld in artikel 44/2 van de Wet op het Politieambt, te verzekeren Aan de Dames en Heren Burgemeesters, Aan de Commissaris-generaal van de federale politie. Ter kennisgeving van: De Dames en Heren Procureurs-generaal, Mevrouw en Heren Provinciegouverneurs, De Heer Minister-President van het Brussels Hoofdstedelijk Gewest, De Heer Federaal procureur en de Dames en Heren Magistraten van het federaal parket, De Dames en Heren Arrondissementscommissarissen, De Heer Voorzitter van de Vaste Commissie van de lokale politie, De Dames en Heren Korpschefs van de lokale politie, Mevrouw en Heren Voorzitters van het Controleorgaan op de politionele informatie, het Vast Comité van Toezicht op de politiediensten en de algemene inspectie van de federale politie en van de lokale politie. Mevrouw de Burgemeester, Mijnheer de Burgemeester, Mijnheer de Commissaris-generaal, I. WETTELIJK KADER EN TOEPASSINGSGEBIED | SERVICE PUBLIC FEDERAL JUSTICE Directive contraignante commune des Ministres de la Justice et de l'Intérieur relative aux mesures nécessaires en vue d'assurer la gestion et la sécurité dont notamment les aspects relatifs à la fiabilité, la confidentialité, la disponibilité, la traçabilité et l'intégrité des données à caractère personnel et des informations traitées dans les banques de données visées à l'article 44/2 de la Loi sur la Fonction de Police A Mesdames et Messieurs les Bourgmestres, Au Commissaire général de la police fédérale. Pour information à : Mesdames et Messieurs les Procureurs généraux, Madame et Messieurs les Gouverneurs de province, Monsieur le Ministre-Président de la Région de Bruxelles-Capitale, Monsieur le Procureur fédéral et Mesdames et Messieurs les Magistrats du parquet fédéral, Mesdames et Messieurs les Commissaires d'arrondissement, Monsieur le Président de la Commission Permanente de la police locale, Mesdames et Messieurs les Chefs de corps de la police locale, Madame et Messieurs les Présidents de l'Organe de contrôle de l'information policière, du Comité permanent de contrôle des services de police et de l'Inspection générale de la police fédérale et de la police locale. Madame le Bourgmestre, Monsieur le Bourgmestre, Monsieur le Commissaire général, I. CADRE LEGAL ET CHAMP D'APPLICATION |
| Het artikel 44/4 § 2 van de wet op het politieambt (hierna "WPA") | L'article 44/4, § 2 de la loi sur la fonction de police (ci-après « |
| vormt de wettelijke basis voor de onderhavige dwingende richtlijn die | LFP ») constitue la base légale pour la présente directive |
| betrekking heeft op de maatregelen die nodig zijn om het beheer en de | contraignante, portant sur les mesures nécessaires en vue d'assurer la |
| veiligheid, waaronder in het bijzonder de aspecten met betrekking tot | gestion et la sécurité dont notamment les aspects relatifs à la |
| de betrouwbaarheid, de vertrouwelijkheid, de beschikbaarheid, de | fiabilité, la confidentialité, la disponibilité, la traçabilité et |
| traceerbaarheid en de integriteit van de persoonsgegevens en de | l'intégrité des données à caractère personnel et des informations |
| informatie die worden verwerkt in de Algemene Nationale Gegevensbank, | traitées dans la banque de données nationale générale, les banques de |
| in de basisgegevensbanken, in de bijzondere gegevensbanken, in de | données de base, les banques de données particulières, les banques de |
| gemeenschappelijke gegevensbanken en in de technische gegevensbanken, | données communes et les banques de données techniques visées à |
| bedoeld in artikel 44/2 van de WPA, te verzekeren. | l'article 44/2 de la LFP. |
| Hoewel de onderhavige richtlijn in principe handelt over de | Bien que la présente directive traite en principe du contexte |
| noodzakelijke context voor de beveiliging van de operationele | nécessaire pour la sécurité des systèmes opérationnels, cela n'exclut |
| systemen, sluit dit evenwel niet uit dat, naast de WPA en titel 2 van | pas que, en complément de la LFP et du titre 2 de la loi du 30 juillet |
| de wet van 30 juli 2018 betreffende de bescherming van natuurlijke | 2018 relative à la protection des personnes physiques à l'égard du |
| personen met betrekking tot de verwerking van persoonsgegevens (hierna | traitement des données à caractère personnel (ci-après « la loi sur la |
| "gegevensbeschermingswet" of "GBW" genoemd), ook de Algemene | protection des données » ou « LPD »), également le Règlement Général |
| Verordening Gegevensbescherming1 en titel 1 van de GBW van toepassing | sur la Protection des Données1 et le titre 1 de la LPD s'appliquent à |
| zijn op bepaalde maatregelen die genomen worden in uitwerking van de | certaines mesures prises en vertu de la présente directive. |
| onderhavige richtlijn. | |
| Onderhavige richtlijn is van toepassing op de politiediensten, zoals | La présente directive est applicable aux services de police au sens de |
| bedoeld in artikel 2, 2° van de wet van 7 december 1998 tot | l'article 2, 2° de la loi du 7 décembre 1998 organisant un service de |
| organisatie van een geïntegreerde politiedienst, gestructureerd op | police intégré structuré à deux niveaux. |
| twee niveaus. Het advies van de Raad van burgemeesters werd op 12 augustus 2020 | L'avis du Conseil des bourgmestres a été donné le 12 août 2020, celui |
| uitgebracht, dat van het Controleorgaan op de politionele informatie | de l'Organe de contrôle de l'information policière le 22 septembre |
| op 22 september 2020 en dat van het College van procureursgeneraal op 7 januari 2021. | 2020 et celui du Collège des Procureurs Généraux le 7 janvier 2021. |
| II. INLEIDING | II. INTRODUCTION |
| Bij de uitvoering van hun opdrachten maken de politiediensten steeds | Pour exécuter leurs missions, les services de police utilisent de plus |
| vaker gebruik van nieuwe informatie- en communicatietechnologieën. | en plus les nouvelles technologies d'information et de communication. |
| In een maatschappij waar er steeds meer aandacht is voor de veiligheid | Dans une société où une attention croissante est accordée à la |
| van informatie en de bescherming van persoonsgegevens, dienen de | sécurité des informations et à la protection des données à caractère |
