Artikel 1. Voor de toepassing van dit besluit wordt verstaan onder :
1° " wet " : de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid;
2° " Kruispuntbank " : de Kruispuntbank van de sociale zekerheid;
3° [2 "informatieveiligheidscomité": de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité bedoeld in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;]2
4° " instelling " : de instellingen van sociale zekerheid bedoeld in artikel 2, eerste lid, 2°, van de wet, de Kruispuntbank, evenals de andere beheersinstellingen van een secundair netwerk;
5° " beheersinstelling van een secundair netwerk " : een instelling die een bijzonder repertorium van de personen bedoeld in artikel 6, tweede lid, 2°, van de wet bijhoudt;
6° " Minister " : de Minister die [2 de sociale zaken]2 onder zijn bevoegdheid heeft;
7° [2 "verantwoordelijke voor het dagelijks bestuur": de verantwoordelijke voor het dagelijks bestuur van een instelling of, indien het een federale overheidsdienst belast met de toepassing van de sociale zekerheid betreft, de voorzitter van het directiecomité of de directeur-generaal die door hem wordt aangewezen;]2
8° [2 "functionaris voor gegevensbescherming": de persoon bedoeld in artikel 25 van de wet;]2
9° [1 " informatieveiligheid " : strategie, regels, procedures en middelen voor het beschermen van alle soorten informatie zowel in de transmissiesystemen als in de verwerkingssystemen om de vertrouwelijkheid de beschikbaarheid, de integriteit, de betrouwbaarheid, de authenticiteit en de onweerlegbaarheid ervan te garanderen.]1
Nederlands (NL)
Français (FR)
Titre
12 AUGUSTUS 1993. - Koninklijk besluit houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid. - (NOTA : Raadpleging van vroegere versies vanaf 22-03-2013 en tekstbijwerking tot 16-01-2019)
Titre
12 AOUT 1993. - Arrêté royal relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale. - (NOTE : Consultation des versions antérieures à partir du 22-03-2013 et mise à jour au 16-01-2019)
Informations sur le document
Numac: 1993022279
Datum: 1993-08-12
Info du document
Numac: 1993022279
Date: 1993-08-12
Table des matières
Tekst (23)
Texte (23)
HOOFDSTUK I. - Definities.
CHAPITRE I. - Des définitions.
Article 1. Pour l'application du présent arrêté, on entend par :
1° " loi " : la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale;
2° " Banque-carrefour " : la Banque-carrefour de la sécurité sociale;
3° [2 "comité de sécurité de l'information": la chambre sécurité sociale et santé du comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;]2
4° " institution " : les institutions de sécurité sociale visées à l'article 2, alinéa 1er, 2°, de la loi, la Banque-Carrefour, ainsi que les autres institutions gérant un réseau secondaire;
5° " institution gérant un réseau secondaire " : une institution qui tient un répertoire particulier des personnes, visé à l'article 6, alinéa 2, 2°, de la loi;
6° " Ministre " : le Ministre qui a [2 les affaires sociales]2 dans ses attributions;
7° [2 "responsable de la gestion journalière": le responsable de la gestion journalière d'une institution, ou, lorsqu'il s'agit d'un service public fédéral chargé de l'application de la sécurité sociale, le président du comité de direction ou le directeur général désigné par celui-ci;]2
8° [2 "délégué à la protection des données": la personne visée à l'article 25 de la loi;]2
9° [1 " sécurité de l'information " : stratégie, règles, procédures et moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information.]1.
1° " loi " : la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale;
2° " Banque-carrefour " : la Banque-carrefour de la sécurité sociale;
3° [2 "comité de sécurité de l'information": la chambre sécurité sociale et santé du comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;]2
4° " institution " : les institutions de sécurité sociale visées à l'article 2, alinéa 1er, 2°, de la loi, la Banque-Carrefour, ainsi que les autres institutions gérant un réseau secondaire;
5° " institution gérant un réseau secondaire " : une institution qui tient un répertoire particulier des personnes, visé à l'article 6, alinéa 2, 2°, de la loi;
6° " Ministre " : le Ministre qui a [2 les affaires sociales]2 dans ses attributions;
7° [2 "responsable de la gestion journalière": le responsable de la gestion journalière d'une institution, ou, lorsqu'il s'agit d'un service public fédéral chargé de l'application de la sécurité sociale, le président du comité de direction ou le directeur général désigné par celui-ci;]2
8° [2 "délégué à la protection des données": la personne visée à l'article 25 de la loi;]2
9° [1 " sécurité de l'information " : stratégie, règles, procédures et moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information.]1.
HOOFDSTUK II. - De informatieveiligheidsdiensten van de instellingen.
CHAPITRE II. - Des services de sécurité de l'information des institutions.
Art.2. Alle instellingen zijn ertoe gehouden een informatieveiligheidsdienst in te richten.
