Information beveiliging en privacybescherming zorgplichten en governance 07112013
Download
1 / 31

Mr.Cees.Zwinkels MPC CPC Computer/Law Institute , Vrije Universiteit Amsterdam - PowerPoint PPT Presentation


 • 132 Views
 • Uploaded on

Information beveiliging en privacybescherming: Zorgplichten en governance; 07112013. Mr.Cees.Zwinkels MPC CPC Computer/Law Institute , Vrije Universiteit Amsterdam c.zwinkels@rechten.vu.nl. Inhoud. Technische en organisatorische maatregelen Meldplichten

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Mr.Cees.Zwinkels MPC CPC Computer/Law Institute , Vrije Universiteit Amsterdam' - caden


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Information beveiliging en privacybescherming zorgplichten en governance 07112013

Information beveiliging en privacybescherming: Zorgplichten en governance; 07112013

Mr.Cees.Zwinkels MPC CPC

Computer/Law Institute, Vrije Universiteit Amsterdam

c.zwinkels@rechten.vu.nl


Inhoud
Inhoud Zorgplichten en governance;

Technische en organisatorische maatregelen

Meldplichten

Recht op afscherming van gegevens


Begrip infomatiebeveiliging
Begrip infomatiebeveiliging Zorgplichten en governance;

College BP, Richtsnoeren 2013, p.13ev :

Beschikbaarheid (waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en informatiesystemen.

Integriteit (het waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking ervan.

Vertrouwelijkheid (het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd.

Controleerbaarheid (de mogelijkheid om met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid)


Begrip infomatiebeveiliging1
Begrip infomatiebeveiliging Zorgplichten en governance;

The NIB directive (2012) is a concept, not already approved.

Focus of the directive is to handle all incidents with a high impact on security

See art.2 sub 2 :

Security is the ability of a network and information sytem to resist, at a given level of confidence, accident or malicious action that compromise the availibility, authenticity, integrity and confidentiality of stored and transmitted data or the related service offered by or accessible via that network and information system.

See art.3 sub 3 : Risk means any circumstance or event having a potential adverse effect on security


Passende technische en organisatorische maatregelen
Passende technische en organisatorische maatregelen Zorgplichten en governance;

See art.14 sub 1 :

Public administration and market operators (1)

take appropiate technical and organisational measures (2)

to manage the risks posed to the security of the networks and information systems (3)

which they control and use in their networks (4).

These measures shall guarantee a level of security appropiate to the risk presented (5).


Passende technische en organisatorische maatregelen1
Passende technische en organisatorische maatregelen Zorgplichten en governance;

The WBP is based on the Directive Privacy Protection 1995.

The new directive will replace the directive of 1995.

See art.17 sub 1 : member states shall implement appropriate technisal and organizational measures to protect personal data against accidental or unlawful destruction or loss.

Having regard to the state of the art and the cost of their implementation

Such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.

See art.17 lid 2 : The controller must ensure compliance with the measures.


Passende technische en organisatorische maatregelen2
Passende technische en organisatorische maatregelen Zorgplichten en governance;

Wbp Article 13 =

The responsible organisation or person (1)

is in control (2)

with technical and organisation measures (3)

in accordance with the appropriate level of security (4)

based on the analyse of the risks (5)

and regarding the state of technical art and regarding costs of implementation (6)


Passende technische en organisatorische maatregelen3
Passende technische en organisatorische maatregelen Zorgplichten en governance;

Zie Wbp; MvT :

Er kunnen geen algemene uitspraken worden gedaan over wat als een «passende beveiligingsmaatregel» kan worden beschouwd. Dit is namelijk afhankelijk van een aantal factoren. Het begrip «passend» duidt er op dat de maatregelen in overeenstemming dienen te zijn met de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.


Passende technische en organisatorische maatregelen4
Passende technische en organisatorische maatregelen Zorgplichten en governance;

Article 14 =

The responsible organisation or person (1)

is in control (2)

with the technical and organisation measures (3)

which the external party (3) has taken

in accordance with the adequate level of security (4)


Meldplichten
Meldplichten Zorgplichten en governance;

Wetsontwerp Wijziging Wbp

Artikel 34a

1. De verantwoordelijke stelt het College onverwijld in kennis van een

inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs

kan worden aangenomen dat die leidt tot een aanmerkelijke kans op

nadelige gevolgen voor de bescherming van persoonsgegevens die door

hem worden verwerkt.


