Veiligheidsrichtlijnen voor Vesta en VO

Op 30 juli 2008 verleende het Sectoraal comité van het Rijksregister, dat toeziet op de veiligheid en de bescherming van de gegevens in het Rijksregister en het gebruik van het identificatienummer van het Rijksregister, een machtiging voor Vesta.

• Machtiging Rijksregister Vesta (beraadslaging RR nr. 36 2008) (125.87 KB)pdf bestand128.9kb

Op 21 januari 2009 verleende dat Sectoraal comité nog een aanvullende machtiging:
 

• Machtiging Rijksregister Vesta (beraadslaging RR nr. 01 2009) (250.06 KB)pdf bestand256.1kb

Die machtigingen hebben betrekking op het gebruik van Vesta voor gezinszorg, vanaf 1 januari 2009.
Naar aanleiding van de uitbreiding van Vesta naar aanvullende thuiszorg, vanaf 1 januari 2012, en de ingebruikname van een systeem van elektronische gegevensuitwisseling voor de diensten voor oppashulp, vanaf 1 januari 2013, verleende het Sectoraal comité van het Rijksregister een nieuwe machtiging:

• Machtiging Rijksregister Vesta (beraadslaging RR nr 01 2012) (213.31 KB)pdf bestand218.4kb

Voor de diensten voor gezinszorg en de diensten voor oppashulp waarvan de initiatiefnemer geen OCMW of ziekenfonds is, krijgen die machtigingen om het identificatienummer van het Rijksregister te gebruiken slechts uitwerking nadat de diensten aan een aantal voorwaarden voldoen. 

Zorggezind heeft daarom een veiligheidsconsulent aangesteld, die verantwoordelijk is voor het informatieveiligheidsbeleid van alle erkende diensten waarvan de initiatiefnemer geen OCMW of ziekenfonds is. Voor de OCMW's en ziekenfondsen is dat niet nodig: zij beschikken allemaal over een veiligheidsconsulent, omdat zij ingeschakeld zijn in het netwerk van de sociale zekerheid.

Moet elke dienst een eigen veiligheidsconsulent hebben?

Omdat de diensten voor gezinszorg en de diensten voor oppashulp gebruik maken van persoonsgegevens, moeten zij een veiligheidsconsulent hebben. Dat is een verplichting die opgelegd wordt door de Commissie voor de bescherming van de persoonlijke levenssfeer. Voor de diensten voor gezinszorg en de diensten voor oppashulp waarvan de initiatiefnemer een OCMW of een ziekenfonds  is, stelt er zich geen probleem, omdat die al een veiligheidsconsulent hebben. 

Voor de andere diensten heeft Zorggezind een veiligheidsconsulent aangeduid, die verantwoordelijk is voor het informatieveiligheidsbeleid van de diensten in kwestie.

Welke gegevens moeten gelogd worden?

Hier kunnen we als Departement Zorg enkel een advies geven aan de diensten. Het loggen is een verplichting die opgelegd wordt door de Commissie voor de bescherming van de persoonlijke levenssfeer. Een dienst moet altijd kunnen antwoorden op de volgende vraag: wie heeft wat wanneer en hoe geconsulteerd?  

Dat betekent dat minimaal de volgende gegevens gelogd moeten worden:

• gebruikersbeheer;
• wie heeft wanneer ingelogd en uitgelogd in het systeem;
• datum en tijdstip van de consultatie van een individueel persoonsgegeven, met daarbij ook:
  • identificatie van de gebruiker (INSZ-nummer en ondernemingsnummer);
  • identificatie van de transactie (naam van het proces, programma, use case …);
  • identificatie van het onderwerp (INSZ-nummer, naam …);
  • beschrijving van het type operatie (creatie, consultatie, opzoeking …).

Het is de eigen verantwoordelijkheid van de dienst om de hierboven beschreven logging uit te voeren en gedurende minimaal 10 jaar bij te houden. Dat kan eventueel offline gebeuren.