In afwijking van het eerste lid, kan het [1 informatieveiligheidscomité]1, op hun aanvraag of op eigen initiatief, instellingen toestaan, onder de voorwaarden die het Comité bepaalt, om de taken van de informatieveiligheidsdienst toe te vertrouwen aan een erkende gespecialiseerde veiligheidsdienst bedoeld in artikel 11.
In afwijking van het eerste lid, kan het [1 informatieveiligheidscomité]1, op hun aanvraag of op eigen initiatief, instellingen toestaan, onder de voorwaarden die het Comité bepaalt, om de taken van de informatieveiligheidsdienst toe te vertrouwen aan een erkende gespecialiseerde veiligheidsdienst bedoeld in artikel 11.
Modifications
Art.2. Toutes les institutions sont tenues d'instituer un service chargé de la sécurité de l'information.
Par dérogation à l'alinéa 1er, le [1 comité de sécurité de l'information]1 peut autoriser des institutions, à leur demande ou à son initiative, à confier, aux conditions déterminées par celui-ci, les tâches du service chargé de la sécurité de l'information à un service de sécurité spécialisé agréé visé à l'article 11.
Par dérogation à l'alinéa 1er, le [1 comité de sécurité de l'information]1 peut autoriser des institutions, à leur demande ou à son initiative, à confier, aux conditions déterminées par celui-ci, les tâches du service chargé de la sécurité de l'information à un service de sécurité spécialisé agréé visé à l'article 11.
Modifications
Art.3. De informatieveiligheidsdienst heeft een adviserende, stimulerende, documenterende en controlerende opdracht.
De informatieveiligheidsdienst adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico's niet voldoende ernstig zijn. Binnen de tijdsspanne vereist door de omstandigheden, maar met een maximum van drie maanden, beslist de verantwoordelijke voor het dagelijks bestuur het advies al dan niet op te volgen en deelt hij de veiligheidsdienst de genomen beslissing mee. In geval de beslissing van een schriftelijk advies afwijkt, dient de mededeling ervan op een schriftelijke en gemotiveerde wijze te geschieden.
[1 De informatieveiligheidsdienst bevordert het naleven van de regels met betrekking tot de veiligheid van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van de personen op wie deze persoonsgegevens betrekking hebben, opgelegd door de regelgeving over de bescherming van de natuurlijke personen bij de verwerking van persoonsgegevens, en het aannemen van een veiligheidsgedrag bij de personen tewerkgesteld in de instelling.]1
De informatieveiligheidsdienst legt de nodige documentatie aan met betrekking tot de informatieveiligheid.
De informatieveiligheidsdienst ziet toe op de naleving binnen de instelling [1 van de regels met betrekking tot de veiligheid van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van de personen op wie deze persoonsgegevens betrekking hebben, opgelegd door de hogervermelde Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 of door elke andere geldende regelgeving]1. Alle vastgestelde inbreuken worden schriftelijk en uitsluitend aan de verantwoordelijke voor het dagelijks bestuur van de instelling meegedeeld, vergezeld van de nodige adviezen om dergelijke inbreuken in de toekomst te vermijden.
De informatieveiligheidsdienst adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico's niet voldoende ernstig zijn. Binnen de tijdsspanne vereist door de omstandigheden, maar met een maximum van drie maanden, beslist de verantwoordelijke voor het dagelijks bestuur het advies al dan niet op te volgen en deelt hij de veiligheidsdienst de genomen beslissing mee. In geval de beslissing van een schriftelijk advies afwijkt, dient de mededeling ervan op een schriftelijke en gemotiveerde wijze te geschieden.
[1 De informatieveiligheidsdienst bevordert het naleven van de regels met betrekking tot de veiligheid van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van de personen op wie deze persoonsgegevens betrekking hebben, opgelegd door de regelgeving over de bescherming van de natuurlijke personen bij de verwerking van persoonsgegevens, en het aannemen van een veiligheidsgedrag bij de personen tewerkgesteld in de instelling.]1
De informatieveiligheidsdienst legt de nodige documentatie aan met betrekking tot de informatieveiligheid.
De informatieveiligheidsdienst ziet toe op de naleving binnen de instelling [1 van de regels met betrekking tot de veiligheid van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van de personen op wie deze persoonsgegevens betrekking hebben, opgelegd door de hogervermelde Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 of door elke andere geldende regelgeving]1. Alle vastgestelde inbreuken worden schriftelijk en uitsluitend aan de verantwoordelijke voor het dagelijks bestuur van de instelling meegedeeld, vergezeld van de nodige adviezen om dergelijke inbreuken in de toekomst te vermijden.
Modifications
Art.3. Le service chargé de la sécurité de l'information a une mission d'avis, de stimulation, de documentation et de contrôle.
