1 / 35

Structuur van de uiteenzetting

Voorstel van model voor dienstenintegratie en gegevensintegratie in het kader van fraudebestrijding. Structuur van de uiteenzetting. vereisten inzake informatieverwerking voor efficiënte fraudebestrijding dienstenintegratie versus gegevensintegratie

lavender
Download Presentation

Structuur van de uiteenzetting

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Voorstel van model voor dienstenintegratie en gegevensintegratiein het kader van fraudebestrijding

  2. Structuur van de uiteenzetting • vereisten inzake informatieverwerking voor efficiënte fraudebestrijding • dienstenintegratie versus gegevensintegratie • basisprincipes van de Wet Verwerking Persoons-gegevens (WVP) • voorstel tot organisatie van dienstenintegratie • voorstel tot organisatie van gegevensintegratie waar nodig • waarborgen voor de beantwoording aan de behoeften van de gebruikers van de informatie • waarborgen voor het vermijden van onnodige administratieve lasten voor datasubjecten

  3. Vereisten • fraudebestrijding vereist • efficiënte integratie van informatie • met respect voor de basisprincipes van de Wet Verwerking Persoonsgegevens • op een manier die beantwoordt aan de behoeften van de gebruikers van de geïntegreerde informatie • op een manier die geen onnodige administratieve lasten met zich brengt voor de datasubjecten

  4. Gegevensintegratie versus dienstenintegratie • (persoons)gegevensintegratie • samenbrengen van (persoons)gegevens uit verschillende authentieke bronnen en opslag ervan in een geïntegreerde gegevensbank met het oog op de verwerking ervan • dienstenintegratie • integreren van elektronische deeldiensten tot geïntegreerde elektronische diensten met het oog op de aanbieding ervan aan derden

  5. Wet Verwerking Persoonsgegevens (WVP) • eerlijke en rechtmatige verwerking • doelbinding • verwerking voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden • zowel bij de verwerving van de persoonsgegevens als bij de verdere verwerking ervan (verenigbaarheid met initieel doeleinde) • evenredigheid: de verwerkte persoonsgegevens moeten, in functie van het doeleinde van de verwerking, • toereikend • ter zake dienend • en niet overmatig zijn

  6. Wet Verwerking Persoonsgegevens (WVP) • kwaliteit • bijwerken • verbeteren • verwijderen • redelijke bewaarduur • informatieverstrekking • bij inzameling van persoonsgegevens bij de betrokkene • bij registratie/mededeling van persoonsgegevens • uitzonderingen • gepaste technische en organisatorische veiligheidsmaatregelen, gebaseerd op een afweging tussen • de stand van de techniek en de kosten van de maatregelen • de aard van de gegevens en de potentiële risico’s

  7. Wet Verwerking Persoonsgegevens (WVP) • rechten van het datasubject • informatie • kennisname • verbetering • verwijdering • specifieke regels voor de verwerking van • gevoelige gegevens • gezondheidsgegevens • gerechtelijke gegevens

  8. Algemeen principe • dienstenintegratie is minder bedreigend voor de persoonlijke levenssfeer dan persoonsgegevens-integratie omdat • het geen permanent samenbrengen en geïntegreerde opslag van persoonsgegevens vereist, maar persoonsgegevens enkel tijdelijk samenbrengt op het ogenblik van het aanbod van de geïntegreerde dienst • het geen redundante opslag van persoonsgegevens vereist, die leidt tot een verhoogde foutenkans • een dienstenintegrator kan worden belast met een rol van ‘trusted third party’ die er, zonder eigen belang in het samenbrengen van persoonsgegevens, over waakt dat dat samenbrengen geschiedt met respect voor de regelgeving inzake de bescherming van de persoonlijke levenssfeer en de eventuele machtigingen van de bevoegde sectorale comités

  9. Algemeen principe • daarom is gegevensintegratie slechts aanvaardbaar indien dit noodzakelijk is en eenzelfde functionaliteit niet redelijk kan worden aangeboden via dienstenintegratie • de verantwoordelijke van verwerking van persoonsgegevensintegratie dient aldus te beschikken • hetzij over een wettelijke basis • hetzij over een gerechtvaardigd belang om aan persoonsgegevensintegratie te doen en dat belang redelijkerwijze niet kunnen nastreven met dienstenintegratie