| risico's die onvermijdelijk verbonden zijn aan een dergelijke | personnel, les risques inévitablement liés aux traitements de ces |
| informatie- en gegevensverwerking door de politiediensten goed te | informations et données par les services de police doivent être |
| worden omkaderd en afgedekt door het nemen van de nodige technische en | correctement encadrés et couverts en adoptant les mesures techniques |
| organisatorische maatregelen. | et organisationnelles nécessaires. |
| De WPA voorziet dat de ministers van Justitie en Binnenlandse Zaken | La LFP prévoit que les ministres de la Justice et de l'Intérieur |
| hiervoor de nodige maatregelen bij dwingende richtlijn bepalen. Bij | adoptent par le biais d'une directive contraignante les mesures |
| het bepalen van de onderhavige maatregelen hebben de ministers zich | nécessaires à cette fin. Pour déterminer ces mesures, nous nous sommes |
| geïnspireerd op de "Baseline Information Security Guidelines" (BSG) | inspirés des « Baseline Information Security Guidelines » (BSG) du |
| van het Centrum voor Cyber Security Belgium. Het is de wens van de | |
| ministers dat deze Guidelines het referentiekader vormen voor het | Centre pour la Cybersécurité Belgique. Nous souhaitons que ces lignes |
| informatieveiligheidsbeleid en beveiligingsplannen van de | directrices constituent le cadre de référence pour la politique de |
| politiediensten. De maatregelen vervat in de onderhavige richtlijn dienen de | sécurité de l'information et les plans de sécurité des services de |
| politiediensten, die over verschillende maturiteitsniveaus beschikken | police. Les mesures contenues dans la présente directive visent à permettre |
| inzake informatieveiligheid, onder meer in staat te stellen hun | aux services de police, qui ont des niveaux de maturité différents en |
| maturiteitsniveau stapsgewijs te verhogen aan de hand van de beproefde | matière de sécurité de l'information, d'augmenter leur niveau au fur |
| PDCA-methode (Plan-Do-Check-Act) en het hiermee gepaard gaande | et à mesure en utilisant la méthode éprouvée du PDCA |
| risicobeheer te versterken, de continuïteit van de politieactiviteiten | (Plan-Do-Check-Act) et de renforcer la gestion des risques qui y est |
| te verzekeren, het lekken van informatie te voorkomen, de veiligheid | associée, d'assurer la continuité des activités policières, de |
| van haar personeel en de burgers te verzekeren en zo het vertrouwen | prévenir la fuite d'informations, d'assurer la sécurité de son |
| van de maatschappij ten opzichte van hen te versterken. Deze progressiviteit beoogt ook de continuïteit van de operationele politieactiviteiten rekening houdend met de beschikbare middelen. De onderhavige richtlijn bepaalt de minimale maatregelen waar de politiediensten rekening mee dienen te houden bij het opstellen, het implementeren en het evalueren van het informatieveiligheidsbeleid, evenals de beveiligingsplannen en de procedures en processen die de onderhavige richtlijn zullen concretiseren. De progressieve implementatie van de onderhavige richtlijn evenals de | personnel et des citoyens et de renforcer ainsi la confiance de la société à leur égard. Cette progressivité permet également de maintenir la continuité des activités policières opérationnelles tenant compte des moyens disponibles. La présente directive définit les mesures minimales que les services de police doivent respecter lors de l'élaboration, l'implémentation et l'évaluation de la politique de sécurité de l'information, ainsi que les plans de sécurité et les procédures et processus qui concrétiseront la présente directive. La mise en oeuvre progressive de la présente directive, ainsi que la |
| bepaling van de prioriteiten, zullen worden hernomen in het | définition des priorités, seront reprises dans la politique de |
| informatieveiligheidsbeleid, de beveiligingsplannen (zie onder), in | sécurité de l'information, dans les plans de sécurité (voir |
| interne nota's van de geïntegreerde politie en/of middels een | ci-dessous), dans des notes internes à la police intégrée et/ou |
| bijwerking van de fiches van de richtlijn van 14 juni 2002 van de | moyennant une mise à jour des fiches de la directive du 14 juin 2002 |
| Ministers van Justitie en van Binnenlandse Zaken (MFO-3) betreffende | des Ministres de la Justice et de l'Intérieur (MFO-3) relative à la |
| het informatiebeheer inzake gerechtelijke en bestuurlijke politie, die | gestion de l'information de police judiciaire et de police |
| bestemd zijn voor de operationele diensten. | administrative, lesquelles sont destinées aux services opérationnels. |
| De korpschefs voor de lokale politie en de commissaris-generaal, de | Les chefs de corps pour la police locale et le commissaire général, |
| directeurs-generaal en de directeurs voor de federale politie staan | les directeurs généraux et les directeurs pour la police fédérale sont |
| borg voor de goede uitvoering van deze richtlijnen voor wat de | les garants de la bonne exécution de ces directives en ce qui concerne |
| gegevensbanken bedoeld in artikel 44/2, §§ 1 en 3 WPA, betreft. In | les banques de données visées à l'article 44/2, §§ 1er et 3 LFP. Le |
| voorkomend geval, wordt een overleg tussen de bevoegde actoren, in het | cas échéant, une concertation entre les acteurs compétents en |
| bijzonder de commissaris-generaal, de directeurs-generaal, de | particulier le commissaire général, les directeurs généraux, les |
| directeurs, de korpschefs, de functioneel beheerder en de bevoegde | directeurs, les chefs de corps, le gestionnaire fonctionnel et le |
| functionaris voor de gegevensbescherming sterk aanbevolen. | délégué à la protection des données compétent est fortement recommandée. |
| III. DE MINIMALE BEVEILIGINGSMAATREGELEN | III. LES MESURES MINIMALES DE PROTECTION |
| 1) Het informatieveiligheidsbeleid en beveiligingsplannen | 1) La politique de sécurité de l'information et les plans de sécurité |
| De politiediensten dienen te beschikken over een uniform en | Les services de police doivent disposer d'une politique actualisée et |
| geactualiseerd beleid inzake informatieveiligheid, hierna "het | uniforme en matière de sécurité de l'information, ci-après « la |