Le service chargé de la sécurité de l'information conseille le responsable de la gestion journalière de son institution, à la demande de celui-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de l'information. Sauf si les risques ne sont pas suffisamment importants, les avis s'expriment par écrit et sont motivés. Dans le délai requis par les circonstances, mais avec un maximum de trois mois, le responsable de la gestion journalière décide de suivre ou non les avis et informe le service chargé de la sécurité de la décision adoptée. Si la décision déroge à un avis exprimé par écrit, elle doit être communiquée de façon écrite et motivée.
[1 Le service chargé de la sécurité de l'information promeut le respect des règles concernant la sécurité des données à caractère personnel et la protection de la vie privée des personnes auxquelles ces données à caractère personnel ont trait, imposées par la réglementation relative à la protection des personnes physiques lors du traitement de données à caractère personnel, ainsi que l'adoption, par les personnes employées dans l'institution, d'un comportement favorisant la sécurité.]1
Le service chargé de la sécurité de l'information rassemble la documentation utile à ce sujet.
Le service chargé de la sécurité de l'information veille au respect, dans l'institution, [1 des règles concernant la sécurité des données à caractère personnel et la protection de la vie privée des personnes auxquelles ces données à caractère personnel ont trait, imposées par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou par chaque autre réglementation en vigueur]1. Toutes les infractions constatées sont communiquées par écrit et exclusivement au responsable de la gestion journalière de l'institution, accompagnées des avis nécessaires en vue d'éviter de telles infractions à l'avenir.
Le service chargé de la sécurité de l'information conseille le responsable de la gestion journalière de son institution, à la demande de celui-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de l'information. Sauf si les risques ne sont pas suffisamment importants, les avis s'expriment par écrit et sont motivés. Dans le délai requis par les circonstances, mais avec un maximum de trois mois, le responsable de la gestion journalière décide de suivre ou non les avis et informe le service chargé de la sécurité de la décision adoptée. Si la décision déroge à un avis exprimé par écrit, elle doit être communiquée de façon écrite et motivée.
[1 Le service chargé de la sécurité de l'information promeut le respect des règles concernant la sécurité des données à caractère personnel et la protection de la vie privée des personnes auxquelles ces données à caractère personnel ont trait, imposées par la réglementation relative à la protection des personnes physiques lors du traitement de données à caractère personnel, ainsi que l'adoption, par les personnes employées dans l'institution, d'un comportement favorisant la sécurité.]1
Le service chargé de la sécurité de l'information rassemble la documentation utile à ce sujet.
Le service chargé de la sécurité de l'information veille au respect, dans l'institution, [1 des règles concernant la sécurité des données à caractère personnel et la protection de la vie privée des personnes auxquelles ces données à caractère personnel ont trait, imposées par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou par chaque autre réglementation en vigueur]1. Toutes les infractions constatées sont communiquées par écrit et exclusivement au responsable de la gestion journalière de l'institution, accompagnées des avis nécessaires en vue d'éviter de telles infractions à l'avenir.
Modifications
Art.4. [1 De informatieveiligheidsdienst wordt geleid door de functionaris voor gegevensbescherming. De functionaris voor gegevensbescherming kan zich laten bijstaan door één of meer adjuncten.
Na hun aanstelling wordt de identiteit van de functionaris voor gegevensbescherming en zijn eventuele adjuncten in de instellingen, die tot een secundair netwerk behoren, meegedeeld aan de beheersinstelling van het betrokken secundair netwerk.
De functionarissen voor gegevensbescherming en hun eventuele adjuncten kunnen niet van deze functie worden ontheven wegens meningen die zij uiten of daden die zij stellen in het kader van de goede uitoefening van hun functie.]1
Na hun aanstelling wordt de identiteit van de functionaris voor gegevensbescherming en zijn eventuele adjuncten in de instellingen, die tot een secundair netwerk behoren, meegedeeld aan de beheersinstelling van het betrokken secundair netwerk.
De functionarissen voor gegevensbescherming en hun eventuele adjuncten kunnen niet van deze functie worden ontheven wegens meningen die zij uiten of daden die zij stellen in het kader van de goede uitoefening van hun functie.]1
Modifications
Art.4. [1 Le service chargé de la sécurité de l'information est placé sous la direction du délégué à la protection des données. Le délégué à la protection des données peut se faire assister par un ou plusieurs adjoints.
Après leur désignation, l'identité du délégué à la protection des données et de ses adjoints éventuels dans les institutions qui appartiennent à un réseau secondaire est communiquée à l'institution gérant le réseau secondaire concerné.
Les délégués à la protection des données et leurs adjoints éventuels ne peuvent être relevés de cette fonction en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent dans le cadre de l'exercice correct de leur fonction.]1
Après leur désignation, l'identité du délégué à la protection des données et de ses adjoints éventuels dans les institutions qui appartiennent à un réseau secondaire est communiquée à l'institution gérant le réseau secondaire concerné.