  10. Andere sectorale dienstenintegratoren (fiscus, justitie, politie, …) Instelling/dienst x Instelling/dienst y Sociale diensten- integrator (KSZ) Diensten- repository Extranet of FedMAN Diensten- repository ISZ Regionale dienstenintegrator (Corve, Easi-wal CIBG, …) Extranet sociale zekerheid ISZ Internet FOD FOD Extranet gewest of gemeenschap FOD FedMAN Diensten- repository Residuaire federale dienstenintegrator (Fedict) GOD GOD POD Diensten- repository Voorstel tot organisatie dienstenintegratie

  11. Regeling dienstenintegratoren • beslissing omtrent dienstenintegrator per overheidsniveau of –sector • duidelijke afbakening van toepassingsgebieden tussen dienstenintegratoren • wettelijke regeling van toepassingsgebied en opdrachten van elke dienstenintegrator • elke dienstenintegrator staat onder controle van een Sectoraal Comité van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL), dat dienstenintegratie machtigt na toetsing ervan aan de principes van de Wet Verwerking Persoonsgegevens • elke dienstenintegrator wordt best beheerd door vertegen-woordigers van de onderscheiden actoren in de betrokken sector en datasubjecten om • hun vertrouwen te genieten • een gebruikersgerichte werking te waarborgen

  12. Inhoudelijke opdrachten dienstenintegratoren • vastleggen van de visie inzake geïntegreerde elektronische dienstverlening in de betrokken sector • vastleggen en promoten van de visie en de gemeenschappelijke basisprincipes inzake informatiebeheer en –veiligheid (zie lager) in de betrokken sector • coördineren van de procesoptimalisatie in de betrokken sector • programma- en projectbeheer in de betrokken sector • vastleggen, implementeren en beheren van het samenwerkingsplatform in de betrokken sector • technisch: architectuur en standaarden voor veilige uitwisseling van informatie • semantisch: begripsharmonisatie en coördinatie van de aanpassingen van de regelgeving • business logica and orchestratie • bevorderen van dienstengeoriënteerde toepassingen

  13. Inhoudelijke opdrachten dienstenintegratoren • op alle hoger vermelde domeinen, afspraken maken en samenwerken met dienstenintegratoren in andere sectoren of op andere overheidsniveaus voor sector- of overheidsniveau-overschrijdende dienstenintegratie • veranderingsbeheer • vorming en coaching • optreden als trusted third party voor de codering en anonimisering van gegevens • beheer van een verwijzingsrepertorium met 3 functies als basis voor de organisatie van de elektronische gegevensuitwisseling tussen de actoren in de betrokken sector • preventieve controle op de rechtmatigheid van de toegang • routering van vragen naar de plaats waar het antwoord beschikbaar is • automatische mededeling van gewijzigde gegevens • geen massale centrale opslag van inhoudelijke persoonsgegevens

  14. Verwijzingsrepertorium • 4 tabellen • wie-waar-hoe-wanneer-tabel (personenrepertorium): welke personen bezitten in welke hoedanigheden dossiers bij welke actoren m.b.t. welke periodes ? • wat-waar-tabel (gegevensbeschikbaarheidstabel): welke soorten persoonsgegevens zijn beschikbaar bij welke soorten actoren in de verschillende soorten dossiers ? • wie-mag-wat-krijgen-tabel (toegangsmachtigingstabel): welke persoonsgegevens mogen welke soorten actoren verkrijgen m.b.t. de verschillende soorten dossiers en m.b.t. welke periodes ? • wie-krijgt-wat-automatisch-tabel (abonnemententabel): welke persoonsgegevens worden m.b.t. de verschillende soorten dossiers in welke omstandigheden automatisch meegedeeld aan welke soorten actoren ?