| informatieveiligheidsbeleid", dat wordt gevalideerd door het | politique de sécurité de l'information », validée par le « comité de |
| "coördinatiecomité van de geïntegreerde politie"2 (hierna het CCGPI) | coordination de la police intégrée »2 (ci-après le CCGPI) après avis |
| na advies van het "comité informatie en ICT"3. | du « comité information et ICT »3. |
| Rekening houdende met het informatieveiligheidsbeleid, worden | |
| vervolgens de beveiligingsplannen opgesteld, die de te implementeren | En tenant compte de la politique de sécurité de l'information, des |
| technische en organisatorische maatregelen bevatten inzake | plans de sécurité sont ensuite établis, qui contiennent les mesures |
| informatieveiligheid. Deze beveiligingsplannen, evenals de procedures | techniques et organisationnelles de sécurité de l'information à mettre |
| en processen die de onderhavige richtlijn zullen concretiseren, worden | en oeuvre. Ces plans de sécurité, ainsi que les procédures et |
| gevalideerd door de bevoegde hiërarchie, zijnde het Directiecomité wat | processus qui concrétiseront la présente directive, sont validés par |
| de federale politie betreft, en de korpschef wat de politiezones | la hiérarchie compétente, à savoir le Comité de direction pour la |
| betreft, na advies van de betrokken functionaris voor de | police fédérale et le Chef de Corps pour les zones de police, après |
| gegevensbescherming. | avis du délégué à la protection des données compétent. |
| Het informatieveiligheidsbeleid en de veiligheidsplannen evenals de | La politique de sécurité de l'information et les plans de sécurité, |
| procedures en processen die de onderhavige richtlijn zullen | ainsi que les procédures et les processus qui concrétiseront la |
| concretiseren, dienen regelmatig te worden geëvalueerd. | présente directive, doivent être évalués régulièrement. |
| De politiediensten maken conform artikel 244 van de GBW het beleid | Conformément à l'article 244 LPD, les services de police transmettent |
| inzake informatieveiligheid evenals de beveiligingsplannen over aan | à l'Organe de contrôle de l'information policière (ci-après le « COC |
| het Controleorgaan op de politionele informatie (hierna het "COC"). | ») la politique en matière de sécurité de l'information ainsi que les |
| 2) De organisatie van de informatieveiligheid | plans de sécurité. |
| De politiediensten voorzien een risicobeheersysteem inzake | 2) Organisation de la sécurité de l'information |
| informatieveiligheid en identificeren de rollen en | Les services de police prévoient un système de gestion des risques en |
| verantwoordelijkheden van de verschillende actoren betrokken bij de | matière de sécurité de l'information et identifient les rôles et |
| responsabilités des différents acteurs concernés par la sécurité de | |
| informatieveiligheid. | l'information. |
| De bevoegde functionaris voor de gegevensbescherming is ook belast met | Le délégué à la protection des données compétent est également chargé |
| de opvolging van het informatieveiligheidsbeleid en de implementatie | du suivi de la politique de sécurité des informations et de |
| van het beveiligingsplan of de beveiligingsplannen. | l'implémentation du(des) plan(s) de sécurité. |
| Om ervoor te zorgen dat alle organisatorische maatregelen worden | Afin de s'assurer que toutes les mesures organisationnelles soient |
| uitgevoerd, informeren de politiediensten hun personeel en de derden | appliquées, les services de police informent leur personnel et les |
| die onder hun verantwoordelijkheid werken. Het veiligheidsbeleid en de | tiers opérant sous leur responsabilité. La politique de sécurité et |
| beveiligingsplannen dienen beschikbaar en raadpleegbaar te zijn voor | les plans de sécurité devront être disponibles et consultables par les |
| de personen die deze moeten toepassen. Een toegang tot alle informatie | personnes devant les appliquer. L'accès à toute l'information n'est |
| is echter niet nodig om dit doel te bereiken. | néanmoins pas nécessaire pour atteindre cet objectif. |
| Procedures en goede praktijken voor de informatieveiligheid die de | Les services de police développent, approuvent et communiquent des |
| onderhavige richtlijn zullen concretiseren, worden door de | procédures et des bonnes pratiques pour la sécurité de l'information |
| politiediensten ontwikkeld, goedgekeurd en gecommuniceerd. | qui concrétiseront la présente directive. |
| Er worden procedures vastgelegd voor elke gebruiker, in het bijzonder | Des procédures sont établies pour chaque utilisateur et en particulier |
| voor diegenen die toegang hebben tot gegevens met een bijzondere | pour ceux qui ont accès à des données avec une sensibilité |
| gevoeligheid of tot kritieke systemen. | particulière ou à des systèmes critiques. |
| Deze procedures hebben betrekking op de volgende onderwerpen: | Ces procédures portent sur les thèmes suivants : |
| - de toegangscontrole / het autorisatiebeheer; | - le contrôle d'accès / la gestion des autorisations ; |
| - de intrekking van rechten; | - le retrait des droits ; |
| - de vertrouwelijkheid van gegevens; | - la confidentialité des données ; |
| - de fysieke toegang tot gebouwen en infrastructuur; | - l'accès physique aux bâtiments et aux infrastructures ; |
| - de toegangssystemen en vertrouwelijkheid van toegangsgegevens; | - les systèmes d'accès et la confidentialité des données d'accès ; |
