1 / 23

Compliance data retention

Compliance data retention. Wet- en regelgeving, inhoudelijke oplossingsrichtingen. 9-11-2005. René van den Assem. Inhoud. Algemene wet- en regelgeving Bewaren versus weggooien, relatie met WBP Specifieke wet- en regelgeving Code of conduct

giolla
Download Presentation

Compliance data retention

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Compliance data retention Wet- en regelgeving, inhoudelijke oplossingsrichtingen 9-11-2005 René van den Assem

  2. Inhoud • Algemene wet- en regelgeving • Bewaren versus weggooien, relatie met WBP • Specifieke wet- en regelgeving • Code of conduct • Praktische oplossingsrichtingen, records management en elektronische handtekeningen 2

  3. Algemene wetgeving • Algemene plicht tot bewaren van administratie en financiële gegevens (7 jaar) (vermogenpositie van bedrijf, BW 2:10) • Eisen aan vorm administratie in Wet Rijksbelastingen • Specifieke bepalingen voor o.m. onroerende zaken • Regelgeving • E-commerce, e-facturen, e-handtekeningen • Corporate governance regels en interne controle • Nationaal, B.v. Turnbull (UK) • Bewijsvoering in juridische zaken  wie bewaart die heeft wat; weggooien wordt minder geaccepteerd 3

  4. E-mail weg, kan dat nog ? 4

  5. 5

  6. Beursgenoteerd in USA, straks ook in EU? • Sarbanes-Oxley • Versterking interne controle • Bewaren gegevens interne controle, audits (5 / 7 jaar) incl. basismateriaal • SEC rule 17a • Internet / e-mail 3-6 jaar bewaren • Integriteit / authenticiteit opgeslagen documenten (non-erable, non-rewriteable) • Makkelijke, vlotte toegankelijkheid • International Accounting Standards, IFRS 6

  7. Specifieke wet- en regelgeving • Veelal specifieke regels per sector • Financiële instellingen • Wet Toezicht Kredietwezen, Regeling Organisatie en Beheersing • Medische instellingen • Medische gegevens 10 jaar, tijdelijk 15 jaar, … • Overheid • Archiefwet • Telecom, ISP’s • Verkeersgegevens, factuurgegevens, e-handtek 7

  8. Privacy, beperking voor bewaren? • WBP vaak gezien als beperkende factor voor bewaren, “niet langer dan noodzakelijk voor doeleinde” • Bij gerechtvaardigd en expliciet doel veel meer mogelijk dan vaak gedacht • Expliciete vrijstelling voor gegevens die in normale zakelijke verkeer aan de orde zijn • Gerelateerde specifieke anti-SPAM beperkingen • Soms expliciete beperking bewaartermijn (b.v. abonneegegevens in telecom) 8

  9. Kortom • Diverse bewaartermijnen, sector- en soms product specifieke bewaartermijnen • Steeds meer soorten documenten worden bewaarplichtig, o.m. e-mail • Toenemende nadruk op integriteit en authenticiteit van opgeslagen documenten en volledigheid opslag • Toenemende vraag naar expliciete autorisatieschema’s en sluitende security • Record Management en Archivering • Best practices en technische eisen • Gebruik van onuitwisbare media, digitale handtekeningen om authenticiteit te garanderen 9

  10. Hoe is dat bij u? 2005 Electronic Records Management Survey (ca 2000 respondenten in records management hoek) Een paar punten • 43% “does not include electronic records in retention & destruction schedules” (9% beter dan in 2003) • 49% archiveert geen e-mail (16% beter dan in 2003) • SOX heeft serieuze impact op records management in 27% vd gevallen, beperkte impact in 34% vd gevallen 10

  11. Naar de Code of conduct • Intern, maar ook extern • Onderwerpen • Welke gegevens bewaren en welke niet? • Hoelang bewaren we wat? • Hoe regelen we toegang, ook op lange termijn? (digitale duurzaamheid) 11

  12. Elektronisch archiefstuk Wat eisen we van een elektronisch archiefstuk? • Integriteit • Nauwkeurigheid • Authenticiteit • Toegankelijkheid Twee uitwerkingsaspecten • Elektronische handelingen onweerlegbaar maken • Elektronisch archief technisch beveiligen 12