Les délégués à la protection des données et leurs adjoints éventuels ne peuvent être relevés de cette fonction en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent dans le cadre de l'exercice correct de leur fonction.]1
Modifications
Art.5. De informatieveiligheidsdienst werkt onder het [1 gezag]1 van de verantwoordelijke voor het dagelijks bestuur van de instelling. Hij werkt nauw samen met de diensten waarin zijn tussenkomst vereist is of kan zijn, inzonderheid met de informaticadienst en de dienst voor veiligheid, gezondheid en verfraaiing van de werkplaatsen van de instelling.
Modifications
Art.5. Le service chargé de la sécurité de l'information est placé sous l'[1 autorité]1 du responsable de la gestion journalière de l'institution. Il travaille en étroite collaboration avec les services qui requièrent, ou peuvent requérir, son intervention, en particulier avec le service informatique et le service de sécurité, d'hygiène et d'embellissement des lieux de travail de l'institution.
Modifications
Art.6. De informatieveiligheidsdienst dient een gedegen kennis te bezitten van de informatica-omgeving van de instelling en van de informatieveiligheid. Hij dient deze kennis permanent op peil te houden.
Art.6. Le service chargé de la sécurité de l'information doit disposer d'une connaissance suffisante de la structure informatique de l'institution ainsi que de la sécurité de l'information. Il doit en permanence tenir cette connaissance à jour.
Art.7. De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheids=plan op voor een termijn van drie jaar, met aanduiding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren. Dit ontwerp wordt minstens eenmaal per jaar herzien en zo nodig aangepast. Het ontwerp van veiligheidsplan wordt beschouwd als een advies in de zin van artikel 3, tweede lid.
Art.7. Le service chargé de la sécurité de l'information rédige un projet de plan de sécurité pour une durée de trois ans, à l'attention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. Ce projet est révisé au moins annuellement et adapté si nécessaire. Le projet de plan de sécurité est considéré comme un avis, au sens de l'article 3, alinéa 2.
Art.8. De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur van de instelling jaarlijks een verslag op. Dit jaarverslag omvat minstens :
1° een algemeen overzicht van de veiligheidstoestand, de evolutie in het afgelopen jaar en de nog te realiseren doelstellingen;
2° een samenvatting van de schriftelijke adviezen die overgemaakt worden aan de verantwoordelijke voor het dagelijks bestuur en het gevolg dat eraan werd verleend;
3° een overzicht van de werkzaamheden verricht door de informatieveiligheidsdienst;
4° een overzicht van de resultaten van de controles uitgevoerd door de informatieveiligheidsdienst met weergave van alle vastgestelde voorvallen die van aard waren de informatieveiligheid van de instelling of het netwerk in het gedrang te brengen;
5° de adviezen gericht aan de instelling door de erkende gespecialiseerde veiligheidsdienst bedoeld in artikel 11, waarbij de instelling is aangesloten, en het gevolg dat eraan werd verleend;
6° de adviezen van de werkgroep bedoeld in artikel 14, en het gevolg dat eraan werd verleend;
7° een overzicht van de gevoerde campagnes ter bevordering van de veiligheid;
8° een overzicht van alle gevolgde en de voorziene nog te volgen opleidingen.
1° een algemeen overzicht van de veiligheidstoestand, de evolutie in het afgelopen jaar en de nog te realiseren doelstellingen;
2° een samenvatting van de schriftelijke adviezen die overgemaakt worden aan de verantwoordelijke voor het dagelijks bestuur en het gevolg dat eraan werd verleend;
3° een overzicht van de werkzaamheden verricht door de informatieveiligheidsdienst;
4° een overzicht van de resultaten van de controles uitgevoerd door de informatieveiligheidsdienst met weergave van alle vastgestelde voorvallen die van aard waren de informatieveiligheid van de instelling of het netwerk in het gedrang te brengen;
5° de adviezen gericht aan de instelling door de erkende gespecialiseerde veiligheidsdienst bedoeld in artikel 11, waarbij de instelling is aangesloten, en het gevolg dat eraan werd verleend;
6° de adviezen van de werkgroep bedoeld in artikel 14, en het gevolg dat eraan werd verleend;
7° een overzicht van de gevoerde campagnes ter bevordering van de veiligheid;
8° een overzicht van alle gevolgde en de voorziene nog te volgen opleidingen.