| - de maatregelen om het juiste gebruik te bepalen van werkinstrumenten die ter beschikking gesteld worden (zoals mobiele apparaten, telewerk, de geclassificeerde informatie, etc.); - de maatregelen die genomen worden om de activiteiten te controleren (toegang, vernietiging van opslag, toegang op afstand, logbestanden). Deze onderwerpen worden hieronder toegelicht. De politiediensten leggen procedures vast houdende de regels voor de toegang tot de gegevens en de informatie, met al dan niet een bijzondere gevoeligheid, evenals de controle die voorzien wordt om de naleving van deze regels te verzekeren. De politiediensten bepalen regels en veiligheidsmaatregelen voor het gebruik van mobiele informatiedragers en voor de toegang tot en het beheer van informatie op afstand (vb. telewerken). Procedures die de onderhavige richtlijn zullen concretiseren, worden hiervoor voorzien. | - les mesures permettant de déterminer l'utilisation correcte des outils de travail mis à disposition (tels que les appareils mobiles, le télétravail, les informations classifiées, etc.) ; - les mesures qui sont prises pour contrôler les activités (accès, destruction de stockage, accès à distance, journalisation). Ces thèmes sont détaillés ci-dessous. Les services de police élaborent des procédures détaillant les règles d'accès aux données et informations, ayant ou non une sensibilité particulière, ainsi que le contrôle mis en place pour s'assurer du respect de ces règles. Les services de police définissent les règles et mesures de sécurité pour l'utilisation des supports média mobiles et pour l'accès et la gestion des informations à distance (p.e. télétravail). Des procédures qui concrétiseront la présente directive sont prévues à cet effet. |
| 3) De veiligheid inzake het personeelsbeheer | 3) La sécurité concernant les ressources humaines |
| De politiediensten stellen een beleid op voor het beheer van de | Les services de police établissent une politique relative à la gestion |
| personeelsleden en de externe medewerkers inzake informatieveiligheid | des membres du personnel et collaborateurs externes en matière de |
| en gegevensbescherming. Er worden procedures ontwikkeld die betrekking | sécurité de l'information et de protection des données. Des procédures |
| hebben op de volgende aspecten: | couvrant les aspects suivants sont développées : |
| Voor de aanwerving: | Avant le recrutement : |
| - aanwervingsprocedures en bijbehorende maatregelen. | - procédures d'engagement et mesures y afférentes. |
| Tijdens de tewerkstelling: | Pendant l'occupation de l'emploi : |
| - modaliteiten die voorzien dat alle personeelsleden en externe | - les modalités visant à l'adhésion de tous les collaborateurs |
| medewerkers zich dienen te houden aan de interne instructies van de organisatie. Na beëindiging of verandering van dienstverband: - verantwoordelijkheden en verplichtingen voor informatiebeveiliging en gegevensbescherming blijven bestaan na beëindiging of verandering van dienstverband en deze voorwaarden moeten duidelijk worden gecommuniceerd en geïntegreerd in het werknemersmanagementproces (intern of extern). Met alle personen die toegang hebben tot de informatiesystemen van de politiediensten en die niet onderworpen zijn aan het statuut van de personeelsleden van de geïntegreerde politie, wordt een vertrouwelijkheidsovereenkomst afgesloten. | internes et externes aux instructions internes de l'organisation. Après la résiliation ou la modification de la relation de travail : - les responsabilités et les obligations relatives à la sécurité de l'information et à la protection des données demeurent après la résiliation ou le changement d'emploi et ces conditions doivent être clairement communiquées et intégrées dans le processus de gestion des collaborateurs (internes ou externes). Un contrat de confidentialité est conclu avec toute personne n'étant pas soumise au statut des membres de la police intégrée et ayant accès aux systèmes d'information des services de police. |
| 4) Sensibilisering, opleiding & communicatie | 4) Sensibilisation, formation & communication |
| De politiediensten voorzien in een permanente opleiding van de | Les services de police prévoient une formation continue des membres du |
| personeelsleden en de externe medewerkers met betrekking tot het | personnel et des collaborateurs externes en ce qui concerne la |
| informatieveiligheids- en gegevensbeschermingsbeleid. | politique de sécurité de l'information et de protection des données. |
| De politiediensten voorzien een opleidingsplan, opdat alle | Les services de police prévoient un plan de formation afin que tous |
| personeelsleden en externe medewerkers, de nodige opleiding krijgen en | les membres du personnel et collaborateurs externes, reçoivent la |
| op de hoogte worden gehouden van aanpassingen aan de richtlijnen en | formation nécessaire et qu'ils soient informés des modifications |
| procedures betreffende: | apportées aux directives et procédures concernant : |
| - de informatieveiligheid en de bescherming van het privéleven; | - la sécurité de l'information et la protection de la vie privée ; |
| - de maatregelen die van toepassing zijn bij de uitoefening van hun | - les mesures applicables à l'exercice de leurs fonctions ; |
| functies; - hun rol en verantwoordelijkheid daarin. | - leur rôle et leur responsabilité à cet égard. |
| De politiediensten ontwikkelen een sensibiliseringsprogramma met de | Les services de police développent un programme de sensibilisation |
| volgende doelstellingen: | ayant les objectifs suivants : |
| - de personeelsleden en de externe medewerkers bewust maken van de | - conscientiser les membres du personnel et les collaborateurs |
| informatieveiligheid en de bescherming van het privéleven (met focus | externes à la sécurité de l'information et à la protection de la vie |
| op persoonsgegevens); | privée (en mettant l'accent sur les données à caractère personnel) ; |
| - duidelijk uitleggen welke de verantwoordelijkheden zijn van de | - expliquer clairement les responsabilités respectives de l'autorité |
| hiërarchische overheid, van een specifieke dienst, van de medewerkers | hiérarchique, d'un service spécifique, du collaborateur et des |
| en van de personen belast met de controle van de toepassing van de | personnes chargées du contrôle de l'application des mesures de |
| veiligheidsmaatregelen. | sécurité. |
| De sessies dienen op geregelde tijdstippen te worden herhaald, zodat | Les sessions doivent être répétées régulièrement afin que les nouveaux |
| ook nieuwe medewerkers tijdig opgenomen worden in het programma. | collaborateurs soient inclus assez tôt dans le programme. |
| De informatie moet voor elk van de medewerkers: | Pour chaque collaborateur, l'information doit être : |
| o verstaanbaar zijn; | o compréhensible; |
| o aangepast aan de uitoefening van zijn/haar functie; | o appropriée pour l'exercice de sa fonction ; |
