1 / 34

Privacykennisgroep

Privacykennisgroep. Mr. dr. A.W. Duthler Drs. A.J. Biesheuvel RA RE 8 april 2013 10.00u-13.00u. Agenda. Introductie Stand van zaken & actualiteiten Europese Privacy Verordening ( hierna : “ EPV ”)

dee
Download Presentation

Privacykennisgroep

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Privacykennisgroep Mr. dr. A.W. Duthler Drs. A.J. Biesheuvel RA RE 8 april 2013 10.00u-13.00u

  2. Agenda Introductie Stand van zaken & actualiteitenEuropese Privacy Verordening (hierna: “EPV”) Voorbereidingimplementatie EPV:- Invullingfunctie van de Functionaris; Gegevensbescherming (hierna: “FG”);- Intern privacybeleid;- Governance en compliance Agenda 2013

  3. Stand van zaken & actualiteiten EPV; Voorstelrichtlijnnetwerk- en informatiebeveiliging (E130011); Voorstelverordeningelektronischeidentificatie en vertrouwensdiensten (E120015).

  4. Voorstel richtlijn NIB Aanleiding: Een groeiend aantal beveiligingsincidenten met informatiesystemen. Systemen kennen geen grenzen. Ingrijpende verstoringen in één lidstaat worden voelbaar in andere lidstaten en in de EU als geheel.

  5. Voorstel richtlijn NIB Normadressaten: Exploitanten van kritiekeinfrastructuur; Essentiëleaanbieders van infomijdiensten; Overheden; Verplichting: - Adequate maatregelentreffenombeveiligingsrisico’stebeheren; - Ernstigeincidentenrapporteren.

  6. Voorstel richtlijn NIB Meldingsplicht: Bevoegdeautoriteitenmoeten de nodigeaandachtbestedenaan de instandhouding van informele en vertrouwdekanalenvoor info-uitwisselingtussenmarktdeelnemers en publieke en private sector; Bijbekendmaking van gemeldeincidentenafwegingtussen het belang van het publiekomtewordengeïnformeerd en mogelijkecommerciële en imagoschade.

  7. Voorstel richtlijn NIB Samenhang met meldingsplicht EPV: Bevoegdeautoriteitenmoetensamenwerken met CBP en informatieuitwisselen; Administratievelastenzoveelmogelijkverminderen; ENISA kan info-uitwisselingsmechanismen en modellenontwikkelenzodatergeen twee meldingsmodellennodigzijn.

  8. Voorstel richtlijn NIB Normalisatie van beveiligingseisen is marktgestuurdproces; Lidstatenmoetennaleving en afstemming op specifiekenormenaanmoedigenomhoogniveautewaarborgen; Het kannodigzijnomgeharmoniseerdenormen op testellen.

  9. Voorstel richtlijn NIB Commissiebevoegdomhandelingen vast testellen mho op bepalen van criteria voordeelnameaanbeveiligde info-uitwisselingssysteem; Idem voorverdereomschrijving van de gebeurtenissen die tot vroegtijdigewaarschuwingleiden; Idem voorbepalingomstandighedenwaarinmarktdeelnemers en overhedenverplichtzijnincidententemelden.

  10. Voorstel richtlijn NIB Commissieuitvoeringsbevoegdhedeno.m. voor de formaten en procedures om het publiek in telichten over incidenten; Idem voor NIB relevantenormen en/of technischespecificaties; Idem voorbepalingomstandighedenwaarinmarktdeelnemers en overhedenverplichtzijnincidententemelden.

  11. Voorstel richtlijn NIB Netwerk- en informatiesysteem: Eenelektronischcommunicatienetwerk; Eenapparaat of groep van apparaten, waarvaneen of meer, ovkigeenprogramma, computergegevensautomatischverwerkt of verwerken; Computergegevens die met onder a.) of b.) bedoeldeelementenwordenopgeslagen, verwerkt, opgehaald of verzonden mho op de werking, het gebruik, de beveiliging en het onderhoudervan.

  12. Voorstel richtlijn NIB Beginsel: De lidstaten waarborgen een hoog beveiligingsniveau van de netwerk- en informatiesystemen op hun grondgebied. NIB-strategie NIB-samenwerkingsplan Nationale Autoriteit

  13. Nationale Beveiligingsautoriteit Bevoegdheden: Onderzoek; Informatieverschaffingsplicht; Teverplichteneenbeveiligingsauditteondergaan; Bindendeinstructies. Samenwerking met CBP omdatalekkenaantepakken.

  14. Sancties Doeltreffend, evenredig en afschrikkend; Sancties op datalekken in overleg met sancties van EPV.

  15. Samenhang met internationale ontwikkelingen EU-VS werkgroep inzake cyberbeveiliging en cybercriminaliteit; OESO; Algemene Vergadering van de VN; ITU; OVSE; WSIS; Forum voor internetbeheer.