Art.8. Le service chargé de la sécurité de l'information rédige un rapport annuel à l'attention du responsable de la gestion journalière de l'institution. Ce rapport comprend au moins :
1° un apercu général de la situation en matière de sécurité, de l'évolution au cours de l'année écoulée et des objectifs qui doivent encore être atteints;
2° un résumé des avis écrits, transmis au responsable de la gestion journalière et la suite qui y a été réservée;
3° un apercu des travaux exécutés par le service chargé de la sécurité de l'information;
4° un relevé des résultats des contrôles effectués par le service chargé de la sécurité de l'information, reprenant tous les incidents qui ont été constatés et qui étaient de nature à compromettre la sécurité de l'information de l'institution ou du réseau;
5° les avis transmis à l'institution par le service de sécurité spécialisé agréé visé à l'article 11, auquel l'institution est affiliée, et la suite qui y a été réservée;
6° les avis du groupe de travail visé à l'article 14 ainsi que la suite qui y a été réservée;
7° un relevé des campagnes menées en vue de favoriser la sécurité;
8° un apercu de toutes les formations suivies et prévues.
1° un apercu général de la situation en matière de sécurité, de l'évolution au cours de l'année écoulée et des objectifs qui doivent encore être atteints;
2° un résumé des avis écrits, transmis au responsable de la gestion journalière et la suite qui y a été réservée;
3° un apercu des travaux exécutés par le service chargé de la sécurité de l'information;
4° un relevé des résultats des contrôles effectués par le service chargé de la sécurité de l'information, reprenant tous les incidents qui ont été constatés et qui étaient de nature à compromettre la sécurité de l'information de l'institution ou du réseau;
5° les avis transmis à l'institution par le service de sécurité spécialisé agréé visé à l'article 11, auquel l'institution est affiliée, et la suite qui y a été réservée;
6° les avis du groupe de travail visé à l'article 14 ainsi que la suite qui y a été réservée;
7° un relevé des campagnes menées en vue de favoriser la sécurité;
8° un apercu de toutes les formations suivies et prévues.
Art.9. Onverminderd het bepaalde in artikel 3 heeft de informatieveiligheidsdienst van de Kruispuntbank daarenboven een adviserende opdracht inzake de beveiliging van de uitwisseling van de gegevens binnen het netwerk.
Art.9. Sans préjudice des dispositions de l'article 3, le service de sécurité de l'information de la Banque-carrefour a en outre une mission d'avis en matière de sécurité de l'échange des données dans le réseau.
Art.10. De opdrachten van de informatieveiligheidsdienst bepaald in dit hoofdstuk hebben ook betrekking op de bewaring, de verwerking of de uitwisseling van sociale gegevens van persoonlijke aard die voor rekening van de betrokken instelling geschieden door derden.
Art.10. Les missions du service chargé de la sécurité de l'information telles que définies dans le présent chapitre se rapportent également aux données sociales à caractère personnel conservées, traitées ou échangées par l'intermédiaire de tiers pour le compte de l'institution concernée.
HOOFDSTUK III. - De gespecialiseerde informatieveiligheidsdienst.
CHAPITRE III. - Du service de sécurité spécialisé de l'information.
Art.11. Er wordt minstens één door de Minister erkende gespecialiseerde veiligheidsdienst opgericht ter ondersteuning van de instellingen bij de uitvoering van hun taken inzake de informatieveiligheid.
Om te kunnen worden erkend moet een gespecialiseerde veiligheidsdienst voldoen aan de volgende voorwaarden :
1° opgericht zijn in de schoot of in de vorm [2 van een vereniging zonder winstoogmerk bedoeld in de wet van 27 juni 1921 betreffende de verenigingen zonder winstoogmerk, de stichtingen en de Europese politieke partijen en stichtingen]2, die enkel instellingen als werkende leden heeft;
2° uitsluitend belast zijn met opdrachten die betrekking hebben op de informatieveiligheid binnen de sociale zekerheid;
3° voldoen aan de tariefregelen, in de mate dat deze zijn vastgesteld door de Minister.
Het [1 informatieveiligheidscomité]1 ziet toe op de onafhankelijkheid en de werking van de erkende gespecialiseerde veiligheidsdiensten.
Om te kunnen worden erkend moet een gespecialiseerde veiligheidsdienst voldoen aan de volgende voorwaarden :
1° opgericht zijn in de schoot of in de vorm [2 van een vereniging zonder winstoogmerk bedoeld in de wet van 27 juni 1921 betreffende de verenigingen zonder winstoogmerk, de stichtingen en de Europese politieke partijen en stichtingen]2, die enkel instellingen als werkende leden heeft;
2° uitsluitend belast zijn met opdrachten die betrekking hebben op de informatieveiligheid binnen de sociale zekerheid;
3° voldoen aan de tariefregelen, in de mate dat deze zijn vastgesteld door de Minister.
Het [1 informatieveiligheidscomité]1 ziet toe op de onafhankelijkheid en de werking van de erkende gespecialiseerde veiligheidsdiensten.
Art.11. Il sera créé au moins un service de sécurité spécialisé qui sera agréé par le Ministre; ce service assistera les institutions dans l'exercice de leurs tâches relatives à la sécurité de l'information.