| o steeds op een eenvoudige, vlotte manier toegankelijk zijn. | o toujours accessible de manière simple et facile. |
| 5) Het beheer van de activa4 | 5) La gestion des actifs4 |
| Teneinde de veiligheid te verzekeren van de systemen die operationele | Afin de garantir la sécurité des systèmes traitant de l'information |
| gegevens verwerken, stellen de politiediensten de inventaris op van hun essentiële activa, ongeacht de categorie ervan (informatie, gegevens, applicaties, netwerken, processen, systemen enz.)5. De inventaris is een niet-exhaustieve en evolutieve lijst, die stapsgewijs aangevuld zal worden, teneinde een voortdurende verbetering te kunnen voorzien gebruikmakend van de hiervoor vermelde PDCA-cyclus. Het doel is om het maturiteitsniveau van de politiediensten geleidelijk te verhogen. Alle activa dienen in detail beschreven te worden en alle elementen ervan worden bijgehouden en geactualiseerd om zodoende te beschikken over een correct beeld van de informatie- en systeemarchitectuur van de organisatie. Een functionele verantwoordelijke wordt geïdentificeerd voor elk element van deze inventaris en in het betrokken beveiligingsplan wordt zijn taak duidelijk omschreven. De politiediensten zorgen ervoor dat er een procedure voor het beheer van de informatiemiddelen wordt uitgewerkt. Hierbij wordt rekening | opérationnelle, les services de police établissent l'inventaire de leurs actifs essentiels, quels que soient leurs types (informations, données, applications, réseaux, processus, systèmes, etc)5. L'inventaire est une liste non-exhaustive et évolutive, qui sera complétée au fur et à mesure, afin d'assurer une amélioration continue en utilisant le cycle PDCA mentionné ci-dessus. Il s'agit d'augmenter progressivement le niveau de maturité des services de police. Chaque actif sera détaillé et tous les éléments seront repris et tenus à jour afin de bénéficier d'une cartographie correcte de l'architecture des systèmes et de l'information de l'organisation. Un responsable fonctionnel est identifié pour chaque élément de cet inventaire et sa tâche est précisée dans le plan de sécurité concerné. Les services de police veillent à mettre en place une procédure de gestion des actifs de l'information en tenant compte de l'importance |
| gehouden met het belang van de gegevens van de organisatie. | des données de l'organisation. |
| 6) De toegangscontrole | 6) Le contrôle d'accès |
| Voor de politiediensten zijn de regels m.b.t. de toegang tot de | Pour les services de police, les règles relatives à l'accès aux |
| gegevens en informatie in de politionele gegevensbanken vervat in de | données et informations dans les banques de données policières sont |
| ministeriële richtlijn bedoeld in artikel 44/4, § 3 WPA. | contenues dans la directive ministérielle visée à l'article 44/4, § 3 LFP. |
| Voor de toegang tot de andere essentiële ICT-activa bepalen de | Pour l'accès aux autres actifs ICT essentiels, les services de police |
| politiediensten de toegangsregels in afzonderlijke procedures die de | définissent les règles d'accès dans des procédures distinctes qui |
| onderhavige richtlijn zullen concretiseren. | concrétiseront la présente directive. |
| Er wordt een proces voorzien dat de identificatie van de gebruiker | Un processus qui garantit l'identification de l'utilisateur lorsque |
| waarborgt wanneer deze zijn of haar taken wenst uit te oefenen. | celui-ci souhaite exercer ses tâches est mis en place. Les actifs ICT |
| Essentiële ICT-activa zijn enkel toegankelijk via een individuele en | essentiels ne sont accessibles que via un identifiant individuel et |
| unieke identificator. | unique. |
| 7) Cryptografie | 7) La cryptographie |
| De politiediensten beschermen afdoende de gegevens en informatie | Les services de police protègent adéquatement les données et |
| tijdens de opslag, de overdracht en het gebruik ervan. | l'information lors de leur stockage, de leur transport et de leur |
| utilisation. | |
| Zoals beschreven in artikel 50 en 60 van de GBW moeten | Comme décrit dans les articles 50 et 60 LPD, les données à caractère |
| persoonsgegevens tijdens de opslag, de overdracht en het gebruik ervan | personnel doivent être protégées de manière appropriée pendant le |
| adequaat worden beschermd. Het beschermingsniveau houdt rekening met | stockage, le transport et l'utilisation de celles-ci. Le niveau de |
| de risicoanalyse en, indien nodig, worden pseudonimiserings- of | protection tient compte de l'analyse de risque avec, selon les |
| versleutelingsmaatregelen voor de gegevens of informatie of elke | besoins, des mesures de pseudonymisation ou de chiffrement des données |
| andere maatregel die een passend beschermingsniveau waarborgt genomen. | ou de l'information, ou toute autre mesure permettant de garantir le |
| niveau de protection approprié. | |
| 8) De fysieke veiligheid | 8) La sécurité physique |
| De politiediensten beveiligen hun infrastructuur. Zij nemen de | Les services de police sécurisent leurs infrastructures. Ils prennent |
| beschermings- en beveiligingsmaatregelen om de toegangen te beheren | les mesures de protection et de sécurisation afin de gérer l'accès des |
| van de personen die de gebouwen en lokalen mogen betreden. De | personnes autorisées aux bâtiments et aux locaux. Les mesures sont |
| maatregelen zijn aangepast in functie van de fysieke aanwezigheid van | adaptées en fonction de la présence physique de personnes dans les |
| personen in de lokalen. | locaux. |
| De politiediensten beschermen hun gegevens en hun gegevensdragers. Zij | Les services de police protègent leurs données et leurs supports de |
| nemen preventieve maatregelen tegen verlies, schade, diefstal van of | données. Ils prennent des mesures préventives contre la perte, |
| ongeoorloofde toegang tot de activa van de organisatie en tegen een | l'endommagement, le vol ou la compromission des actifs de |
| eventuele onderbreking van de activiteiten van de organisatie. | l'organisation et contre une éventuelle interruption des activités de |
| l'organisation. | |
| 9) De operationele veiligheid | 9) La sécurité liée aux opérations |
| De politiediensten nemen voor alle essentiële activa afzonderlijk | Les services de police mettent en oeuvre des mesures spécifiques pour |
