SÉNAT Question écrite n° 6-22 - SENAAT Schriftelijke vraag nr. 6-22

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2014-2015

Zitting 2014-2015

________

28 octobre 2014

28 oktober 2014

________

Question écrite n° 6-22

Schriftelijke vraag nr. 6-22

de Lode Vereeck (Open Vld)

van Lode Vereeck (Open Vld)

au vice-premier ministre et ministre de la Coopération au développement, de l'Agenda numérique, des Télécommunications et de la Poste

aan de vice-eersteminister en minister van Ontwikkelingssamenwerking, Digitale Agenda, Telecommunicatie en Post

________

Autorité fédérale - Fuites de données - Chiffres - Plaintes - Procédure juridique - Prévention - Coûts - Mesures

Federale overheid - Datalekken - Cijfers - Klachten - Juridische procedure - Preventie - Kosten - Maatregelen

________

protection des données
piratage informatique
criminalité informatique
Autorité de protection des données
ministère
organisme de recherche
établissement d'utilité publique

gegevensbescherming
computerpiraterij
computercriminaliteit
Gegevensbeschermingsautoriteit
ministerie
onderzoeksorganisme
instelling van openbaar nut

________

28/10/2014	Verzending vraag (Einde van de antwoordtermijn: 27/11/2014)
27/11/2014	Antwoord

28/10/2014	Verzending vraag (Einde van de antwoordtermijn: 27/11/2014)
27/11/2014	Antwoord

________

Ook gesteld aan : schriftelijke vraag 6-19
Ook gesteld aan : schriftelijke vraag 6-20
Ook gesteld aan : schriftelijke vraag 6-21
Ook gesteld aan : schriftelijke vraag 6-23
Ook gesteld aan : schriftelijke vraag 6-24
Ook gesteld aan : schriftelijke vraag 6-25
Ook gesteld aan : schriftelijke vraag 6-26
Ook gesteld aan : schriftelijke vraag 6-27
Ook gesteld aan : schriftelijke vraag 6-28
Ook gesteld aan : schriftelijke vraag 6-29
Ook gesteld aan : schriftelijke vraag 6-30
Ook gesteld aan : schriftelijke vraag 6-31
Ook gesteld aan : schriftelijke vraag 6-32
Ook gesteld aan : schriftelijke vraag 6-33
Ook gesteld aan : schriftelijke vraag 6-34
Ook gesteld aan : schriftelijke vraag 6-35
Ook gesteld aan : schriftelijke vraag 6-36

________

Question n° 6-22 du 28 octobre 2014 : (Question posée en néerlandais)

Vraag nr. 6-22 d.d. 28 oktober 2014 : (Vraag gesteld in het Nederlands)

Un exemple concret, des plus éloquents, de fuite de données en Belgique est peut-être celui portant sur la Société nationale des chemins de fer belges (SNCB). Le 29 décembre 2012, les médias ont fait état d'une fuite de données privées concernant environ 1,5 million de clients de la SNCB. Cela a été révélé par un internaute qui avait « découvert » par hasard un fichier contenant des données personnelles de clients de la SNCB Europe. À la suite de cette fuite de données, la Commission de protection de la vie privée a reçu plus de mille sept cents plaintes sur la fuite de données personnelles par le biais d'un site web de la SNCB.

La Commission de protection de la vie privée (CPVP), mieux connue sous le nom de Commission vie privée, a mis en place, le 12 juin 2014, sur son site web des formulaires grâce auxquels les entreprises peuvent notifier, simplement et rapidement, une fuite de données. Les entreprises de télécommunications sont soumises à une obligation de notification.

Je souhaite poser les questions suivantes :

1) De 2009 à ce jour, combien de fois des attaques ont-elles été dirigées sur les données numériques ou bases de données des services publiques fédéraux ou de programmation (SPF ou SPP), établissements scientifiques, organismes d'intérêt public (OIP) ou institutions publiques de sécurité sociale (IPSS) relevant de votre compétence ? Je souhaiterais obtenir un aperçu annuel par service et organisme public.

2) Certains SPF, SPP, OIP ou IPSS ont-ils été confrontés à une fuite de données entre 2009 et ce jour ? Dans l'affirmative, je souhaiterais obtenir un aperçu, par service concerné, des éléments suivants :

a) le moment auquel la fuite de données s'est produite et sa durée ;

b) l'ampleur de la fuite de données (sur combien de personnes elle a porté)

c) une description des données concernées ;

d) la cause de la fuite de données ;

e) les mesures prises à la suite de la fuite de données ;

f) le nombre de plaintes qui ont été déposées, le cas échéant, par fuite de données ;

g) la suite qui a été réservée aux plaintes visées à la sous-question 2f.

3) Des démarches juridiques ont-elles été entreprises dans le cadre des plaintes visées à la sous-question 2f ? Le cas échéant, quel est l'état de la question ou quel a été le résultat de cette procédure juridique ?