  15. Opdrachten dienstenintegratoren • preventieve controle op de rechtmatigheid van de uitwisseling van persoonsgegevens als trusted third party (TTP) • die onafhankelijk is van de leverancier en de gebruiker van de persoonsgegevens • die zelf geen inhoudelijke verwerking van persoonsgegevens verricht • die idealiter wordt medebeheerd door vertegenwoordigers van de datasubjecten • loggen van elke elektronische uitwisseling van persoonsgegevens om eventueel oneigenlijk gebruik ex post te kunnen traceren

  16. Dienstenintegratoren en WVP • eerlijkheid, rechtmatigheid en doelbinding • dienstenintegratie enkel toegelaten indien nodig voor • de uitvoering van een wettelijke verplichting • de behartiging van het gerechtvaardigd belang van de gebruiker van de geïntegreerde dienst, mits het belang of de fundamentele rechten en vrijheden van het data subject niet zwaarder doorwegen • dienstenintegratie is een specifiek doeleinde • duidelijke afbakening van het doel van de dienstenintegrator • duidelijke beschrijving van de geïntegreerde diensten, hun onderscheiden bestanddelen en de orchestratie • duidelijke aanduiding van de verantwoordelijke van de verwerking waarbij recht van toegang, verbetering en wissing kan worden uitgeoefend

  17. Dienstenintegratoren en WVP • proportionaliteit • dienstenintegrator mag niet meer of langer persoonsgegevens opslaan dan voor de levering van de geïntegreerde diensten of voor andere doeleinden die daarmee verband houden => • gebruik van de gedistribueerde authentieke bronnen eerder dan centrale gegevensopslag • taakverdeling inzake beheer van verwijzingsrepertoria • beheer van loggings volgens principe van “cirkels van vertrouwen” • dienstenintegrator mag enkel persoonsgegevens verwerken die relevant en niet overmatig zijn voor de gebruikers van de geïntegreerde dienst • dienstenintegrator leeft bij dienstenintegratie de eventuele machtigingen van de Sectorale Comités van de CBPL na • dienstenintegrator treft gepaste maatregelen opdat de gebruikers van de geïntegreerde diensten enkel persoonsgegevens verkrijgen m.b.t. de personen waarover deze gegevens relevant en niet overmatig zijn voor de rechtmatige doeleinden waarvoor ze de geïntegreerde dienst gebruiken

  18. Dienstenintegratoren en WVP • juistheid en nauwkeurigheid • dienstenintegrator sluit met leveranciers van deeldiensten service level agreements af i.v.m. juistheid en nauwkeurigheid van de aangeleverde persoonsgegevens • transparantie • dienstenintegrator verschaft openbare informatie over • het doel van de dienstenintegratie • het toepassingsgebied van de dienstenintegratie • de geïntegreerde diensten, hun onderscheiden bestanddelen en de orchestratie • de verantwoordelijke van de verwerking waarbij recht van toegang, verbetering en wissing kan worden uitgeoefend • betrokkenheid van vertegenwoordigers van de datasubjecten in de beheers- en/of controle-organen van de dienstenintegrator • telkens de informatie wordt gebruikt voor een beslissing wordt aan de betrokkene de gebruikte informatie meegedeeld bij de mededeling van de beslissing

  19. Dienstenintegratoren en WVP • veiligheid • dienstenintegrator waarborgt dat persoonsgegevens verwerkt voor dienstenintegratie niet voor andere doeleinden worden verwerkt • dienstenintegrator waarborgt de integriteit, de authenticiteit, de beschikbaarheid en de vertrouwelijkheid van de persoonsgegevens die hij verwerkt en maakt daartoe afspraken met de onderscheiden tussenkomende partijen in de hele dienstverleningsketen • dienstenintegrator waarborgt preventieve controle op het doel en de evenredigheid van de dienstenintegratie (zie hogervermelde deelprincipes) • dienstenintegrator waarborgt dat persoonsgegevens niet onrechtmatig kunnen gewijzigd of vernietigd worden tijdens de verwerking

  20. Dienstenintegratoren en WVP • veiligheid • dienstenintegrator waarborgt de auditeerbaarheid (wie, wat, wanneer, over wie en waarvoor) van de verwerking van de persoonsgegevens over de hele dienstverleningsketen heen en maakt daartoe afspraken met de onderscheiden tussenkomende partijen in de hele dienstverleningsketen • dienstenintegrator werkt de veiligheidsmaatregelen uit volgens het principe van de “cirkels van vertrouwen” • dienstenintegrator beschikt over een interne informatie-veiligheidsdienst met stimulerende, coördinerende en eventueel regulerende functie t.a.v. de aanbieders van deeldiensten en de gebruikers van de geïntegreerde diensten • naleving door dienstenintegrator en gebruikers van geïntegreerde diensten wordt jaarlijks geëvalueerd door een extern controleorgaan, bij voorkeur een Sectoraal Comité van de CBPL, aan de hand van de invulling van een checklist m.b.t. de minimale veiligheidsnormen