| specifieke maatregelen: elke verdachte handeling of elk incident wordt | chaque actif essentiel : tout acte suspect ou tout incident est |
| gemeld en onderzocht. Er wordt tevens een spoor bewaard van de | rapporté et investigué. Une trace du suivi de ces incidents est |
| opvolging van deze incidenten. | également conservée. |
| De minimale technische maatregelen die voor de ICT-middelen van de | Les mesures techniques minimales qui doivent être prévues pour les |
| politiediensten genomen moeten worden6, zijn: | moyens ICT des services de police6, sont: |
| - een anti-malware/antivirus: actueel en up-to-date; | - un antimalware/antivirus actuel et à jour ; |
| - een detectie- en blokkeringssysteem voor inbraak of ongeoorloofde | - un système de détection et de blocage des intrusions ou des accès |
| toegang; | non autorisés ; |
| - een procedure voor het bijwerken van software; | - une procédure de mise à jour des logiciels ; |
| - een incident management (inclusief communicatie); | - une gestion des incidents (y compris leur communication) ; |
| - back-up en business continuity (Operationele veiligheid) procedures. | - des procédures de back-up et de continuité des activités (sécurité opérationnelle). |
| 10) De beveiliging van de mededeling van de informatie | 10) La sécurité de la communication des informations |
| De politiediensten nemen specifieke maatregelen om de mededeling van | Les services de police prennent des mesures spécifiques pour sécuriser |
| informatie te beveiligen, teneinde een ongeoorloofde toegang tot de | la communication de l'information, afin d'éviter les accès non |
| gegevens en informatie te vermijden7. | autorisés aux données et informations7. |
| Indien toegelaten door de wet, worden de informatie en de gegevens van | Si la loi le permet, les données et informations des services de |
| de politiediensten steeds geraadpleegd door terug te keren naar de | police sont toujours consultées en retournant vers la banque de |
| oorspronkelijke gegevensbank met een controle van de daarvoor | données d'origine avec un contrôle des autorisations prévues pour |
| voorziene autorisaties. Mededelingen, kopieën of extracties worden | celle-ci. Des communications, des copies ou des extractions sont |
| vermeden. Indien dit absoluut niet mogelijk is en een mededeling van | évitées. Si ce n'est absolument pas possible et qu'une communication |
| bepaalde informatie of gegevens van de politiediensten toch dient te | de certaines données et informations des services de police doit |
| gebeuren, dienen de meegedeelde gegevens steeds toereikend, ter zake | malgré tout être effectuée, alors ces données communiquées doivent |
| dienend en niet overmatig te zijn rekening houdende met het doeleinde | toujours avoir un caractère adéquat, pertinent et non excessif par |
| van de mededeling en dienen steeds de nodige veiligheidsmaatregelen | rapport à la finalité de la communication et les mesures de sécurité |
| voorzien te worden. | nécessaires doivent toujours être prises. |
| 11) Aankoop, ontwikkeling en onderhoud van informatiesystemen | 11) Acquisition, développement et maintenance des systèmes |
| De politiediensten dienen bij de aankoop, de ontwikkeling (en testen) | d'information Lors de l'achat, du développement (et test) et de la maintenance de |
| en het onderhoud van systemen, processen en procedures die de | systèmes, les services de police conçoivent et utilisent des processus |
| onderhavige richtlijn zullen concretiseren, op te stellen en te | et des procédures qui concrétiseront la présente directive pour |
| gebruiken om de informatie te beschermen, zowel in de | protéger les informations et ce, aussi bien pendant la phase de |
| ontwikkelingsfase als tijdens het operationeel gebruik ervan. | développement que d'utilisation opérationnelle. |
| De systemen en processen voor gegevensverwerking worden ontworpen en | Les systèmes et les processus de traitement de données sont développés |
| ontwikkeld om de gegevens en informatie standaard (by default) te | et conçus pour protéger par défaut les données et informations (art. |
| beschermen (art. 51, § 2 GBW). | 51, § 2 LPD). |
| Indien het gebruik van operationele gegevens noodzakelijk is voor de | Si le recours à des données opérationnelles est indispensable pour le |
| ontwikkeling en de uitvoering van tests, dan kan het gebruik ervan | développement et la réalisation de tests, alors leur utilisation peut |
| door de verwerkingsverantwoordelijke uitzonderlijk worden toegestaan | être exceptionnellement autorisée par le responsable du traitement |
| na advies van het comité informatie en ICT. | après avis du comité information et ICT. |
| 12) Betrekkingen met derden (leveranciers, overheden) | 12) Relations avec les tiers (fournisseurs, autorités) |
| De politiediensten leggen de relaties met de leveranciers en de | Les services de police définissent les relations avec les fournisseurs |
| overheden vast. | et les autorités. |
| Deze relaties worden geformaliseerd in een document, dat in voorkomend | Ces relations sont formalisées dans un document qui indique |
| geval duidelijk aangeeft: | clairement, le cas échéant : |
| - wie de verwerkingsverantwoordelijke(n) is (zijn); | - qui est (sont) le(s) responsable(s) du traitement ; |
| - welke partij de verwerker is; | - quelle partie est le sous-traitant ; |
| - hoe de verantwoordelijkheden worden verdeeld; | - comment les responsabilités sont réparties ; |
| - hoe de gegevensbescherming georganiseerd is; met inbegrip van: | - comment la protection des données est organisée, y compris : |
| o de veiligheid en de vereiste houding; | o la sécurité et le comportement requis ; |
| o het beheer van incidenten; | o la gestion des incidents ; |
| o de melding van inbreuken; | o le signalement des violations ; |
| o het contact met de overheden (of niet). | o le contact avec les autorités (ou non). |
| 13) Het gebruik van een "Cloud" | 13) Le recours au cloud |
| Indien politiediensten beroep doen op "cloud computing" diensten, | Si les services de police font appel à des services de « cloud |