4) Combien d'entreprises ont-elles déjà signalé une fuite de données au moyen du formulaire en ligne mis en place sur le site web de la Commission vie privée ? Combien de notifications provenaient-elles d'entreprises de télécommunications ?

5) Quelles mesures sont-elles actuellement prises afin de prévenir les fuites de données au niveau des services et organismes relevant de votre compétence ?

6) À combien s'élèvent les coûts annuels de prévention des violations de la sécurité, cyberattaques ou fuites de données ? Je souhaiterais une ventilation par mesure pertinente. Le cas échéant, j'aimerais connaître le montant qui a été investi de 2009 à ce jour dans des logiciels de contrôle de sécurité.

7) Estimez-vous opportun de prendre des mesures supplémentaires de prévention des fuites de données ? Pourquoi ? De quelles mesures supplémentaires s'agit-il et quel calendrier prévoyez-vous ? Dans la négative, pourquoi ?

Een praktijkvoorbeeld van een datalek in België dat nog steeds het meest tot de verbeelding spreekt is wellicht dit bij de Nationale Maatschappij der Belgische Spoorwegen (NMBS). Op 29 december 2012 berichtten de media dat private gegevens van ongeveer 1,5 miljoen NMBS-klanten waren gelekt. Het datalek bij de NMBS raakte bekend doordat een internetgebruiker via een zoekopdracht in Google een bestand met persoonlijke gegevens van klanten van NMBS Europe bij toeval « ontdekt » had. Volgend op dit datalek ontving de Privacycommissie ruim duizend zeven honderd klachten over het lekken van persoonlijke gegevens via een website van de NMBS.

De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, plaatste op 12 juni 2014 formulieren op haar website. Aan de hand van die formulieren kunnen bedrijven op een eenvoudige en snelle manier een datalek melden. Voor telecombedrijven geldt een meldingsplicht.

Ik heb volgende vragen :

1) Hoe vaak werd er in de periode van 2009 tot heden een aanval gericht op de digitale gegevens of database(s) van de federale of programmatorische overheidsdiensten (FOD of POD), wetenschappelijke instellingen, instellingen van openbaar nut (ION) of instellingen van sociale zekerheid (OISZ) die onder uw bevoegdheid vallen ? Graag kreeg ik per overheidsdienst en -instelling een jaarlijks overzicht.

2) Zijn er FOD's, POD's, wetenschappelijke instellingen, ION's of OISZ's die tussen 2009 en heden te maken hebben gehad met een datalek ? Zo ja, dan kreeg ik graag per betrokken dienst of instelling een overzicht van volgende elementen :

a) het tijdstip en de duur van het datalek ;

b) de omvang van het datalek (hoeveel personen waren hierbij betrokken) ;

c) een omschrijving van de gelekte gegevens ;

d) de oorzaak van het datalek ;

e) de getroffen maatregelen ten gevolge van het datalek ;

f) het aantal klachten die desgevallend werden ingediend per datalek ;

g) het gevolg dat werd gegeven aan de desbetreffende klachten uit deelvraag 2f.

3) Werden er in het kader van de klachten uit deelvraag 2f. juridische stappen ondernomen ? Wat is desgevallend de stand van zaken of wat was het eindresultaat van deze juridische procedure ?

4) Hoeveel bedrijven hebben reeds een gegevenslek via het onlineformulier op de website van de Privacycommissie gemeld ? Hoeveel meldingen waren afkomstig van telecombedrijven ?

5) Welke maatregelen worden er thans genomen ter preventie van datalekken bij de diensten en instellingen die ressorteren onder uw bevoegdheid ?

6) Hoeveel bedragen de jaarlijkse kosten ter preventie van beveiligingsinbreuken, cyberaanvallen of datalekken ? Graag kreeg ik een uitsplitsing per relevante maatregel. Desgevallend graag het bedrag dat er in de periode 2009 tot heden werd geïnvesteerd in software voor security monitoring.

7) Acht u bijkomende maatregelen ter preventie van datalekken opportuun ? Waarom? Om welke bijkomende maatregelen gaat het en welk tijdpad stelt u hierbij voorop ? Waarom niet ?

Réponse reçue le 27 novembre 2014 :

Antwoord ontvangen op 27 november 2014 :

1) Nous n’avons pas connaissance d’incident ayant pour objectif la collecte de données pour les systèmes sous le contrôle de Fedict

2) Nous n’avons pas connaissance d’incident ayant entrainé de fuite de données pour les systèmes sous le contrôle de Fedict

a) Cette question n’est pas d’application.

b) Cette question n’est pas d’application.

c) Cette question n’est pas d’application.

d) Cette question n’est pas d’application.

e) Cette question n’est pas d’application.

f) Cette question n’est pas d’application.

g) Cette question n’est pas d’application.

3) Cette question n’est pas d’application.