  13. Electronic signatures Advanced electronic signatures Richtlijn EHT, rechtsgeldigheid • General principle (art. 5.2): Legal effect for all electronic signatures • Second principle (art.5.1): certain electronic signatures get the same legal effect ashand-writtensignature Qualified signatures Qualified signature: advanced electronic signature + qualified certificate + secure signature creation device 13

  14. Wet elektronische handtekeningen (2003) • Burgerlijk Wetboek • Boek 3: rechtsgevolgen, internationale aspecten • Boek 6: aansprakelijkheid • Telecommunicatiewet • Definities, identificatieplicht, toezicht, verwerking van persoonsgegevens • Besluit elektronische handtekeningen • Eisen voor gekwalificeerde handtekeningen (gekwalificeerd certificaat, CSPs, veilige middelen) • Regeling elektronische handtekeningen • Standaarden. Gebruikt u die, dan voldoet u aan bijbehorende eisen uit besluit. 14

  15. First priority EESSI, samenhangende standaarden, meerdere niveaus 15

  16. Certification service provider Requirements for CSPs ETSI TS 101 456 Trustworthy Systems CWA 14167,1-3 Time stamping ETSI TS 101 861 Qualified certificate ETSI 101 862 Signature creation device CWA 14168 CWA 14169 Signature creation process and environment CWA 14170 Signature format and syntax ETSI TS 101 733 Signature validation process and environment CWA 14171 Relying party / verifier User / signer Conformity assessment Guidance, CWA 14172 Parts1-5 16

  17. EESSI, wat is bereikt • Samenhangend pakket van standaarden • Erkenning door EC / lidstaten van relevante stnds • Policy standaarden, m.n. TS 101 456 breder opgepakt, o.a. Frankrijk, Nederland, Italië • Internationale speler. samenwerking met W3C, IETF PKIX, APEC, Asia PKI Forum, USA Federal PKI • Signature format (ETSI TS 101 733, en XML versie ETSI TS 101 903 of XAdES), basis voor implementaties en initiatieven Meer over EESSI: http://www.ict.etsi.org/eessi_home.htm 17

  18. Elektronische en digitale handtekening in RMA • Welke vorm wanneer voldoende betrouwbaar? • Algemene elektronische handtekening, b.v. de ingescande handtekening • Digitale handtekening • Digitale handtekening als interne paraaf? • Integriteit in DMS/RMA gehandhaafd met digitale handtekening • Wat op te slaan bij een digitale handtekening? • De handtekening zelf? • De context van het proces waarin deze is gebruikt? 18

  19. Wat opslaan, geen uitgemaakte zaak (nog steeds niet) Voor • Dichtste bij ‘origineel’ • Overtuigende reconstructie op basis van een enkel document, niet een totaal archief • Complexiteit beperkt ten opzichte van andere technische uitdagingen (migratie, emulatie, universeel document formaat) en te isoleren Tegen • Technische complexiteit (alle algoritmes moeten ‘aan boord’ zijn) • Digitale handtekeningen snel verouderd als bewijs. Veroudering cryptografie. Vraagt actief onderhoud. • Digitale handtekening  alleen kloppend bij bit-exacte documenten. Alleen emulatie ondersteund. 19

  20. Mogelijke lijn • Bij mogelijke juridische conflicten • Kunnen reconstrueren ten overstaan van rechter. 10, 20 jaar of meer? • Digitale handtekening + certificaat (hiërarchie) + bewijs van status van certificaat kort na moment van ondertekening • Vraagt reeds lange termijn mechanismen • Voor historische verantwoording. • Terugval mogelijk naar opslaan van contextuele info waaruit de controle op de elektronische handtekening blijkt. 20

  21. Lange termijn archivering • EESSI: vormen van elektronische handtekening. • ETSI TS 101 733 enXML variant ETSI TS 101 903 • XML-variant basis voor diverse implementaties en initiatieven, o.m. OpenXAdES • Rijkdom aan opties voor time-stamping en archivering. Korte termijn handtekening: 21

  22. Lange termijn archivering • Middellange termijn • Lange termijn 22

  23. Meer informatie? rene.vandenassem@vka.nl Verdonck, Klooster & Associates Baron de Coubertinlaan 1 2719 EN Zoetermeer Tel: 079-368 1000 Fax: 079-368 1001 http://www.vka.nl 23

More Related