  21. Principe van "cirkels van vertrouwen" • doel • vermijden van onnodige centralisatie • vermijden van onnodige bedreigingen voor de bescherming van de persoonlijke levenssfeer • vermijden van meervoudige identieke controles en opslag van loggings • methode: taakverdeling tussen de bij elektronische dienstverlening betrokken instanties met duidelijke afspraken inzake • wie welke authenticaties, verificaties en controles verricht aan de hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is • hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld • wie welke loggings bijhoudt • hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een controle-orgaan of n.a.v. klacht, een volledige tracering kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt

  22. Sectorale comités • opgericht in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL) • bestaande uit • vertegenwoordigers van de CBPL • onafhankelijke specialisten inzake het domein, aangewezen door de Kamer van Volksvertegenwoordigers • taken • verstrekken van machtigingen tot (elektronische) uitwisseling van persoonsgegevens, buiten de gevallen waarin dit is toegelaten bij wet • vaststellen van organisatie en policies inzake informatieveiligheid bij de verwerking van persoonsgegevens in het betrokken domein • verstrekking van adviezen en aanbevelingen inzake informatieveiligheid bij de verwerking van persoonsgegevens in het betrokken domein • behandeling van klachten inzake inbreuken op informatieveiligheid bij de verwerking van persoonsgegevens in het betrokken domein

  23. Gegevensintegratie voor datamining • aggregatie van persoonsgegevens door onafhankelijke dienstenintegrator(en) • codering van persoonsgegevens door onafhankelijke dienstenintegrator • verwijderen van rechtstreekse identificatiemiddelen • afdoende onmogelijk maken van onrechtstreekse identificatie, oa door indeling van informatie in klassen • terbeschikkingstelling van gecodeerde informatie aan instanties bevoegd voor risico-analyse • indien uit risico-analyse afdoende vermoedens van fraude blijkt, decodering van betrokken gecodeerde gegevens door onafhankelijke dienstenintegrator • terbeschikkingstelling van niet-gecodeerde persoonsgegevens aan instanties bevoegd voor fraudebestrijding

  24. Actie Beheer Identificatie Voorbeeld: OASIS-project Fraude verstopt in massa informatie Fraude komt boven door analyse Te behandelen gevallen en uitleg Beslissing omtrent acties Onmiddellijk onderzoek Administratief onderzoek Mededeling aan gewestelijke dienst Nr Score X 993 Periodiek heronderzoek Y 945 Z 674 Geen specifieke actie … …

  25. Voorbeeld: OASIS-project • voorbeelden van "knipperlichten" • aantal gelijkgestelde dagen wegens ziekte, ongeval of loopbaanonderbreking >> gemiddelde van sector • hoog aantal gelijkgestelde dagen wegens economische werkloosheid en weerverlet tezamen met aanwerving van nieuwe werknemers tijdens de periode • gelijkgestelde dagen wegens economische werkloosheid en weerverlet zijn niet dezelfde als door de RVA effectief terugbetaalde dagen • aantal gelijkgestelde dagen wegens economische werkloosheid of weerverlet of compensatiedagen /aantal gewerkte dagen >> gemiddelde van de sector • massale aanwerving van werknemers tijdens een korte periode • verhoging omzet maar vermindering van het aantal werknemers • aantal annuleringen van aangegeven personeel tijdens het kwartaal boven een bepaalde drempel

  26. Voorbeeld: OASIS-project • voorbeelden van "knipperlichten" • zakencijfer/aantal werknemers >> gemiddelde van de sector in de loop van het trimester • verloop (aantal nieuwe en vertrekkende werknemers) >> gemiddelde van de sector • groot verschil tussen een trimestriële loon- en arbeidstijdsaangifte en de vorige versie • variatie van de totale loonmassa > grens • variatie van het aantal werknemers > minimumaantal

  27. Vermijden onnodige administratieve lasten • respect voor aantal basisprincipes inzake informatiebeheer en informatieveiligheid • modellering van informatie • eenmalige inzameling en hergebruik van informatie • beheer van informatie • uitwisseling van informatie