Pour pouvoir être agréé, un service de sécurité spécialisé doit satisfaire aux conditions suivantes :
1° être créé au sein ou sous forme [2 d'une association sans but lucratif visée dans la loi du 27 juin 1921 sur les associations sans but lucratif, les fondations, les partis politiques européens et les fondations politiques européennes]2, n'ayant comme membres effectifs que des institutions;
2° être exclusivement chargé de missions relatives à la sécurité de l'information dans le cadre de la sécurité sociale;
3° satisfaire aux règles de tarification, dans la mesure où elles sont fixées par le Ministre.
Le [1 comité de sécurité de l'information]1 veille au caractère indépendant et au bon fonctionnement des services de sécurité spécialisés agréés.
Pour pouvoir être agréé, un service de sécurité spécialisé doit satisfaire aux conditions suivantes :
1° être créé au sein ou sous forme [2 d'une association sans but lucratif visée dans la loi du 27 juin 1921 sur les associations sans but lucratif, les fondations, les partis politiques européens et les fondations politiques européennes]2, n'ayant comme membres effectifs que des institutions;
2° être exclusivement chargé de missions relatives à la sécurité de l'information dans le cadre de la sécurité sociale;
3° satisfaire aux règles de tarification, dans la mesure où elles sont fixées par le Ministre.
Le [1 comité de sécurité de l'information]1 veille au caractère indépendant et au bon fonctionnement des services de sécurité spécialisés agréés.
Art.12. De erkende gespecialiseerde veiligheidsdienst heeft onder meer tot opdracht :
1° de terbeschikkingstelling aan de instellingen van specialisten in informatieveiligheid;
2° het verlenen van deskundige adviezen aan de instellingen of het Toezichtscomité, indien deze hierom vragen;
3° het organiseren van vorming inzake informatieveiligheid ten behoeve van de instellingen;
4° het ondersteunen en begeleiden van promotiecampagnes inzake informatieveiligheid;
5° de uitvoering van de taken beschreven onder Hoofdstuk II ten behoeve van de instellingen die overeenkomstig artikel 2, tweede lid, geen informatieveiligheidsdienst hebben opgericht;
6° het uitvoeren van externe controles en gedetailleerde onderzoeken naar de veiligheidstoestand van de instellingen op vraag van de betrokken instelling of van het [1 informatieveiligheidscomité]1.
1° de terbeschikkingstelling aan de instellingen van specialisten in informatieveiligheid;
2° het verlenen van deskundige adviezen aan de instellingen of het Toezichtscomité, indien deze hierom vragen;
3° het organiseren van vorming inzake informatieveiligheid ten behoeve van de instellingen;
4° het ondersteunen en begeleiden van promotiecampagnes inzake informatieveiligheid;
5° de uitvoering van de taken beschreven onder Hoofdstuk II ten behoeve van de instellingen die overeenkomstig artikel 2, tweede lid, geen informatieveiligheidsdienst hebben opgericht;
6° het uitvoeren van externe controles en gedetailleerde onderzoeken naar de veiligheidstoestand van de instellingen op vraag van de betrokken instelling of van het [1 informatieveiligheidscomité]1.
Modifications
Art.12. Le service de sécurité spécialisé agréé exerce, entre autres, les missions suivantes :
1° mettre à la disposition des institutions des spécialistes en matière de sécurité de l'information;
2° donner des avis autorisés aux institutions ou au [1 comité de sécurité de l'information]1, à la demande de ceux-ci;
3° organiser une formation en matière de sécurité de l'information à l'attention des institutions;
4° encourager et suivre les campagnes de promotion en matière de sécurité de l'information;
5° exécuter les tâches décrites au Chapitre II au bénéfice des institutions qui, en application de l'article 2, alinéa 2, n'ont pas créé de service chargé de la sécurité de l'information;
6° effectuer des contrôles externes et des enquêtes détaillées concernant la situation en matière de sécurité des institutions à la demande de l'institution intéressée ou du comité de sécurité de l'information.
1° mettre à la disposition des institutions des spécialistes en matière de sécurité de l'information;
2° donner des avis autorisés aux institutions ou au [1 comité de sécurité de l'information]1, à la demande de ceux-ci;
3° organiser une formation en matière de sécurité de l'information à l'attention des institutions;
4° encourager et suivre les campagnes de promotion en matière de sécurité de l'information;
5° exécuter les tâches décrites au Chapitre II au bénéfice des institutions qui, en application de l'article 2, alinéa 2, n'ont pas créé de service chargé de la sécurité de l'information;
6° effectuer des contrôles externes et des enquêtes détaillées concernant la situation en matière de sécurité des institutions à la demande de l'institution intéressée ou du comité de sécurité de l'information.
Modifications
Art.13. Elke instelling mag, m.b.t. alle aspecten van de informatieveiligheid, slechts beroep doen op de diensten van één enkele erkende gespecialiseerde veiligheidsdienst.