| voldoen deze aan de vereiste veiligheidsmaatregelen zoals hernomen in | computing », ces derniers doivent se conformer aux mesures de sécurité |
| het informatieveiligheidsbeleid en, in voorkomend geval, in het | requises, telles qu'elles sont définies dans la politique de sécurité |
| betrokken beveiligingsplan. Wanneer wordt afgeweken van de principes | de l'information et, le cas échéant, dans le plan de sécurité |
| vastgelegd in het informatieveiligheidsbeleid dient steeds het | correspondant. Les dérogations aux principes énoncés dans la politique |
| voorafgaand advies van het comité informatie en ICT te worden | de sécurité de l'information doivent toujours être soumises à l'avis |
| ingewonnen en is een beslissing vereist van het CCGPI. | préalable du comité Information et ICT, et une décision du CCGPI est |
| Contracten/documenten dienen als dusdanig te worden opgesteld, opdat | requise. Des contrats et des documents sont rédigés afin de faire respecter les |
| de vereiste veiligheidsmaatregelen worden gerespecteerd. | mesures de sécurité exigées. |
| Auditrapporten en certificeringen van cloud-dienstverleners, alsook de | Les rapports d'audit et les certifications des fournisseurs de |
| architectuur van de cloud-oplossing, worden aan de bevoegde | services cloud ainsi que l'architecture de la solution « cloud » sont |
| systeembeheerders (bij DRI en in respectievelijke politiezone) | communiquées aux gestionnaires des systèmes compétents (à la DRI et |
| gecommuniceerd, zodat zij voorafgaandelijk kunnen nagaan of deze | dans la zone de police respective) afin qu'ils puissent vérifier au |
| voldoen aan de vereiste veiligheidsmaatregelen en/of desgewenst de | préalable si les mesures de sécurité requises sont respectées et/ou |
| nodige aanpassingen kunnen vragen. | demander les adaptations nécessaires le cas échéant. |
| Vereist is dat Cloud-datacenters en de bijbehorende technische faciliteiten zich op het grondgebied van de Europese Unie bevinden. In contracten/documenten moet duidelijk worden vastgelegd wie de verwerkingsverantwoordelijke is, welke partij verwerker is en hoe de verantwoordelijkheden worden verdeeld. 14) Incident management aangaande informatieveiligheid De politiediensten zorgen ervoor dat zowel personeelsleden als externe medewerkers en andere betrokken personen beschikken over een procedure die het mogelijk maakt om verdachte activiteiten te rapporteren. Het gaat om een procedure om mogelijke of vermoedelijke inbreuken in verband met persoonsgegevens of in verband met de veiligheid van systemen te rapporteren, te registeren en te behandelen zodat kwetsbaarheden voortijdig en gestructureerd kunnen behandeld worden. De politiediensten stellen eveneens een incidentenbeheersplan op, zowel voor informatieveiligheidsincidenten als inbreuken in verband met persoonsgegevens, dat: - de rollen en verantwoordelijkheden van alle betrokken actoren vastlegt; - een intern register voorziet waarin alle gemelde inbreuken op de beveiliging worden hernomen. De politiediensten zorgen ervoor dat het personeelslid dat een mogelijk veiligheidsincident rapporteert hierdoor geen negatieve gevolgen ondervindt. | Il est exigé que les centres de données « cloud » et les facilités techniques qui y sont liées se situent sur le territoire de l'Union Européenne. Dans les contrats et les documents, il est clairement établi qui est le responsable du traitement, quelle partie est le sous-traitant et comment les responsabilités sont réparties. 14) Gestion des incidents liés à la sécurité de l'information Les services de police veillent à ce que les membres du personnel ainsi que les collaborateurs externes et d'autres personnes impliquées disposent d'une procédure permettant de signaler les activités suspectes. Il s'agit d'une procédure permettant de rapporter, d'enregistrer et de gérer des violations potentielles ou présumées de données à caractère personnel ou de la sécurité des systèmes afin que les vulnérabilités puissent être traitées rapidement et de manière structurée. Les services de police mettent également en place un plan de gestion tant pour des incidents en matière de sécurité de l'information que pour des violations de données à caractère personnel. Ce plan reprendra : - les rôles et les responsabilités de tous les acteurs impliqués ; - un registre interne des incidents contenant tous les incidents de sécurité signalés. Les services de police veillent à ce que le membre du personnel qui signale un éventuel incident de sécurité n'en subisse pas de conséquences négatives. |
| 15) Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer | 15) Aspects de la sécurité de l'information dans la gestion de la |
| De politiediensten voorzien een beschermingssysteem dat de | continuité de l'activité |
| beschikbaarheid van de gegevens en de informatie garandeert. | Les services de police prévoient un système de protection garantissant |
| De politiediensten voorzien de nodige bescherming van de informatie en | la disponibilité des données et de l'information. |
| de gegevens die zij verwerken tegen verlies, ongeoorloofde wijziging | Les services de police prévoient la protection nécessaire de |
| of vernietiging, hetzij per ongeluk hetzij door een moedwillige | l'information et des données qu'ils traitent contre la perte, la |
| modification ou la destruction non autorisée, soit par accident soit | |
| handeling. | par acte malveillant. |
| De politiediensten zorgen ervoor dat de beschikbaarheid van en toegang | Les services de police veillent à ce que la disponibilité et l'accès à |
| tot de informatie en de gegevens na een fysiek of technisch incident | des informations ou à des données soient rétablis rapidement après un |
| tijdig kan hersteld worden. | incident physique ou technique. |
| De politiediensten voorzien een oplossing, teneinde de continuïteit | Les services de police prévoient une solution afin d'assurer la |
| van de gebruikte toepassingen te verzekeren. In deze oplossing worden | continuité des applications utilisées. Dans cette solution, les codes |
| maximaal de ontwikkelcodes van de toepassingen bijgehouden. | de développement des applications seront au maximum conservés. |
| 16) Juridische monitoring | 16) Veille juridique |
