De strijd tegen het coronavirus doet de lokale besturen in Vlaanderen sneller dan ooit digitaliseren: thuiswerken, videoconferenties en online communicatie zijn inmiddels ieders deel, maar verder zijn er ook de gevoelige gegevensverwerkingen in het kader van het lokaal contact- en brononderzoek, de uitrol van een eID met vingerafdrukken, … De digitalisering van lokale besturen heeft -deels noodgedwongen- een hoge vlucht genomen, maar niet alle besturen blijken te voldoen aan de eisen die hiermee gepaard gaan.

Aansluitend op een eerste thema-audit Informatiebeveiliging uit 2018, die werd uitgevoerd bij een 28-tal lokale besturen, heeft Audit Vlaanderen het voorbije jaar een tweede thema-audit Informatiebeveiliging georganiseerd bij een 6-tal lokale besturen.

Het nieuwe rapport (dat pas werd bekendgemaakt (hier)) maakt -jammer genoeg- duidelijk dat de lokale besturen in deze tijden van voortschrijdende digitalisering aanzienlijke, bijkomende inspanningen moeten leveren om de risico’s voor informatiebeveiliging voldoende te kunnen beheersen.

Informatieveiligheid en de Algemene Verordening Gegevensbescherming: er is werk aan de winkel

Belangrijkste conclusie van de nieuwste audit is dat de resultaten in lijn liggen met de resultaten van de eerste thema-audit Informatiebeveiliging uit 2018 (ondanks de enorme toename van de digitalisering en toen reeds aangestipte ‘aandachtspunten’).

Waar in de voorbije periode stappen zijn gezet op vlak van telewerk en het digitaliseren van administratieve processen, concludeert Audit Vlaanderen dat de besturen nog steeds falen om de vereiste vooruitgang te boeken inzake de beheersing van risico’s met betrekking tot “Leveranciersrelaties”, “Actualisatie van systemen”, “Technische beschermingsmaatregel” en “Toegangen en rechten”. Ook wat de continuïteit van dienstverlening betreft, blijkt uit het rapport dat te weinig werk wordt gemaakt van een bedrijfscontinuïteitsplan en een afdoende bescherming en testing van back-ups.

Enigszins eigenaardig wordt verder vastgesteld dat de (6) geauditeerde lokale besturen enerzijds wel zouden voldoen aan de basisverplichtingen van de Algemene Verordening Gegevensbescherming, hoewel er anderzijds werd vastgesteld dat:

• Verwerkingsregisters -hoewel vereist- onvoldoende worden geactualiseerd en bijgehouden, niettegenstaande dit cruciale document door de Gegevensbeschermingsautoriteit wordt beschouwd als een ‘levend document’;
• Verwerkersovereenkomsten -hoewel vereist- bijna 3 jaar na de actieve handhaving van de Algemene Verordening Gegevensbescherming in bepaalde gevallen nog steeds niet zijn afgesloten;
• Incidenten -hoewel vereist- niet voldoende systematisch worden geregistreerd in een incidentenregister;
• Bepaalde veiligheidsplannen -hoewel vereist- niet meer zijn bijgestuurd sedert de implementatie van de Algemene Verordening Gegevensbescherming in 2017 – 2018;
• Procedures en processen om snel en gepast te reageren op een uitoefening van rechten onder de Algemene Verordening Gegevensbescherming -hoewel vereist- nog steeds ontbreken en/of onvoldoende zijn, en dit ondanks de sancties die hiervoor reeds zijn opgelegd door de Gegevensbeschermingsautoriteit;
• Een bewustmaking en sensibilisering van personeelsleden met betrekking tot de bescherming van persoonsgegevens weliswaar werd georganiseerd bij de implementatie van de Algemene Verordening Gegevensbescherming in 2017-2018 maar -hoewel vereist- niet voldoende periodiek wordt herhaald-/hernomen;
• In de gevallen waarin beroep wordt gedaan op een externe functionaris voor gegevensbescherming (DPO) deze niet steeds gekend was door de gehele organisatie;

Rekening houdende met deze resultaten (en eigen vaststellingen in de praktijk), mag dan ook met Audit Vlaanderen worden aangenomen dat er nog steeds (voldoende en noodzakelijk) werk op de plank ligt voor de lokale besturen op vlak van informatieveiligheid en gegevensbescherming. Daartoe definieerde Audit Vlaanderen (o.a.) ook een 7-tal ‘quick wins’ die een impact kunnen hebben op de informatieveiligheid van lokale besturen:

• Het hanteren van een wachtwoordbeleid voor alle lokale systemen
• Duidelijke afspraken maken rond het beheer van toegangen en rechten
• Definiëren wie instaat voor het up-to-date houden van de ICT-systemen
• Versleuteling meer integreren in het lokaal IT-beleid, in combinatie met heldere afspraken
• Investeren in netwerksegregatie om schade bij cybercrime in te perken
• Gekende zwakke plekken opvolgen
• Werk maken van een volwaardig bedrijfscontinuïteitsplan

Het belang van informatieveiligheid en persoonsgegevensbescherming neemt enkel toe – de eID met vingerafdrukken doorstaat de toets van het Grondwettelijk Hof

En er is meer. Thans dient vastgesteld dat het niet enkel de strijd tegen het coronavirus is die het belang van een goede informatieveiligheid en persoonsgegevensbescherming doet toenemen, gezien het Grondwettelijk Hof bij arrest van 14 januari 2021 heeft geoordeeld geen juridische problemen te zien bij de integratie van de vingerafdruk op de nieuwe eID.

Ondanks negatieve advisering door de Gegevensbeschermingsautoriteit, verwerpt het Grondwettelijk Hof alle wettigheidsbezwaren en wordt geoordeeld dat de integratie van de vingerafdruk strekt tot het bestrijden van identiteitsfraude; een doeleinde dat de inmenging in het recht op eerbiediging van het privéleven en de bescherming van persoonsgegevens “redelijk verantwoordt”.

Deze inmenging in het recht op eerbiediging van het privéleven en de bescherming van persoonsgegevens wordt volgens het Grondwettelijk Hof verder ook verantwoord doordat er zal voorzien worden in voldoende waarborgen, er geen centraal register van vingerafdrukken zal aangelegd worden én er slechts een beperkt aantal autoriteiten toegang zullen krijgen tot de betreffende gegevens.

Overwegende dat ook het gemeentepersoneel -in zeker mate- toegang zal krijgen tot deze persoonsgegevens, vormt de uitrol van de eID met vingerafdrukken aldus een bijkomende reden voor de lokale besturen om (meer/voldoende) belang te hechten aan een goede informatieveiligheid en persoonsgegevensbescherming.

Wij herinneren er immers aan dat uw bestuur bij niet-/onvoldoende naleving van de Algemene Verordening Gegevensbescherming niet de eerst zou zijn, die het risico loopt op (strafrechtelijke) sancties en/of corrigerende maatregelen. Iedereen zou ondertussen immers op de hoogte moeten zijn van de steeds actievere rol die de Belgische privacywaakhond opneemt t.a.v. de lokale en bovenlokale overheden…

Als juridische partner van de lokale besturen beschikt GD&A Advocaten -met haar 3 gediplomeerde data protection officers (DPO’s)– in elk geval over de nodige kennis / ervaring om uw bestuur op een zo beperkt / kort mogelijke tijdspanne bij te staan op vlak van de Algemene Verordening Gegevensbescherming én onaangename verrassingen in de (nabije) toekomst te vermijden.