Hieronder zijn alle organisatorische, juridische en technische maatregelen m.b.t. informatieveiligheid (incl. bescherming van persoonsgegevens) van de DAV-platformen beschreven. Indien er nood is aan meer detail-informatie contacteer digitaalarchief@vlaanderen.be.

Inhoudsopgave

1 Inhoudsopgave
2 Algemeen
3 Toegang- en gebruikersbeheer
4 Encryptie
5 Hosting en storage
6 Bewaartermijnen
7 Logging

Jaarlijks bekijkt DAV welke (bijkomende) maatregelen genomen moeten/kunnen worden.

Algemeen

De technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens zijn cf. informatieclassificatieniveau vier en de richtlijnen van het stuurorgaan Vlaams Informatie- en ICT-beleid, overeenkomstig artikel 3, tweede lid, 3°, van het decreet van 23 december 2016 houdende de oprichting van het stuurorgaan Vlaams Informatie- en ICT-beleid.
DAV en zijn leveranciers kunnen, zonder toestemming van de Klant, nooit inzage krijgen in de informatie die door de Klant in het E-depot wordt geplaatst, behalve als dit openbare informatie betreft, aangezien deze informatie ontsloten wordt naar een breed publiek via het publieksportaal (Archief Vlaanderen).
Elke Klant beschikt over zijn eigen tenant (omgeving) die volledig afgeschermd is van de andere tenants.
Wat als ‘openbare informatie’ wordt aangemerkt is de verantwoordelijkheid en de keuze van de klant.
Tussen Digitaal Archief Vlaanderen (Het Facilitair Bedrijf) en zijn klanten wordt steeds een verwerkingsovereenkomst (zie onderdeel van de hoofdovereenkomst) gesloten. Deze overeenkomst is op 25-10-2019 voorgelegd aan en besproken geweest op de juridische werkgroep onder het Stuurorgaan Vlaams Informatie- en ICT-beleid. In deze werkgroep zijn zowel vertegenwoordigers van VO als lokale overheden aanwezig.
De leverancier van de achterliggende SAAS-platformen heeft een ISO 27001 certificatie.

Toegang- en gebruikersbeheer

Gebruikers (medewerkers van klanten)

Identificatie en authenticatie van gebruikers, met uitzondering van systeemgebruikers, verloopt steeds via het VO Gebruikers- en toegangsbeheer (IDM/ACM);
Elke Klant is zelf verantwoordelijk voor het beheer van de toegangsrechten tot zijn tenant. Toegangen worden ingeregeld door de lokale beheerder van de Klant via het VO Gebruikersbeheer (IDM);
Het systeem bevat een toegangscontrole waarbij we tot op het niveau van de gebruiker kunnen gaan bepalen tot welke informatie deze gebruiker toegang heeft. Een gebruiker, met uitzondering van systeemgebruikers, moet hiervoor steeds gekend zijn in het VO Gebruikersbeheer (IDM).

Systeemgebruikers (applicaties/webservices)

Het gebruik van onze API’s is gebonden aan duidelijke gebruiksvoorwaarden voor de integrerende partijen. Raadpleeg de voorwaarden: https://vo-hfb.atlassian.net/wiki/spaces/GDAV/pages/2654237
Elke API krijgt een geëncrypteerde key per functionele en logische afbakening.

Beheerders (DAV en zijn leveranciers)

Er is een PAM-integratie voor het E-depot.
- PAM zorgt ervoor dat alle beheerdersactiviteiten aan een change proces gekoppeld zijn en gemonitord worden. Met andere woorden geen toegang voor beheerders zonder dat wij daar controle over heeft.
- Dit is een integratie met de VO-eigen PAM-bouwsteen. Meer informatie over deze bouwsteen kan bekomen worden bij het Agentschap Digitaal Vlaanderen.

Encryptie

Alle in het E-depot opgeladen informatie wordt geëncrypteerd bewaard.
- Er wordt gewerkt met de KMS service van het Agentschap Digitaal Vlaanderen. Dit betekent dat de sleutel in beheer is bij de Vlaamse overheid (in casu Agentschap Digitaal Vlaanderen).
De communicatie met het systeem gebeurt steeds via versleutelde kanalen.

Hosting en storage

De storageomgevingen bevinden zich steeds in de Europese Economische Ruimte (op minimaal 2 fysieke locaties)
Main storage en back-up zijn steeds geografisch gescheiden (binnen de EER)
- AWS S3 standard: Ierland,
- AWS S3 One Zone IA: Ierland,
- AWS Glacier deep archive: Zweden.
De AWS Glacier Deep Archive is een exacte kopie van AWS S3 One Zone (replicatie). De glacier omgeving wordt enkel voor de back-ups gebruikt.
De toepassing en alle data is beschikbaar via snelle storage.
Meer info over AWS S3 en Glacier Deep Archive is te vinden op: https://aws.amazon.com/s3/storage-classes/

Onderstaande figuur schetst het hosting en storage opzet.

Bewaartermijnen

Elk dossier krijgt in het E-depot automatisch een bewaartermijn doordat het dossier aan een serie is gekoppeld. De op het niveau van de serie gedefinieerde bewaartermijnen worden toegepast op het niveau van het dossier.
Bij ‘aanmaak’ van een dossier in het E-depot krijgt het, indien het vernietigd mag worden, onmiddellijk een vernietigingsdatum o.b.v. de op het niveau van de serie gedefinieerde bewaartermijn.
Bewaartermijnen worden actief gemonitord.

Logging

Alle acties die door een menselijke- of een systeemgebruiker worden uitgevoerd worden gelogd;
Alle logging wordt even lang bewaard als de data waarop de logging betrekking heeft.
Toegangsacties worden als een PREMIS event in de logging weggeschreven.

Gebruikersomgeving Digitaal Archief Vlaanderen

Informatieveiligheid