Chapitre 1er.- Des définitions.
Article 1er.Pour l'application du présent arrêté, on entend par :
1°" loi " : la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale;
2°" Banque-carrefour " : la Banque-carrefour de la sécurité sociale;
3°[2 "comité de sécurité de l'information": la chambre sécurité sociale et santé du comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;]2
4°" institution " : les institutions de sécurité sociale visées à l'article 2, alinéa 1er, 2°, de la loi, la Banque-Carrefour, ainsi que les autres institutions gérant un réseau secondaire;
5°" institution gérant un réseau secondaire " : une institution qui tient un répertoire particulier des personnes, visé à l'article 6, alinéa 2, 2°, de la loi;
6°" Ministre " : le Ministre qui a [2 les affaires sociales]2 dans ses attributions;
7°[2 "responsable de la gestion journalière": le responsable de la gestion journalière d'une institution, ou, lorsqu'il s'agit d'un service public fédéral chargé de l'application de la sécurité sociale, le président du comité de direction ou le directeur général désigné par celui-ci;]2
8°[2 "délégué à la protection des données": la personne visée à l'article 25 de la loi;]2
9°[1 " sécurité de l'information " : stratégie, règles, procédures et moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information.]1.
----------
(1AR 2013-03-17/04, art. 10, 002; En vigueur : 01-06-2013)
(2AR 2018-12-21/46, art. 1, 003; En vigueur : 10-09-2018)
Chapitre 2.- Des services de sécurité de l'information des institutions.
Art. 2.Toutes les institutions sont tenues d'instituer un service chargé de la sécurité de l'information.
Par dérogation à l'alinéa 1er, le [1 comité de sécurité de l'information]1 peut autoriser des institutions, à leur demande ou à son initiative, à confier, aux conditions déterminées par celui-ci, les tâches du service chargé de la sécurité de l'information à un service de sécurité spécialisé agréé visé à l'article 11.
----------
(1AR 2018-12-21/46, art. 2, 003; En vigueur : 10-09-2018)
Art. 3.Le service chargé de la sécurité de l'information a une mission d'avis, de stimulation, de documentation et de contrôle.
Le service chargé de la sécurité de l'information conseille le responsable de la gestion journalière de son institution, à la demande de celui-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de l'information. Sauf si les risques ne sont pas suffisamment importants, les avis s'expriment par écrit et sont motivés. Dans le délai requis par les circonstances, mais avec un maximum de trois mois, le responsable de la gestion journalière décide de suivre ou non les avis et informe le service chargé de la sécurité de la décision adoptée. Si la décision déroge à un avis exprimé par écrit, elle doit être communiquée de façon écrite et motivée.
["1 Le service charg\233 de la s\233curit\233 de l'information promeut le respect des r\232gles concernant la s\233curit\233 des donn\233es \224 caract\232re personnel et la protection de la vie priv\233e des personnes auxquelles ces donn\233es \224 caract\232re personnel ont trait, impos\233es par la r\233glementation relative \224 la protection des personnes physiques lors du traitement de donn\233es \224 caract\232re personnel, ainsi que l'adoption, par les personnes employ\233es dans l'institution, d'un comportement favorisant la s\233curit\233."°
Le service chargé de la sécurité de l'information rassemble la documentation utile à ce sujet.
Le service chargé de la sécurité de l'information veille au respect, dans l'institution, [1 des règles concernant la sécurité des données à caractère personnel et la protection de la vie privée des personnes auxquelles ces données à caractère personnel ont trait, imposées par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou par chaque autre réglementation en vigueur]1. Toutes les infractions constatées sont communiquées par écrit et exclusivement au responsable de la gestion journalière de l'institution, accompagnées des avis nécessaires en vue d'éviter de telles infractions à l'avenir.
----------
(1AR 2018-12-21/46, art. 3, 003; En vigueur : 10-09-2018)
Art. 4.[1 Le service chargé de la sécurité de l'information est placé sous la direction du délégué à la protection des données. Le délégué à la protection des données peut se faire assister par un ou plusieurs adjoints.
Après leur désignation, l'identité du délégué à la protection des données et de ses adjoints éventuels dans les institutions qui appartiennent à un réseau secondaire est communiquée à l'institution gérant le réseau secondaire concerné.
