Verslag vergadering Commissie voor Welzijn, Volksgezondheid en Gezin
Verslag
De heer Parys heeft het woord.
Voorzitter, deze vraag is wat technisch, want ze was initieel een schriftelijke vraag. Minister, ik had een vraag over de betrouwbare en kwalitatieve digitale dienstverlening die nodig is. Daarom moet de overheid met veel omzichtigheid omspringen met de gegevens van een groot beheersdomein zoals Welzijn, Volksgezondheid en Gezin (WVG), en moet ze eigenlijk kunnen gebruikmaken van aantoonbaar veilige datacentra. Audit en certificering door externe organisaties zijn daar uiteraard een ideaal middel toe.
Een van de principes die daarbij altijd worden gehanteerd, is de redundantie. Dat is een belangrijk concept inzake informatieveiligheid en continuïteit. Dat betekent dat men moet kunnen garanderen dat servers geplaatst in een datacenter altijd beschikbaar zijn, en dat dus alle voorzieningen dubbel worden uitgevoerd om ervoor te zorgen dat er niks misgaat, mocht een van de twee systemen falen. Verschillende datacentra bevinden zich bovendien het best ook op een voldoende grote afstand van elkaar, zodat ze niet in dezelfde risicozone voor stroomonderbrekingen liggen.
Minister, welke datacentra worden er gebruikt door de administraties die onder uw bevoegdheid vallen? Kunt u een overzicht geven? Is dat in de jongste vijf jaar veranderd? Welke centra hebben de certificering ISO 27001 en ISO 14001?
Gelden voor zowel interne al externe datacentra dezelfde standaarden of vereisten inzake informatieveiligheid, en welke zijn dat dan? Kunt u garanderen dat de IT-toepassingen van uw administraties worden gehost in verschillende datacentra op een voldoende grote afstand van elkaar, dus niet in dezelfde risicozones?
Minister Vandeurzen heeft het woord.
Mijnheer Parys, bij het Vlaams Agentschap voor Personen met een Handicap (VAPH) gebeurt de hosting van de applicaties, virtuele pc’s en softwareproducten in twee externe datacenters: LCL in Diegem sinds maart 2014 en Interxion in Zaventem sinds mei 2015. Het VAPH maakt ook gebruik van cloudomgevingen. De website voor burgers van het VAPH wordt gehost in Google Cloud Platform. Het VAPH maakt gebruik van G Suite voor mail, agenda en ‘collaboration’. De juridische dienst gebruikt de toepassing Kleos voor casemanagement. Die toepassing wordt gehost in Duitsland door T-Systems.
Zowel de datacentra als de cloudomgevingen zijn ISO 27001- en ISO 14001-gecertificeerd. Kind en Gezin heeft de laatste jaren veel geïnvesteerd om tot een combinatie van redundante datacenters te komen. De hosting van de SAP-omgeving (systems, applications and products in data processing) van Kind en Gezin is sinds 2012 uitbesteed aan Delaware, in een door hen gehuurde ruimte in datacenters. Tot juni 2017 is dat bij datacenters van Interxion en Verizon, vanaf juli 2017 bij BT. Voor het intern beheerde datacenter maakte Kind en Gezin tot eind januari 2018 gebruik van een datacenter binnen de eigen gebouwen en een datacenter bij LCL, met inbegrip van de bijhorende datacenterdiensten. De gegevens en toepassingen werden gesynchroniseerd tussen de twee datacenters.
Sinds januari 2018 vond een verhuis plaats naar de datacentercombinatie van Smals IN en Smals UP. De gegevens en toepassingen worden gesynchroniseerd tussen de twee datacenters en de verbindingen naar internet worden momenteel redundant gemaakt. De datacenters van Smals worden gebruikt door Kind en Gezin, Jongerenwelzijn, Zorg en Gezondheid en het Departement WVG. Behalve Smals zijn alle door Kind en Gezin extern gebruikte datacenters ISO 27001-gecertifieerd. De datacenters LCL en BT zijn ISO 14001-gecertifieerd. De datacenters van Smals zijn niet ISO-gecertifieerd. Ze zijn ook niet gecertifieerd door de International Electrotechnical Commission (IEC). Wel is het zo dat het informatieveiligheidsbeleid van de meeste instellingen geïnspireerd is op de ISO/IEC 2700X-reeks internationale normen, en bijgevolg worden beschermingsmaatregelen geïmplementeerd in functie van de geïdentificeerde risico’s.
Aangezien de overheid geen commerciële doelstellingen heeft, wordt een ISO/IEC-certificatie door een externe partij voor de datacenters van Smals als niet noodzakelijk beschouwd.
Alle externe datacenters beschikken wel over een certificatie, aangezien veel van hun klanten daarop rekenen en het niet hebben ervan een commercieel nadeel zou opleveren.
Smals heeft geen ISO 14001-certificaat, maar werkt naar een zeer efficiënt energieverbruik met een relatief lage PUE (power usage effectiveness), een reductie van het geproduceerde afval en een maximale recyclage en hergebruik van de IT-apparaten.