Meldplichten1
Meldplichten Zorgplichten en governance;

Wetsontwerp Wijziging Wbp

Artikel 34a

3. De kennisgeving aan het College en de betrokkene omvat in ieder

geval de aard van de inbreuk, de instanties waar meer informatie over de

inbreuk kan worden verkregen en de aanbevolen maatregelen om de

negatieve gevolgen van de inbreuk te beperken.

4. De kennisgeving aan het College omvat tevens een beschrijving van

de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de

verwerking van persoonsgegevens en de maatregelen die de verantwoor-

delijke heeft getroffen of voorstelt te treffen om deze gevolgen te

verhelpen.


Meldplichten2
Meldplichten Zorgplichten en governance;

Wetsontwerp Wijziging Wbp

Artikel 34a

6. De kennisgeving aan de betrokkene is niet vereist indien de verant-

woordelijke gepaste technische beschermingsmaatregelen heeft genomen

waardoor de persoonsgegevens die het betreft versleuteld zijn of

anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft

op kennisname van de gegevens.


Meldplichten3
Meldplichten Zorgplichten en governance;

Wetsontwerp Wijziging Wbp

Artikel 34a

5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan

dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.


Meldplichten commentaren
Meldplichten/Commentaren Zorgplichten en governance;

Wetsontwerp Wijziging Wbp

De meldplicht die in dit wetsvoorstel is opgenomen heeft uitsluitend betrekking op doorbrekingen van de maatregelen voor de beveiliging van persoonsgegevens. Zie kamerstuk 33662, nr.3, paragraaf 2.4, p.2

Raad van State (stuk 33662, nr.T)

Welke gevallen vallen wel en niet onder de meldplicht?

Tweede Kamer

Hoe moet je uitleggen : redelijkerwijs», aanmerkelijke kans op nadelige gevolgen» en «waarschijnlijk ongunstige gevolgen?


Meldplichten4
Meldplichten Zorgplichten en governance;

Wet melding inbreuken elektronische informatiesystemen

Artikel 1

In deze wet en de daarop gebaseerde bepalingen wordt verstaan onder:

- aanbieder: degene die een product of dienst exploiteert, beheert of beschikbaar stelt;

- informatiesysteem: geheel of gedeeltelijk met elektronische middelen bestuurd systeem waarvan

een product of dienst afhankelijk is;

- Onze Minister: Onze Minister van Veiligheid en Justitie;

- product of dienst: product of dienst als bedoeld in artikel 2.


Meldplichten5
Meldplichten Zorgplichten en governance;

Wet melding inbreuken elektronische informatiesystemen)

Artikel 2

Deze wet is van toepassing op de bij algemene maatregel van bestuur aan te wijzen aanbieders van de daarbij aan te wijzen producten of diensten die van zodanig belang zijn voor de Nederlandse samenleving dat onderbreking van de beschikbaarheid of betrouwbaarheid daarvan

kan leiden tot ernstige maatschappelijke gevolgen.


Meldplichten6
Meldplichten Zorgplichten en governance;

Wet melding inbreuken elektronische informatiesystemen)

Artikel 3

1. De aanbieder geeft Onze Minister onverwijld kennis van een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid

van een product of dienst in belangrijke mate wordt of kan worden onderbroken.

2. De kennisgeving omvat in ieder geval:

a. de aard en omvang van de inbreuk of het verlies;

b. het tijdstip van de aanvang van de inbreuk of het verlies;

c. de mogelijke gevolgen van de inbreuk of het verlies;

d. een prognose van de hersteltijd;

e. zo mogelijk de door de aanbieder genomen of te nemen maatregelen om de gevolgen van de inbreuk of het verlies te beperken of herhaling hiervan te voorkomen;


Meldplichten7
Meldplichten Zorgplichten en governance;

Wet melding inbreuken elektronische informatiesystemen)

Artikel 6

1. Ter voorkoming of beperking van schadelijke maatschappelijke gevolgen in of buiten Nederland van een inbreuk of een verlies als bedoeld in artikel 3, eerste lid, kan Onze Minister de gegevens, bedoeld in de artikelen 3 en 4, gebruiken voor het geven van informatie en advies aan:

a. andere aanbieders;

b. een bij regeling van Onze Minister aangewezen computercrisisteam in of buiten Nederland;

c. het publiek, mits de veiligheid van de Staat daarmee niet geschaad kan worden.

2. Tenzij het maatschappelijke belang dat vergt, worden aan het publiek geen gegevens verstrekt die herleid kunnen worden tot afzonderlijke aanbieders, producten of diensten.