4) Cette question ne peut être répondue que par l’autorité en charge de la Commission de protection de la vie privée.

5) En ce qui concerne les services permettant l’accès aux données, ceux-ci sont contrôlés sur base du droit d’en connaitre. L’accès aux informations est limité en fonction des informations d’identification et d’autorisation des personnes utilisant les services mis à disposition tant des citoyens que de l’administration. Les connexions aux différents services sont réalisées via des canaux sécurisés. Des mesures de protection des données sont mises en œuvre à différents niveaux.

En ce qui concerne les systèmes informatiques, la protection est organisée selon les bonnes pratiques recommandées au niveau des réseaux, des bases de données et de l’infrastructure en général.

6) Les exigences de protection des systèmes font partie intégrante des exigences plus larges de livraison de solutions. Ces exigences sont définies dans les marchés publics initiés par Fedict. Nous ne disposons dès lors pas d’une évaluation des coûts directement associés à la protection des données dans la mesure où ces coûts sont inclus dans les coûts de mise en œuvre des solutions.

7) Les mesures de prévention de fuite de données sont nécessaires. Elles sont d’une part imposées en ce qui concerne les données des citoyens en vue de respecter les prescrits de la loi sur la protection des données et d’autre part, dans un cadre plus général, afin de garantir que des données sensibles ne sont pas mises à disposition de tiers avec des intentions malveillantes. De plus, compte tenu des évolutions dans le domaine de la sécurité, il est normal voire nécessaire que de nouvelles mesures de protections doivent être mises en œuvre et que des budgets soient dégagés à cette fin.

En fonction de la sensibilité des données hébergées sur les systèmes de l’administration et de leur exposition, différentes mesures devront être mises en place. Ces mesures doivent résulter de l’analyse de risque qui évalue les menaces, les impacts potentiels et qui permet de définir les mesures de protection pertinentes en fonction de ces éléments, mais également en fonction des coûts de mise en œuvre de ces moyens de protection.

1) Wij hebben geen weet van een incident met als objectief het verzamelen van gegevens voor de systemen die onder de controle van Fedict vallen.

2) Wij hebben geen weet van een incident met als impact een datalek voor de systemen die onder de controle van Fedict vallen.

a) Deze vraag is niet van toepassing.

b) Deze vraag is niet van toepassing.

c) Deze vraag is niet van toepassing.

d) Deze vraag is niet van toepassing.

e) Deze vraag is niet van toepassing.

f) Deze vraag is niet van toepassing.

g) Deze vraag is niet van toepassing.

3) Deze vraag is niet van toepassing.

4) Deze vraag kan alleen beantwoord worden door de autoriteit die aan het hoofd staat van de Commissie voor de bescherming van de persoonlijke levenssfeer.

5) Wat de diensten betreft die de toegang tot gegevens mogelijk maken: deze worden gecontroleerd op basis van het recht op kennis. De toegang tot de informatie wordt beperkt in functie van de identificatie- en autorisatiegegevens van de personen die gebruik maken van de diensten die ter beschikking gesteld worden zowel van burgers als van de overheid. De verbindingen met de verschillende diensten gebeuren via beveiligde kanalen. Er worden op verschillende niveaus maatregelen getroffen voor de bescherming van gegevens.

Wat de informaticasystemen betreft, wordt de bescherming georganiseerd volgens de aanbevolen praktijken op het vlak van netwerken, databases en infrastructuur in het algemeen.

6) De eisen voor de bescherming van systemen maken integraal deel uit van de bredere eisen voor het aanleveren van oplossingen. Die eisen worden vastgelegd in de overheidsopdrachten van Fedict. Wij beschikken dus niet over een evaluatie van de kosten die rechtstreeks betrekking hebben op de gegevensbescherming in de mate dat die kosten opgenomen zijn in de kosten voor het opzetten van oplossingen.

7) De preventiemaatregelen voor datalekken zijn noodzakelijk. Ze worden enerzijds opgelegd wat de gegevens van de burgers betreft met het oog op het naleven van de voorschriften van de wet inzake de gegevensbescherming en anderzijds, in een meer algemeen kader, om te garanderen dat gevoelige gegevens niet ter beschikking gesteld worden van derden met kwade bedoelingen. Bovendien is het, rekening houdend met de evoluties op het vlak van beveiliging, normaal of zelfs noodzakelijk dat er nieuwe beschermingsmaatregelen opgezet moeten worden en dat er daartoe budgetten vrijgemaakt worden.

In functie van de gevoeligheid van de gegevens die op de overheidssystemen gehost worden en de blootstelling ervan, zullen er verschillende maatregelen getroffen moeten worden. Die maatregelen moeten voortkomen uit de risicoanalyse die de dreigingen, de mogelijke invloeden evalueert en die het mogelijk maakt om de relevante beschermingsmaatregelen te definiëren in functie van die elementen, maar ook in functie van de kosten voor het opzetten van die beschermingsmiddelen.