Informatieveiligheid

Hieronder zijn alle organisatorische, juridische en technische maatregelen m.b.t. informatieveiligheid (incl. bescherming van persoonsgegevens) van de DAV-platformen beschreven. Indien er nood is aan meer detail-informatie contacteer digitaalarchief@vlaanderen.be.

Inhoudsopgave

Jaarlijks bekijkt DAV welke (bijkomende) maatregelen genomen moeten/kunnen worden.

Algemeen

  • De technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens zijn cf. informatieclassificatieniveau vier en de richtlijnen van het stuurorgaan Vlaams Informatie- en ICT-beleid, overeenkomstig artikel 3, tweede lid, 3°, van het decreet van 23 december 2016 houdende de oprichting van het stuurorgaan Vlaams Informatie- en ICT-beleid.

  • DAV en zijn leveranciers kunnen, zonder toestemming van de Klant, nooit inzage krijgen in de informatie die door de Klant in het E-depot wordt geplaatst, behalve als dit openbare informatie betreft, aangezien deze informatie ontsloten wordt naar een breed publiek via het publieksportaal (Archief Vlaanderen).

  • Elke Klant beschikt over zijn eigen tenant (omgeving) die volledig afgeschermd is van de andere tenants.

  • Wat als ‘openbare informatie’ wordt aangemerkt is de verantwoordelijkheid en de keuze van de klant.

  • Tussen Digitaal Archief Vlaanderen (Het Facilitair Bedrijf) en zijn klanten wordt steeds een verwerkingsovereenkomst (zie onderdeel van de hoofdovereenkomst) gesloten. Deze overeenkomst is op 25-10-2019 voorgelegd aan en besproken geweest op de juridische werkgroep onder het Stuurorgaan Vlaams Informatie- en ICT-beleid. In deze werkgroep zijn zowel vertegenwoordigers van VO als lokale overheden aanwezig.

  • De leverancier van de achterliggende SAAS-platformen heeft een ISO 27001 certificatie.

Toegang- en gebruikersbeheer

Gebruikers (medewerkers van klanten)

  • Identificatie en authenticatie van gebruikers, met uitzondering van systeemgebruikers, verloopt steeds via het VO Gebruikers- en toegangsbeheer (IDM/ACM);

  • Elke Klant is zelf verantwoordelijk voor het beheer van de toegangsrechten tot zijn tenant. Toegangen worden ingeregeld door de lokale beheerder van de Klant via het VO Gebruikersbeheer (IDM);

  • Het systeem bevat een toegangscontrole waarbij we tot op het niveau van de gebruiker kunnen gaan bepalen tot welke informatie deze gebruiker toegang heeft. Een gebruiker, met uitzondering van systeemgebruikers, moet hiervoor steeds gekend zijn in het VO Gebruikersbeheer (IDM).

Systeemgebruikers (applicaties/webservices)

Beheerders (DAV en zijn leveranciers)

  • Er is een PAM-integratie voor het E-depot.

    • PAM zorgt ervoor dat alle beheerdersactiviteiten aan een change proces gekoppeld zijn en gemonitord worden. Met andere woorden geen toegang voor beheerders zonder dat wij daar controle over hebben.

    • Dit is een integratie met de VO-eigen PAM-bouwsteen. Meer informatie over deze bouwsteen kan bekomen worden bij het Agentschap Digitaal Vlaanderen.

Encryptie

  • Alle in het E-depot opgeladen informatie wordt geëncrypteerd bewaard.

    • Er wordt gewerkt met de KMS service van het Agentschap Digitaal Vlaanderen. Dit betekent dat de sleutel in beheer is bij de Vlaamse overheid (in casu Agentschap Digitaal Vlaanderen).

  • De communicatie met het systeem gebeurt steeds via versleutelde kanalen.

Hosting en storage

Onderstaande figuur schetst het hosting en storage opzet.

Bewaartermijnen

  • Elk dossier krijgt in het E-depot automatisch een bewaartermijn doordat het dossier aan een serie is gekoppeld. De op het niveau van de serie gedefinieerde bewaartermijnen worden toegepast op het niveau van het dossier.

  • Bij ‘aanmaak’ van een dossier in het E-depot krijgt het, indien het vernietigd mag worden, onmiddellijk een vernietigingsdatum o.b.v. de op het niveau van de serie gedefinieerde bewaartermijn.

  • Bewaartermijnen worden actief gemonitord.

Logging

  • Alle acties die door een menselijke- of een systeemgebruiker worden uitgevoerd worden gelogd;

  • Alle logging wordt even lang bewaard als de data waarop de logging betrekking heeft.

  • Toegangsacties worden als een PREMIS event in de logging weggeschreven.