Les délégués à la protection des données et leurs adjoints éventuels ne peuvent être relevés de cette fonction en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent dans le cadre de l'exercice correct de leur fonction.]1
----------
(1AR 2018-12-21/46, art. 4, 003; En vigueur : 10-09-2018)
Art. 5.Le service chargé de la sécurité de l'information est placé sous l'[1 autorité]1 du responsable de la gestion journalière de l'institution. Il travaille en étroite collaboration avec les services qui requièrent, ou peuvent requérir, son intervention, en particulier avec le service informatique et le service de sécurité, d'hygiène et d'embellissement des lieux de travail de l'institution.
----------
(1AR 2018-12-21/46, art. 5, 003; En vigueur : 10-09-2018)
Art. 6.Le service chargé de la sécurité de l'information doit disposer d'une connaissance suffisante de la structure informatique de l'institution ainsi que de la sécurité de l'information. Il doit en permanence tenir cette connaissance à jour.
Art. 7.Le service chargé de la sécurité de l'information rédige un projet de plan de sécurité pour une durée de trois ans, à l'attention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. Ce projet est révisé au moins annuellement et adapté si nécessaire. Le projet de plan de sécurité est considéré comme un avis, au sens de l'article 3, alinéa 2.
Art. 8.Le service chargé de la sécurité de l'information rédige un rapport annuel à l'attention du responsable de la gestion journalière de l'institution. Ce rapport comprend au moins :
1°un apercu général de la situation en matière de sécurité, de l'évolution au cours de l'année écoulée et des objectifs qui doivent encore être atteints;
2°un résumé des avis écrits, transmis au responsable de la gestion journalière et la suite qui y a été réservée;
3°un apercu des travaux exécutés par le service chargé de la sécurité de l'information;
4°un relevé des résultats des contrôles effectués par le service chargé de la sécurité de l'information, reprenant tous les incidents qui ont été constatés et qui étaient de nature à compromettre la sécurité de l'information de l'institution ou du réseau;
5°les avis transmis à l'institution par le service de sécurité spécialisé agréé visé à l'article 11, auquel l'institution est affiliée, et la suite qui y a été réservée;
6°les avis du groupe de travail visé à l'article 14 ainsi que la suite qui y a été réservée;
7°un relevé des campagnes menées en vue de favoriser la sécurité;
8°un apercu de toutes les formations suivies et prévues.
Art. 9.Sans préjudice des dispositions de l'article 3, le service de sécurité de l'information de la Banque-carrefour a en outre une mission d'avis en matière de sécurité de l'échange des données dans le réseau.
Art. 10.Les missions du service chargé de la sécurité de l'information telles que définies dans le présent chapitre se rapportent également aux données sociales à caractère personnel conservées, traitées ou échangées par l'intermédiaire de tiers pour le compte de l'institution concernée.
Chapitre 3.- Du service de sécurité spécialisé de l'information.
Art. 11.Il sera créé au moins un service de sécurité spécialisé qui sera agréé par le Ministre; ce service assistera les institutions dans l'exercice de leurs tâches relatives à la sécurité de l'information.
Pour pouvoir être agréé, un service de sécurité spécialisé doit satisfaire aux conditions suivantes :
1°être créé au sein ou sous forme [2 d'une association sans but lucratif visée dans la loi du 27 juin 1921 sur les associations sans but lucratif, les fondations, les partis politiques européens et les fondations politiques européennes]2, n'ayant comme membres effectifs que des institutions;
2°être exclusivement chargé de missions relatives à la sécurité de l'information dans le cadre de la sécurité sociale;
3°satisfaire aux règles de tarification, dans la mesure où elles sont fixées par le Ministre.
Le [1 comité de sécurité de l'information]1 veille au caractère indépendant et au bon fonctionnement des services de sécurité spécialisés agréés.
