Als openbare instelling is Iriscare bijzonder aandachtig voor informatieveiligheid. Iriscare heeft er een specifieke dienst voor, die verschillende maatregelen uitvoert om de gegevensbescherming te waarborgen.
De dienst Informatieveiligheid blijft de nadruk leggen op het ontwikkelen van een veiligheidscultuur bij Iriscare. “De verschillende diensten zijn zich steeds meer bewust van het belang dat Iriscare hecht aan de optimale bescherming van persoonsgegevens en beveiliging van gegevens in elke verwerkingsfase,” zegt Agnès Wambo, de verantwoordelijke van de dienst.
Er werden meerdere opdrachten op het gebied van informatieveiligheid en de bescherming van persoonsgegevens in de verschillende diensten van Iriscare uitgevoerd in 2022.
De AVG staat centraal in onze acties
De Algemene Verordening Gegevensbescherming (AVG) speelt vanzelfsprekend een belangrijke rol bij de acties van de dienst Informatieveiligheid. De dienst stelt nota’s op over de aspecten van de AVG (wettelijke basis, doeleinden, effectbeoordeling, verzoek om advies van de toezichthoudende autoriteit, protocol, enz.) die verband houden met bepaalde ontwerpen van ordonnanties en gaat na of overeenkomsten en projecten waarbij persoonsgegevens betrokken zijn, overeenstemmen met de AVG. “Concreet gaat het om het opstellen of bijwerken van clausules die Iriscare zowel aan zijn leveranciers als zijn partners binden,” legt Agnès Wambo uit. “Voor de uitbesteding van de verwerking van persoonsgegevens aan derden (overheidsopdrachten) zijn negen overeenkomsten voor de verwerking van persoonsgegevens gesloten overeenkomstig het derde punt van artikel 28 van de AVG. Daarnaast zijn vier protocollen ondertekend, zestien AVG-clausules in verschillende overeenkomsten bijgewerkt, gegevensbeschermingseffectbeoordelingen uitgevoerd voor vier projecten en twee rechtstreekse verzoeken om advies naar de KSZ gestuurd in verband met beraadslagingen van het Informatieveiligheidscomité. Verder gaf de DPO (Data Protection Officer) dertig adviezen over verzoeken van verschillende diensten van Iriscare.“
Tot slot heeft de dienst ook AVG-adviezen opgesteld voor de wettelijke vermeldingen op het Curas-portaal en ziet hij toe op de documentatie op onze communicatiemedia.
Focus op de websites
Ook het privacybeleid van de Iriscare-websites werd in 2022 bijgewerkt. “Het privacybeleid van Iriscare vermeldt nu ook de bevoegdheden die het nieuwe Centrum voor Evaluatie van de Autonomie en de Handicap (CEAH) sinds 1 januari 2022 uitoefent,” zegt Agnès Wambo
De toegang tot toepassingen beheren
De dienst Informatieveiligheid beheert ook de toegang tot toepassingen. “We evalueren en verlenen een goedkeuring aan verzoeken om toegang (VPN, certificaten, Dolsis, Portiris, enz.) tot toepassingen van de sociale zekerheid of andere toepassingen die bij Iriscare worden gebruikt, we stellen verzoeken om toegang tot het Rijksregister op, enz. In 2022 maakten we het toegangsformulier voor de nieuwe toepassing Portiris en de bijlagen ervan op en stelden het ter beschikking van de kinderbijslagfondsen. Elk toegangsformulier moet worden ondertekend door de DPO van de instelling die om toegang tot de Portiris-toepassing vraagt,” verduidelijkt Agnès Wambo. “Bovendien evalueerden we in 2022 meer dan negentig VPN-toegangsverzoeken en fluxverzoeken om ze goed te keuren.“
Verder beheert de dienst eGov-rollen in de toepassing Toegangsbeheer voor Ondernemingen en Organisaties. Concreet betekent dit de lijst van Iriscare-medewerkers met actieve toegang tot de VPN bijwerken en de VPN-toegang van medewerkers die Iriscare definitief hebben verlaten, schrappen.
De dienst neemt ook deel aan de werkgroep Informatieveiligheid die in het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid werd opgericht om te zorgen voor de coördinatie tussen de DPO’s van de verschillende socialezekerheidsinstellingen. Die werkgroep houdt vier vergaderingen per jaar.
De medewerkers meer bewustmaken
Een andere belangrijke opdracht is de Iriscare-medewerkers meer bewustmaken. “Aangezien phishing een van de belangrijkste bedreigingen is in het huidige cyberlandschap, moeten alle medewerkers van Iriscare er voortdurend op worden gewezen zodat ze phishingberichten beter kunnen herkennen en zo voorkomen dat ze in de val lopen van cybercriminelen,” legt Agnès Wambo uit. “Zo informeerden we in februari 2022 de medewerkers van Iriscare via het intranet over phishing.“
Als instelling van openbaar nut hecht Iriscare veel belang aan persoonsgegevensbescherming. Dat is een cruciaal thema voor Iriscare, die er voortdurend op toeziet de geldende regels te volgen.