Meldplichten commentaar
Meldplichten/Commentaar Zorgplichten en governance;

Er is sprake van open zorgvuldigheidsnormen.


Meldplichten8
Meldplichten Zorgplichten en governance;

Wetsontwerp Wijziging Wbp

Artikel 51a

1. Het College is bevoegd om in het belang van een efficiënt en effectief

toezicht op de naleving op de verwerking van persoonsgegevens

afspraken te maken met andere toezichthouders en daartoe gezamenlijk

met deze toezichthouders samenwerkingsprotocollen vast te stellen. Een

samenwerkingsprotocol wordt bekendgemaakt in de Staatscourant.


Government privacy impact assessment pia
Government/Privacy Impact Assessment (PIA) Zorgplichten en governance;

PIA is not directly based on Europan or national regulation.

PIA is a type of instruction about how to analyse the privacy impact of

new regulation or an IT – project at the beginning of the process of

developing new law or project.

So, PIA is not an instrument for checking compliance.

PIA is not the same as DPIA (Data Protection Impact Asessment)


Governance cbp instructions regaring the protection of personal data
Governance : CBP/Instructions regaring the protection of personal data.

See CBP (College Protection Personal Data) :

Instructionsregaring the protection of personal data.

Is there a document with information about information security policy?

How aboutrolesandresponsibilitiesbetween the stakeholders :

 • The Board?

 • Management?

 • End users

 • CSO?

  How aboutidentificationandauthorisation?


Governance cbp instructions regaring the protection of personal data1
Governance : CBP/Instructions regaring the protection of personal data.

See CBP (College Protection Personal Data) :

Is there a type of loggingregarding the identificationandauthorisation?

How aboutnetwork security?

Are databases andrelatedaplicationssecuredwith support of technical

tooling?

Is there a procedure in order to get information aboutincidents, andhow

tohanddlethem ?


Governance borking 2001
Governance : Borking 2001 personal data.

See Borking, 2001 /Approach :

There are fourcategoriesregardingrisks :

1 = public information

2 = information about persons within the organisation

3 = very private data, f.eabouw personal health care.

4 = big themeslike state security

The types of measuresyouorganize have tobe in accordancewith the

types of risks.


Case anpr
Case ANPR personal data.

ANPR is automatic number plate recognition.

Process :

The camera registrates the number plate in the central database.

This database is matching with other databases (Police, Social Control Auhority, Tax Contriol Authority).

If there’s is recognition, the police will stop your car.

The registred data have to be removed after four weeks


Case anpr1
Case ANPR personal data.

What’s your opinion about thetypes of risks?

Can you classify (categories 1, 2, 3 and 4) them)?

What types of measures you will suggest?

Which elements will contain the process for handling incidents?


Case anpr2
Case ANPR personal data.

The house of parlement was very upset about the new law. They asked for a PIA.

The outcomes of the PIA are following

Objectives

The risk that data will be collected on behalve of non formulated objectives will be great (functional creep). And the impact of the risk is big.


Case anpr3
Case ANPR personal data.

Roles and reponsibilities

The risk that not the right people will cross their fingers around the registrated data is great. And the impact of the risk is big.

Incidents

The risk of hacking is great. And the impact of the risk is big.

Applications and infrastructure

The risk of no security tools linked to applications and infrastructure is small. And the impact of the risk is big.


Case anpr4
Case ANPR personal data.

Logging

The risk of not logging the registrations related to persons with access to the data is small. And the impact of the risk is big.

Data

The risk of storing the registred numberplates after 4 weeks in another databases is big. And the impact of the risk is big.


Case anpr5
Case ANPR personal data.

How wouldyouorganize the measures

in order tobe in compliance with the law?

 • Is there’s a needforcontracting?

 • How aboutauditingandreporting?


Case anpr6
Case ANPR personal data.

Waarborgen in de Wbp zijn o.a :

 • · kwaliteit van gegevens (art. 4 lid 1 WPG, art. 4 WJSG),

 • · vooraf duidelijke doelen formuleren (art. 6-10 WPG, art. 2 WJSG),

 • · doelbinding (art. 3 WPG, art. 39b lid 2 WJSG),

 • · beveiligingsmaatregelen treffen (art. 4 lid 2 WPG, art. 7 WJSG),

 • · transparantie (art. 21 WPG, art. 18 en 43 WJSG),

 • · rectificatiemogelijkheden (art. 24 WPG, art. 22 en 46 WJSG)