| De politiediensten volgen alle wetswijzigingen inzake de | Les services de police suivent toutes les modifications législatives |
| informatieveiligheid en de gegevensbescherming op, evenals de door de | relatives à la sécurité de l'information et la protection des données, |
| bevoegde overheden of organen uitgebrachte of gewijzigde adviezen | ainsi que les avis émis ou modifiés par les autorités ou organes |
| hieromtrent. | compétents à ce sujet. |
| 17) Evaluatie van de beveiligingsmaatregelen | 17) Evaluation des mesures de sécurité |
| De politiediensten evalueren op geregelde tijdstippen de informatiebeveiliging (onder andere conform de voornoemde PDCA-cyclus). De beveiligingsplannen dienen mettertijd te evolueren. Ze kunnen met name worden herzien om rekening te houden met: - veranderingen in bedreigingen en feedback als gevolg van incidentenbehandeling; - de resultaten van risicoanalyses, controleonderzoeken of audits; - veranderingen in organisatorische, juridische, regelgevende en technologische contexten. | Les services de police évaluent régulièrement la sécurité de l'information (entre autres conformément au cycle PDCA précité). Les plans de sécurité doivent évoluer avec le temps. Ils peuvent être revus pour tenir compte : - des changements dans les menaces et des leçons tirées suite à la gestion d'incidents ; - des résultats d'analyses de risques, d'enquêtes de contrôle ou d'audits ; - de changements de l'organisation ou du contexte juridique, réglementaire ou technologique. |
| Deze evoluties en aanpassingen worden opgevolgd door het comité | Ces évolutions et adaptations sont suivies par le comité information |
| informatie en ICT en het "coördinatiecomité van de geïntegreerde | et ICT et le comité de coordination de la police intégrée, avec les |
| politie", met de volgende hoofdtaken: | tâches principales suivantes : |
| - de opvolging van de uitvoering van het veiligheidsbeleid en de | - le suivi de l'exécution de la politique de sécurité et des plans de |
| beveiligingsplannen; | sécurité ; |
| - het meten van de voortgang en de beveiligingsstatus van de | - la mesure de l'évolution et du statut de sécurité de l'organisation |
| organisatie; | ; |
| - het voorstellen van updates; | - la proposition de mises à jour ; |
| - het voorstellen van aanvullende documenten en richtsnoeren om de | - la proposition de documents et directives complémentaires pour |
| tenuitvoerlegging ervan te vergemakkelijken of te verduidelijken; | faciliter et rendre plus claire la mise en oeuvre ; |
| - de opvolging van de evolutie van de technische documenten. | - le suivi de l'évolution des documents techniques. |
| IV. De methodologie | IV. La méthodologie |
| Voor het inventariseren van de essentiële activa van de | Pour établir l'inventaire des actifs essentiels des services de police |
| politiediensten en de risicoanalyse voor elk van deze essentiële | et l'analyse de risque pour chacun des actifs essentiels, les services |
| activa kunnen de politiediensten zich inspireren op de methodologie | de police peuvent s'inspirer de la méthodologie prévue dans les « |
| voorzien in de "Baseline Information Security Guidelines" van het | Baseline Information Security Guidelines » du Centre pour la |
| Belgisch Centrum voor Cybersecurity. | Cybersécurité Belgique. |
| _______ | _______ |
| Nota's | Notes |
| 1 Verordening (EU) 2016/679 van het Europees Parlement van 27 april | 1 Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 |
| 2016 betreffende de bescherming van natuurlijke personen in verband | avril 2016 relatif à la protection des personnes physiques à l'égard |
| met de verwerking van persoonsgegevens en betreffende het vrije | du traitement des données à caractère personnel et à la libre |
| verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. | circulation de ces données, et abrogeant la directive 95/46/CE. |
| 2 Zoals bedoeld in artikel 8ter van de wet van 7 december 1998 tot | 2 Tel que visé à l'article 8ter de la loi du 7 décembre 1998 |
| organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus. | organisant un service de police intégré structuré à deux niveaux. |
| 3 Zoals bedoeld in artikel 8sexies van de wet van 7 december 1998 tot | 3 Tel que visé à l'article 8sexies de la loi du 7 décembre 1998 |
| organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus. | organisant un service de police intégré structuré à deux niveaux. |
| 4 Voor informatiebeveiliging worden de essentiële activa in brede zin | 4 Pour la sécurité de l'information, on considère les actifs |
| essentiels au sens large comme étant "toutes les ressources qui ont | |
| beschouwd als 'alle middelen die een waarde hebben voor de organisatie | une valeur pour l'organisation et qui doivent être sécurisées". Cela |
| en die moeten worden beveiligd'. Dit beperkt zich niet enkel tot | ne se limite pas uniquement à l'infrastructure IT ou aux ressources |
| IT-infrastructuur of tastbare middelen, maar ook tot mensen. Het | matérielles, mais aussi aux personnes. Il peut également s'agir de |
| kunnen bovendien ook ontastbare middelen zijn, zoals processen, | ressources immatérielles, telles que des processus, des procédures, |
| procedures, bepaalde werkwijzen, kennis en expertise etc. | certaines méthodes de travail, des connaissances et des compétences, etc. |
| 5 Datacenter, toegangsystemen, antivirus, ... | 5 Datacenter, systèmes d'accès, antivirus, ... |
| 6 Zoals beschreven in de inleiding, gaat het om een progressieve | 6 Comme décrit dans l'introduction, il s'agit d'une implémentation |
| implementatie ingevolge het maturiteitsniveau. | progressive en fonction du niveau de maturité. |
| 7 Het kan onder meer gaan om veiligheidsmaatregelen die voorzien | 7 Il peut s'agir de mesures de sécurité prévues par un arrêté royal |
| worden in een koninklijk besluit voorzien door artikel 44/11/12 WPA | prévu par l'article 44/11/12 LFP réglementant un accès particulier ou |
| dat een bepaalde toegang regelt of een samenwerkingsprotocol inzake | un protocole de coopération en matière de communication de données |
| mededeling van gegevens aan een partner van de politiediensten. | avec un partenaire des services de la police. |