Jongerenwelzijn, Zorg en Gezondheid en het Departement WVG maken sinds meer dan vijf jaar gebruik van de datacentra van het raamcontract van de Vlaamse overheid, via de outsourcer HB-plus, met name het Colt-datacenter in Nossegem en het DXC-twindatacenter in Muizen/Roosendaal. Die vallen onder het beheer van het algemeen contract via Het Facilitair Bedrijf. Zowel het Colt-datacenter als het DXC-twindatacenter beschikken over het ISO 27001-certificaat en het ISO 14001-certificaat.
Het Departement WVG maakt, naast de datacentra van Smals en het raamcontract van de Vlaamse overheid, ook nog gebruik van het datacenter van Combell voor het FTP- (file transfer protocol) en SFTP-verkeer (SSH file transfer protocol), en van het datacenter van NRB in Herstal, Luik. Die datacentra beschikken over wel degelijk over ISO 9001- en ISO 27001-certificaten.
Zorg en Gezondheid werkt samen of heeft de voorbije vijf jaar samengewerkt met de volgende datacentra: datacenter Smals sinds 2009; datacenter Telenet sinds 2012, stopt in 2018; datacenter Cronos via het VDAB-raamcontract sinds 2016; de datacenters van het raamcontract van de Vlaamse overheid sinds 2005, en dat veeleer voor de generieke componenten, zoals mail enzovoort; datacenters Kind en Gezin sinds 2003, gestopt in januari 2018.
Wat het ISO 27001-certificaat van de datacenters van Zorg en Gezondheid betreft, het datacenter van Smals heb ik vermeld. Wat het datacenter van Telenet betreft, het informatiebeveiligingsbeleid, de vereisten en beheerstandaarden van Telenet zijn volledig geënt op de internationale standaard. Telenet beschikt wel niet over een aantal certificaten, zoals ISO 27001 en ISO 27002. Dan is er het datacenter van Cronos. Dat is een ‘tier 3-datacenter’. Cronos-Arxus heeft een ISO-certificatie. Het datacenter Interxion is ISO 27001-gecertifieerd. Het datacenter van de UZ Leuven heeft geen ISO 27001-certificatie, maar wel ISAE 3402 (International Standard for Assurance Engagements).
Wat het ISO 14001-certificaat voor de datacenters van Zorg en Gezondheid betreft, het datacenter van Telenet beschikt niet over dat certificaat. De gehoste applicatie is niet businesskritisch. Dan is er datacenter Cronos/Arxus. Arxus is een lokale cloud service provider die beschikt over een breed scala aan cloudservices. De private cloud solutions zijn ondergebracht in minstens twee Belgische tier 3-datacenters, in Zaventem en Leuven. Het datacenter van Interxion is ISO 14001-gecertificeerd.
Het Openbaar Psychiatrisch Zorgcentrum Geel (OPZ Geel) maakt gebruik van volgende datacentra: een datacenter via de firma Van Roey sinds 2014, voor de cloudback-up; een datacenter van de firma Combell voor de publieke sites van OPZ Geel sinds 2015; een datacenter van de firma Infoland voor de toepassing inzake patiëntveiligheid sinds 2012; een datacenter via Cipal voor de toepassing van de bibliotheek sinds 2014.
In het kader van de nieuwe GDPR-regelgeving (General Data Protection Regulation) die vanaf 25 mei 2018 van kracht is, worden alle datacentra van OPZ Geel gecontacteerd om te bekijken in welke mate ze over het ISO 27001-certificaat en het ISO 14001-certificaat beschikken. Die oefening is momenteel bezig met de interne dienst informatie en met de verantwoordelijke voor informatieveiligheid.
Het Openbaar Psychiatrisch Zorgcentrum Rekem (OPZC Rekem) heeft twee interne datacentra. Het OPZC Rekem heeft geen ISO-certificaat voor de datacentra. Wel worden de nodige maatregelen met betrekking tot informatieveiligheid uitgewerkt en opgevolgd. Het OPZC Rekem heeft nooit met externe datacentra gewerkt. Wel is in maart 2018 het elektronisch patiëntendossier overgegaan naar de cloudversie.
De firma Regas, die instaat voor het elektronisch patiëntendossier van het OPZ Rekem, heeft de volgende ISO-certificaties: 9001 - Kwaliteitsmanagement, 2000 - IC Service Management, en 27001 - Informatiebeveiliging.
Algemeen geldt voor de systemen die door de entiteiten zelf beheerd worden binnen de datacentra, dat ze onder de regels vallen van de informatieveiligheid van de Vlaamse overheid. De entiteiten worden daarover geregeld geaudit.