  28. Modellering van informatie • informatie wordt gemodelleerd op een wijze die zo nauw mogelijk aansluit bij de feitelijke realiteit • definitie van informatie-elementen • definitie van kenmerken van informatie-elementen • definitie van relaties tussen informatie-elementen • de modellering houdt rekening met zoveel mogelijk voorzienbare gebruiksbehoeften van de informatie • de modellering kan flexibel worden uitgebreid en aangepast indien de feitelijke realiteit of de gebruiksbehoeften wijzigen (verminderen of vermeerderen) • de concrete implementatie van het model wordt afgestemd op de bestaande gebruiksbehoeften van de informatie

  29. Eenmalige inzameling en hergebruik • informatie wordt enkel ingezameld voor welbepaalde doeleinden en in de mate dat ze proportioneel is met deze doeleinden • informatie wordt slechts één keer ingezameld, zo dicht mogelijk bij de authentieke bron • de inzameling geschiedt via een kanaal gekozen door degene waarbij de informatie wordt ingezameld, maar bij voorkeur elektronisch, en met uniforme basisdiensten • de inzameling geschiedt op basis van het informatiemodel en op basis van zo eenvormig en eenvoudig mogelijke instructies • met de mogelijkheid tot kwaliteitscontrole door degene waarbij de informatie wordt ingezameld vóór de informatie-overdracht • de ingezamelde informatie wordt één keer gevalideerd overeenkomstig een vastgelegde taakverdeling, door de instantie die daartoe over de meeste competenties beschikt of daarbij het meest belang heeft • en dan gedeeld met en hergebruikt door gemachtigde gebruikers

  30. Beheer van informatie • een functionele taakverdeling wordt afgesproken omtrent welke instantie welke informatie in authentieke vorm opslaat, beheert en toegankelijk stelt voor alle gemachtigde gebruikers • informatie wordt bewaard overeenkomstig het informatiemodel • de informatie kan flexibel worden geaggregeerd in functie van de wijzigende behoeften • afspraken worden gemaakt inzake de toepassing van de nodige maatregelen voor het behoud van de integriteit en de consistentie van de informatie • elke instantie is verplicht om vermoede onjuistheden van de informatie te melden aan de instantie die ze dient te valideren overeenkomstig de vastgelegde taakverdeling

  31. Beheer van informatie • elke instantie die informatie overeenkomstig de vastgelegde taakverdeling moet valideren, is verplicht om de gemelde vermoede onjuistheden te onderzoeken, zo nodig te verbeteren en de verbeterde informatie ter beschikking te stellen van de gekende belanghebbende instanties • informatie wordt enkel beheerd zolang dat nodig is in functie van de organisatiebehoeften, het beleid of de regelgeving, of nog, bij voorkeur geanonimiseerd of gecodeerd, zolang ze relevante historische of archiefwaarde heeft

  32. Uitwisseling van informatie • eenmaal ingezameld en gevalideerd, wordt de informatie zoveel mogelijk elektronisch opgeslagen, beheerd en uitgewisseld, om manuele heringave te vermijden • informatie wordt enkel uitgewisseld met akkoord van de betrokkene of wanneer dat nodig is in functie van de organisatiebehoeften, het beleid of de regelgeving • de elektronische uitwisseling van informatie geschiedt op initiatief van • de instantie die over de informatie beschikt of • de instantie die de informatie nodig heeft of • een dienstenintegrator

  33. Uitwisseling van informatie • de elektronische uitwisseling van informatie geschiedt aan de hand van een functioneel en technisch interoperabiliteitsframework, dat geleidelijk, maar permanent mee-evolueert met open marktstandaarden, en onafhankelijk is van de gebruikte techniek van informatie-uitwisseling • de beschikbare informatie wordt proactief gebruikt voor • de automatische toekenning van rechten • de voorinvulling bij informatie-inzameling • de informatieverstrekking aan de betrokkenen

  34. Behoeften van de gebruikers • dienstenintegratie van toepassing tot toepassing • indien nood aan naverwerking van informatie volgens eigen logica van gebruiker of opslag van informatie in eigen informatiesysteem • nood aan ontwikkeling van toepassing door gebruiker • dienstenintegratie aangeboden via webtoepassing • indien geen nood aan naverwerking van informatie volgens eigen logica van gebruiker en geen nood aan opslag van informatie in eigen informatiesysteem • geen nood aan ontwikkeling van toepassing door gebruiker • gegevensintegratie

  35. D@nk u !Vragen ?

More Related