Veiligheidsrichtlijnen voor Vesta en VO (vrijwillige oppashulp)

Toegang tot het Rijksregister

Op 30 juli 2008 verleende het Sectoraal comité van het Rijksregister, dat toeziet op de veiligheid en de bescherming van de gegevens in het Rijksregister en het gebruik van het identificatienummer van het Rijksregister, een machtiging voor Vesta (pdf bestandMachtiging Rijksregister Vesta (beraadslaging RR nr. 36 2008) (126 kB)). Op 21 januari 2009 verleende dat Sectoraal comité nog een aanvullende machtiging (pdf bestandMachtiging Rijksregister Vesta (beraadslaging RR nr. 01 2009) (250 kB)). Die machtigingen hebben betrekking op het gebruik van Vesta voor gezinszorg, vanaf 1 januari 2009.

Naar aanleiding van de uitbreiding van Vesta naar aanvullende thuiszorg en de diensten voor logistieke hulp, vanaf 1 januari 2012, en de ingebruikname van een systeem van elektronische gegevensuitwisseling voor de diensten voor oppashulp, vanaf 1 januari 2013, verleende het Sectoraal comité van het Rijksregister een nieuwe machtiging pdf bestandMachtiging Rijksregister Vesta (beraadslaging RR nr 01 2012) (213 kB)

Voor de diensten voor gezinszorg en aanvullende thuiszorg, de diensten voor logistieke hulp en de diensten voor oppashulp waarvan de initiatiefnemer geen OCMW of ziekenfonds is, krijgen die machtigingen om het identificatienummer van het Rijksregister te gebruiken slechts uitwerking nadat de diensten aan een aantal voorwaarden voldoen. De Vereniging van de Diensten voor Gezinszorg van de Vlaamse Gemeenschap (VVDG) heeft daarom een veiligheidsconsulent aangesteld, die verantwoordelijk is voor het informatieveiligheidsbeleid van alle erkende diensten waarvan de initiatiefnemer geen OCMW of geen ziekenfonds is. Voor de OCMW's en ziekenfondsen is dat niet nodig: zij beschikken allemaal over een veiligheidsconsulent, omdat zij ingeschakeld zijn in het netwerk van de sociale zekerheid.

Veelgestelde vragen over het ICT-veiligheidsbeleid

Moet elke dienst een eigen veiligheidsconsulent hebben?

Omdat de diensten voor gezinszorg en aanvullende thuiszorg, de diensten voor logistieke hulp en de diensten voor oppashulp gebruik maken van persoonsgegevens, moeten zij een veiligheidsconsulent hebben. Dat is een verplichting die opgelegd wordt door de Commissie voor de bescherming van de persoonlijke levenssfeer. Voor de diensten voor gezinszorg en aanvullende thuiszorg, de diensten voor logistieke hulp en de diensten voor oppashulp waarvan de initiatiefnemer een OCMW of een ziekenfonds  is, stelt er zich geen probleem, omdat die al een veiligheidsconsulent hebben. Voor de andere diensten heeft de Vereniging van de Diensten voor Gezinszorg van de Vlaamse Gemeenschap (VVDG) een veiligheidsconsulent aangeduid, die verantwoordelijk is voor het informatieveiligheidsbeleid van de diensten in kwestie.

Welke gegevens moeten gelogd worden?

Hier kunnen we als agentschap enkel een advies geven aan de diensten. Het loggen is een verplichting die opgelegd wordt door de Commissie voor de bescherming van de persoonlijke levenssfeer. De veiligheidsconsulent van het agentschap adviseert dat men als dienst moet kunnen antwoorden op de vraag: wie heeft wat wanneer en hoe geconsulteerd? Dat betekent dat minimaal de volgende gegevens gelogd moeten worden:

  • gebruikersbeheer;
  • wie heeft wanneer ingelogd en uitgelogd in het systeem;
  • datum en tijdstip van de consultatie van een individueel persoonsgegeven, met daarbij ook:
    • identificatie van de gebruiker (INSZ-nummer en ondernemingsnummer);
    • identificatie van de transactie (naam van het proces, programma, use case …);
    • identificatie van het onderwerp (INSZ-nummer, naam …);
    • beschrijving van het type operatie (creatie, consultatie, opzoeking …).

Het is de eigen verantwoordelijkheid van de dienst om de hierboven beschreven logging uit te voeren en gedurende minimaal 10 jaar bij te houden. Dat kan eventueel offline gebeuren.