Art.13. Chaque institution ne peut, pour tous les aspects de la sécurité de l'information, faire appel qu'à l'intervention d'un seul service de sécurité spécialisé agréé.
Art. 13bis. <INGEVOEGD bij KB 1998-10-08/88, art. 1; Inwerkingtreding : 03-01-1999> Indien een vereniging opgericht in uitvoering van artikel 17bis van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid erkend is als gespecialiseerde veiligheidsdienst in uitvoering van artikel 11, kunnen alle instellingen deelnemen aan dergelijke vereniging om beroep te doen op de diensten die krachtens dit koninklijk besluit worden toevertrouwd aan een erkende gespecialiseerde veiligheidsdienst.
Art. 13bis. Si une association créée en application de l'article 17bis de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale est agréée en tant que service spécialisé de sécurité en exécution de l'article 11, toutes les institutions peuvent participer à une telle association pour faire appel aux services confiés en vertu de cet arrêté royal à un service de sécurité spécialisé agréé.
HOOFDSTUK IV. - De werkgroep inzake informatieveiligheid.
CHAPITRE IV. - Du groupe de travail sur la sécurité de l'information.
Art.14. In de schoot van het Algemeen Coördinatiecomité van de Kruispuntbank wordt een werkgroep inzake informatieveiligheid opgericht. Deze werkgroep wordt voorgezeten door de [2 functionaris voor gegevensbescherming]2 van de Kruispuntbank en bestaat voor het overige uit de [2 functionarissen voor gegevensbescherming]2 van de beheersinstellingen van een secundair netwerk en van de instellingen die niet tot een secundair netwerk behoren, evenals uit één [2 functionaris voor gegevensbescherming]2 gekozen binnen de schoot van elke subwerkgroep bedoeld in het tweede lid.
In de schoot van elke beheersinstelling van een secundair netwerk wordt bovendien een subwerkgroep inzake informatieveiligheid opgericht. Die subwerkgroep wrodt voorgezeten door de [2 functionaris voor gegevensbescherming]2 van deze instelling en bestaat voor het overige uit de [2 functionarissen voor gegevensbescherming]2 van de instellingen die behoren tot het secundair netwerk beheerd door deze instelling, evenals uit een lid van de informatieveiligheidsdienst voor de Kruispuntbank.
De werkgroep en de subwerkgroepen komen zoveel bijeen als nodig is na oproeping door hun voorzitter.
De werkgroep en de subwerkgroepen zijn belast met de coördinatie en de communicatie tussen de informatieveiligheidsdiensten van de erin vertegenwoordigde instellingen.
De werkgroep inzake informatieveiligheid is meer bepaald belast met :
1° de voorbereiding van minimumnormen m.b.t. de fysieke en logische informatieveiligheid;
2° de voorbereiding van een controlelijst voor de evaluatie van de naleving van de minimumnormen inzake fysieke en logische informatieveiligheid;
3° adviesverstrekking aan het [1 informatieveiligheidscomité]1 inzake informatieveiligheid.
In de schoot van elke beheersinstelling van een secundair netwerk wordt bovendien een subwerkgroep inzake informatieveiligheid opgericht. Die subwerkgroep wrodt voorgezeten door de [2 functionaris voor gegevensbescherming]2 van deze instelling en bestaat voor het overige uit de [2 functionarissen voor gegevensbescherming]2 van de instellingen die behoren tot het secundair netwerk beheerd door deze instelling, evenals uit een lid van de informatieveiligheidsdienst voor de Kruispuntbank.
De werkgroep en de subwerkgroepen komen zoveel bijeen als nodig is na oproeping door hun voorzitter.
De werkgroep en de subwerkgroepen zijn belast met de coördinatie en de communicatie tussen de informatieveiligheidsdiensten van de erin vertegenwoordigde instellingen.
De werkgroep inzake informatieveiligheid is meer bepaald belast met :
1° de voorbereiding van minimumnormen m.b.t. de fysieke en logische informatieveiligheid;
2° de voorbereiding van een controlelijst voor de evaluatie van de naleving van de minimumnormen inzake fysieke en logische informatieveiligheid;
3° adviesverstrekking aan het [1 informatieveiligheidscomité]1 inzake informatieveiligheid.
Art.14. Au sein du Comité général de coordination de la Banque-carrefour est créé un groupe de travail sur la sécurité de l'information. Ce groupe de travail sera présidé par le [2 délégué à la protection des données]2 de la Banque-carrefour et il sera composé en outre des [2 délégués à la protection des données]2 des institutions gérant un réseau secondaire et des institutions n'appartenant pas à un réseau secondaire, ainsi que d'un seul [2 délégué à la protection des données]2 choisi au sein de chaque sous-groupe de travail visé à l'alinéa 2.