----------
(1AR 2018-12-21/46, art. 2, 003; En vigueur : 10-09-2018)
(2AR 2018-12-21/46, art. 6, 003; En vigueur : 10-09-2018)
Art. 12.Le service de sécurité spécialisé agréé exerce, entre autres, les missions suivantes :
1°mettre à la disposition des institutions des spécialistes en matière de sécurité de l'information;
2°donner des avis autorisés aux institutions ou au [1 comité de sécurité de l'information]1, à la demande de ceux-ci;
3°organiser une formation en matière de sécurité de l'information à l'attention des institutions;
4°encourager et suivre les campagnes de promotion en matière de sécurité de l'information;
5°exécuter les tâches décrites au Chapitre II au bénéfice des institutions qui, en application de l'article 2, alinéa 2, n'ont pas créé de service chargé de la sécurité de l'information;
6°effectuer des contrôles externes et des enquêtes détaillées concernant la situation en matière de sécurité des institutions à la demande de l'institution intéressée ou du comité de sécurité de l'information.
----------
(1AR 2018-12-21/46, art. 2, 003; En vigueur : 10-09-2018)
Art. 13.Chaque institution ne peut, pour tous les aspects de la sécurité de l'information, faire appel qu'à l'intervention d'un seul service de sécurité spécialisé agréé.
Art. 13bis.<Inséré par AR 1998-10-08/88, art. 1; En vigueur : 03-01-1999> Si une association créée en application de l'article 17bis de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale est agréée en tant que service spécialisé de sécurité en exécution de l'article 11, toutes les institutions peuvent participer à une telle association pour faire appel aux services confiés en vertu de cet arrêté royal à un service de sécurité spécialisé agréé.
Chapitre 4.- Du groupe de travail sur la sécurité de l'information.
Art. 14.Au sein du Comité général de coordination de la Banque-carrefour est créé un groupe de travail sur la sécurité de l'information. Ce groupe de travail sera présidé par le [2 délégué à la protection des données]2 de la Banque-carrefour et il sera composé en outre des [2 délégués à la protection des données]2 des institutions gérant un réseau secondaire et des institutions n'appartenant pas à un réseau secondaire, ainsi que d'un seul [2 délégué à la protection des données]2 choisi au sein de chaque sous-groupe de travail visé à l'alinéa 2.
En outre, il sera créé un sous-groupe de travail en matière de sécurité de l'information, au sein de chaque institution gérant un réseau secondaire. Ce sous-groupe de travail sera présidé par le [2 délégué à la protection des données]2 de cette institution et sera en outre composé des [2 délégués à la protection des données]2 des institutions appartenant au réseau secondaire géré par cette institution, ainsi que d'un membre du service chargé de la sécurité de l'information de la Banque-carrefour.
Le groupe de travail et les sous-groupes de travail sont convoqués par leur président aussi souvent que cela s'avère nécessaire.
Le groupe de travail et les sous-groupes de travail sont chargés de la coordination et de la communication entre les services chargés de la sécurité de l'information des institutions qui y sont représentées.
Le groupe de travail sur la sécurité de l'information est plus particulièrement chargé de :
1°la préparation des normes minimales concernant la sécurité physique et logique de l'information;
2°la préparation d'une liste de contrôle permettant l'évaluation du respect des normes minimales concernant la sécurité physique et logique de l'information;
3°la formulation d'avis au [1 comité de sécurité de l'information]1 concernant la sécurité de l'information.
----------
(1AR 2018-12-21/46, art. 2, 003; En vigueur : 10-09-2018)
(2AR 2018-12-21/46, art. 7, 003; En vigueur : 10-09-2018)
Chapitre 5.- Des dispositions transitoires et finales.
Art. 15.Le premier rapport annuel visé à l'article 8 sera transmis dans les 12 mois de l'entrée en vigueur du présent arrêté.
Art. 16.Le présent arrêté entre en vigueur le premier jour du troisième mois qui suit celui au cours duquel il aura été publié au Moniteur belge.
Par dérogation à l'alinéa premier, la date d'entrée en vigueur du présent arrêté sera fixée ultérieurement en ce qui concerne les institutions publiques qui ne relèvent pas exclusivement de l'autorité fédérale.
(NOTE : Entrée en vigueur fixée le 01-01-2005 en ce qui concerne les centres publics d'aide sociale par AR 2005-07-11/31, art. 1)
Art. 17.Notre Ministre des Pensions, Notre Ministre de l'Emploi et du Travail, Notre Ministre des Petites et Moyennes Entreprises et Notre Ministre des Affaires sociales sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.