Voor Kind en Gezin, Zorg en Gezondheid, Jongerenwelzijn en het departement WVG geldt dat er minimale normen en beschermingsmaatregelen bestaan – bijvoorbeeld minimale normen van Kruispunt van de Sociale zekerheid – die aan zowel inhouse als externe leveranciers worden opgelegd. Daarnaast kunnen er aan beiden bijkomende beschermingsmaatregelen worden opgelegd in functie van de geïdentificeerde risico’s.
De datacentra van LCL en Interxion, gebruikt door het VAPH, liggen in dezelfde risicozone. De reden daarvoor is dat het hoofdkantoor van het VAPH in 2016 is verhuisd uit het gebouw aan de Sterrenkundelaan naar het huidige Zenithgebouw. In het gebouw aan de Sterrenkundelaan was een tweede datacenter ondergebracht. Door tijdsgebrek, wegens het aflopen van het huurcontract op de Sterrekundelaan, is er geen nieuwe aanbesteding uitgeschreven en is de nummer twee uit de oorspronkelijke aanbesteding geselecteerd om te fungeren als tweede datacenter.
Het VAPH onderzoekt op dit moment de mogelijkheid om een van de bovenstaande datacenters te verplaatsen. De voorkeur van het VAPH is om dat in het VAC Gent onder te brengen. De verkennende gesprekken met het Facilitair Bedrijf daarover lopen.
De twee Smals-datacenters waarmee Kind en Gezin, Jongerenwelzijn, Zorg en Gezondheid en het departement werken, kunnen gekwalificeerd worden als ‘Tier 3’. Ze beschikken met andere woorden over de nodige redundantie om in permanente stroomvoorziening en koeling te voorzien, zodat er onderhoud kan gebeuren op de technische installaties zonder de service te onderbreken. De datacenters liggen op 5,13 kilometer van elkaar en worden verbonden door twee onafhankelijke fiberverbindingen, waarover, afhankelijk van de criticiteit van de toepassing, zowel synchrone als asynchrone replicatie van de gegevens en toepassingen kan gebeuren. Als extra beveiliging kunnen er gekruiste back-ups genomen worden van de gegevens in elk datacenter. Om de continuïteit van deze services te kunnen garanderen, worden er tweemaal per jaar ‘Disaster Recovery’-testen uitgevoerd.
Systemen met hoge beschikbaarheidsvereisten worden geïmplementeerd met een redundante opstelling, door middel van synchrone of asynchrone replicatie van data over twee fysiek gescheiden datacenters. De assumpties daarbij zijn dat de datacenters autonoom kunnen blijven functioneren indien de stroomvoorziening wegvalt en dat het gelijktijdig onbeschikbaar worden van de twee datacenters, zelfs als die zich in dezelfde regio bevinden, door de meeste instellingen als aanvaardbaar risico wordt gezien.
Het Departement WVG gebruikt de datacenters bij Smals gedeeltelijk in combinatie met het datacenter van NRB in Herstal. De datacentra COLT en DXC Twin van het raamcontract van de Vlaamse overheid, waar Jongerenwelzijn, Zorg en Gezondheid en het departement gebruik van maken, beschikken over een databack-upoplossing, waarbij de data standaard op een remote locatie en op een beveiligde manier worden bewaard.
Tot slot kom ik bij de locatie van de overige datacentra van Zorg en Gezondheid. Datacenter Telenet: de gehoste applicatie is niet businesskritisch en wordt maar op één locatie gehost, in Lochristi. Datacenter Cronos van Arxus: Arxus is een lokale Cloud Service Provider die beschikt over een breed scala van ‘cloud services’. De Private Cloud Solutions zijn ondergebracht in minstens twee Belgische Tier 3-datacenters, Zaventem en UZL Datacenter Leuven. De twee interne datacentra van het OPZ Rekem liggen op voldoende grote afstand van elkaar, zodat wanneer een datacenter getroffen wordt door een incident, het andere het onmiddellijk kan overnemen.
Collega’s, in de agenda staat een verwijzing naar artikel 91, 4. Dat is het artikel dat slaat op het omzetten van een schriftelijke vraag naar een vraag om uitleg, indien niet beantwoord. Dat duidt meteen ook het technische gehalte van vraag en antwoord bij dezen.
De heer Parys heeft het woord.
Bedankt, minister. Ik had eigenlijk verwacht dat er maar twee datacentra zouden zijn waar u mee werkt. Dit was een zeer volledig overzicht, waarvoor dank. Ik zal het allemaal eens bekijken en herlezen.
Het enige wat mij opviel in uw antwoord, was dat bijvoorbeeld Kind en Gezin vroeger wel bij een datacentrum zat dat helemaal gecertificeerd is en dat dat vandaag niet meer het geval is, en dat Smals en VAPH zeer dicht bij elkaar liggen. Voor VAPH zal dat eventueel verholpen worden, maar voor Smals heb ik begrepen dat er een aantal ‘safeguards’ waren die ervoor moeten zorgen dat die data niet verloren gaan.
Ik heb niet echt een opvolgvraag. Ik ben blij met het antwoord van de minister.
De vraag om uitleg is afgehandeld.