La sécurité de l’information est un enjeu important pour notre organisme public. Iriscare, via son service dédié, met un point d’honneur à développer une culture de sécurité au sein de ses différents services. De nombreuses actions sont mises en place afin de garantir en permanence un haut niveau de protection des données à caractère personnel traitées ou échangées par Iriscare.
Des sites conformes au RGPD
Le service « Sécurité de l’information » réalise un important travail afin que l’ensemble des communications d’Iriscare soit conforme au RGPD (Règlement Général sur la Protection des Données). Une veille RGPD régulière est donc assurée sur la documentation se trouvant sur nos différents canaux de communication (Irispedia, checkmarket,…). En 2021, par exemple, le service a veillé à la conformité des mentions légales sur le site web de Famiris et a rédigé des notes sur les aspects RGPD relatifs à certains projets d’ordonnance.
De nombreuses analyses menées
Le travail de ce service passe également par une analyse de la conformité au RGPD des procédures de marchés publics, des contrats et/ou projets impliquant des données à caractère personnel: c’est-à-dire, la mise à jour des clauses contractuelles liant Iriscare tant à ses fournisseurs qu’à ses partenaires (autre entité, assureurs, marchés publics, etc.). Au total :
• La sous-traitance d’activités de traitement des données personnelles à des tiers (marchés publics) a fait l’objet de signature de 12 contrats de traitement des données conformément à l’article 28.3 du RGPD;
• 2 protocoles ont été signés conformément à l’article 20 de la loi du 30 juillet 2018 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel;
• 20 clauses RGPD ont été mises à jour dans divers contrats;
• des analyses d’impact relative à la protection des données (AIPD) ont été menées pour 3 projets;
• 3 demandes directes d’avis ont été envoyées à la BCSS au sujet des délibérations du Comité de sécurité de l’information (CSI) et une demande d’avis a été envoyée à l’autorité de contrôle (APD).
La gestions des accès aux applications
En parallèle du RGPD, d’autres missions sont réalisées par le service. Il apporte notamment son soutien dans le cadre de la pandémie de la COVID-19 et s’occupe de la gestion des accès aux applications, en collaboration avec le service informatique. Qu’est-ce que cela signifie ? « Il s’agit d’évaluer et d’approuver des demandes d’accès (VPN, certificats, Dolsis, etc.) aux applications de la Sécurité sociale ou à toutes les autres applications utilisées au sein d’Iriscare et de formuler des demandes d’accès au Registre National, etc. », explique Agnès Wambo, responsable du service. « En 2021, plus de 70 demandes d’accès ont été évaluées et approuvées ».
Une autre mission importante de ce service est la gestion des accèsdans l’application de Gestion des accès pour Entreprises et Organisation. « Il s’agit de la mise à jour de la liste VPN des agents Iriscare avec un accès actif mais également du suivi de la procédure d’accès à l’application eCat par les fournisseurs et/ou utilisateurs étrangers sans l’eID belge », précise Agnes Wambo.
Sensibiliser les collaborateurs
Un important travail de sensibilisation est également mené auprès des collaborateurs d’Iriscare. « L’objectif est de familiariser l’ensemble du personnel avec les principes de base en matière de sécurité de l’information et de protection des données », explique Agnes Wambo. « Par exemple, au mois d’octobre 2021, les collaborateurs d’Iriscare ont été sensibilisés via l’intranet sur le phishing ».
En parallèle de ces missions, le Data Protection Office (DPO) participe également au groupe de travail Sécurité de l’information. « Ce groupe de travail a été institué au sein du Comité général de coordination (CGC) de la banque-carrefour de la sécurité sociale (BCSS) afin de garantir la coordination requise entre les délégués à la protection des données des différentes institutions de sécurité sociale », détaille Agnes Wambo. « La BCSS et les DPO travaillent ensemble afin de garantir la protection du réseau de la sécurité sociale. »