En outre, il sera créé un sous-groupe de travail en matière de sécurité de l'information, au sein de chaque institution gérant un réseau secondaire. Ce sous-groupe de travail sera présidé par le [2 délégué à la protection des données]2 de cette institution et sera en outre composé des [2 délégués à la protection des données]2 des institutions appartenant au réseau secondaire géré par cette institution, ainsi que d'un membre du service chargé de la sécurité de l'information de la Banque-carrefour.
Le groupe de travail et les sous-groupes de travail sont convoqués par leur président aussi souvent que cela s'avère nécessaire.
Le groupe de travail et les sous-groupes de travail sont chargés de la coordination et de la communication entre les services chargés de la sécurité de l'information des institutions qui y sont représentées.
Le groupe de travail sur la sécurité de l'information est plus particulièrement chargé de :
1° la préparation des normes minimales concernant la sécurité physique et logique de l'information;
2° la préparation d'une liste de contrôle permettant l'évaluation du respect des normes minimales concernant la sécurité physique et logique de l'information;
3° la formulation d'avis au [1 comité de sécurité de l'information]1 concernant la sécurité de l'information.
En outre, il sera créé un sous-groupe de travail en matière de sécurité de l'information, au sein de chaque institution gérant un réseau secondaire. Ce sous-groupe de travail sera présidé par le [2 délégué à la protection des données]2 de cette institution et sera en outre composé des [2 délégués à la protection des données]2 des institutions appartenant au réseau secondaire géré par cette institution, ainsi que d'un membre du service chargé de la sécurité de l'information de la Banque-carrefour.
Le groupe de travail et les sous-groupes de travail sont convoqués par leur président aussi souvent que cela s'avère nécessaire.
Le groupe de travail et les sous-groupes de travail sont chargés de la coordination et de la communication entre les services chargés de la sécurité de l'information des institutions qui y sont représentées.
Le groupe de travail sur la sécurité de l'information est plus particulièrement chargé de :
1° la préparation des normes minimales concernant la sécurité physique et logique de l'information;
2° la préparation d'une liste de contrôle permettant l'évaluation du respect des normes minimales concernant la sécurité physique et logique de l'information;
3° la formulation d'avis au [1 comité de sécurité de l'information]1 concernant la sécurité de l'information.
HOOFDSTUK V. - Overgangs- en slotbepalingen.
CHAPITRE V. - Des dispositions transitoires et finales.
Art.15. Het eerste jaarverslag waarvan sprake in artikel 8, wordt overgemaakt binnen de 12 maanden na de inwerkingtreding van dit besluit.
Art.15. Le premier rapport annuel visé à l'article 8 sera transmis dans les 12 mois de l'entrée en vigueur du présent arrêté.
Art.16. Dit besluit treedt in werking de eerste dag van de derde maand volgend op die gedurende welke het in het Belgisch Staatsblad wordt bekendgemaakt.
In afwijking van het eerste lid zal de datum waarop dit besluit in werking treedt voor de openbare instellingen die niet uitsluitend ressorteren onder de federale overheid, later worden bepaald.
(NOTA : Inwerkingtreding vastgesteld op 01-01-2005 voor wat betreft de openbare centra voor maatschappelijk welzijn door KB 2005-07-11/31, art. 1)
In afwijking van het eerste lid zal de datum waarop dit besluit in werking treedt voor de openbare instellingen die niet uitsluitend ressorteren onder de federale overheid, later worden bepaald.
(NOTA : Inwerkingtreding vastgesteld op 01-01-2005 voor wat betreft de openbare centra voor maatschappelijk welzijn door KB 2005-07-11/31, art. 1)
Art.16. Le présent arrêté entre en vigueur le premier jour du troisième mois qui suit celui au cours duquel il aura été publié au Moniteur belge.
Par dérogation à l'alinéa premier, la date d'entrée en vigueur du présent arrêté sera fixée ultérieurement en ce qui concerne les institutions publiques qui ne relèvent pas exclusivement de l'autorité fédérale.
(NOTE : Entrée en vigueur fixée le 01-01-2005 en ce qui concerne les centres publics d'aide sociale par AR 2005-07-11/31, art. 1)
Par dérogation à l'alinéa premier, la date d'entrée en vigueur du présent arrêté sera fixée ultérieurement en ce qui concerne les institutions publiques qui ne relèvent pas exclusivement de l'autorité fédérale.
(NOTE : Entrée en vigueur fixée le 01-01-2005 en ce qui concerne les centres publics d'aide sociale par AR 2005-07-11/31, art. 1)
Art. 17. Onze Minister van Pensioenen, Onze Minister van Tewerkstelling en Arbeid, Onze Minister van de Kleine en Middelgrote Ondernemingen en Onze Minister van Sociale Zaken zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.
Art. 17. Notre Ministre des Pensions, Notre Ministre de l'Emploi et du Travail, Notre Ministre des Petites et Moyennes Entreprises et Notre Ministre des Affaires sociales sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.