  16. Voorstel verordening e-ID en vertrouwensdiensten Doel: burgers en bedrijven krijgen mogelijkheid hun e-ID’s te gebruiken om toegang te krijgen tot overheidsdiensten in andere EU-landen; Bevordering interne markt voor elektronische handtekeningen en aanverwante trust services; Huidige richtlijn regelt alleen de elektronische handtekening. Technologie neutraal.

  17. Voorstel verordening e-ID en vertrouwensdiensten Wederzijdse erkenning en aanvaarding van elektronische identificatiemiddelen als ze onder een aangemelde regeling vallen; Lidstaten kunnen regelingen (stelsels van elektronische identificatie) aanmelden die zij onder hun jurisdictie aanvaarden waarbij elektronische identificatie vereist is.

  18. Voorstel verordening e-ID en vertrouwensdiensten Voorwaarden voor aanmelding stelsels voor elektronische identificatie (1 t/m 4): 1.)de elektronische identificatiemiddelen zijn afgegeven door, namens of onder verantwoordelijkheid van de aanmeldende lidstaat; 2.) de elektronische identificatiemiddelen kunnen worden gebruikt om toegang te krijgen tot ten minste overheidsdiensten waarvoor elektronische identificatie vereist is in de aanmeldende lidstaat;

  19. Voorstel verordening e-ID en vertrouwensdiensten Voorwaarden voor aanmelding stelsels voor elektronische identificatie (vervolg): 3.) de aanmeldende lidstaat waarborgt de beschikbaarheid van een online- authenticatiemogelijkheid, op ieder moment en gratis; 4.) de aanmeldende lidstaat stelt zich aansprakelijk voor de ondubbelzinnige koppeling van de persoons- identificatiegegevens en de authenticatiemogelijkheid.

  20. Voorstel verordening e-ID en vertrouwensdiensten Definitie gekwalificeerde elektronische handtekening: ‘Een geavanceerde elektronische handtekening die wordt aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen’. Heeft dezelfde rechtsgeldigheid als een handgeschreven handtekening (art. 20).

  21. FG Wordtaangewezeno.g.v. zijnprofessionelekwaliteiten, m.n.: Deskundigheidwetgeving; Deskundigheidpraktijkgegevensbescherming; Vermogenomzijn taken tevervullen. Niveau van deskundigheidwordtbepaald door gegevensverwerking en de vereistebescherming.

  22. Taken FG (1 t/m 7) 1.) Informeren en adviseren; 2.) Toezien op privacybeleid van de verantwoordelijke of verwerker, inclusief de toewijzing van verantwoordelijkheden, opleiding en audits; 3.) Toezien op verordening, m.n. PbD, gegevens- beveiliging en actieve informatieplicht.

  23. Taken FG 4.) Bewaren van documentatie; 5.) Toezien op documenteren, melden en meededelen van inbreuken i.v.m. persoonsgegevens; 6.) Toezien op PIA en op verzoek voorafgaande toestemming en raadpleging; 7.) Contactpunt voor CBP

  24. FG Commissie kan gedelegeerde handelingen vaststellen voor nadere invulling van de criteria en de vereisten voor de taken, certificering, positie, bevoegdheden en middelen van de FG.

  25. Leergang FG Leergang FG Privacy beleid Governance & Compliance Overzicht & inzicht --- Informatie- & documentatieplicht --- Rechten betrokkene Bewaarplicht --- Dataportabiliteit --- Melden datalekken PIA --- PbD * 2 --- Beveiliging Formeel juridisch Wet- en regelgeving – aanpalend - internationaal Positie van de FG Beleid – positie – taken, bevoegdheden en verantwoordelijkheden

  26. Leergang FG Onderwerpen Leergang

  27. Leergang FG Relatie leergang : professionals AO / IT professionals FG Jurist Information security officer

  28. Kennis- en ervaringsgroepen Doelen kennis- en ervaringsgroepen  Delen kennis en ervaringen tussen kwartiermakers ..vervolgens.. tussen deelnemers in een sectoren ..vervolgens.. tussen privacy contactpersonen organisatie

  29. Kennis- en ervaringsgroepen Opbouw van de EPV community Wet- en regelgeving Sector specifieke informatie Bedrijfs-implementaties Governance & compliance Afsprakencomplex Kennis- en ervaringscenter Governance & compliance Afsprakencomplex Kennis- en ervaringscenter PKI bedrijfsdomein

  30. Kennis- en ervaringsgroepen Wet- en regelgeving • EPV, aanpalende – internationale – wetgeving en de ontwikkeling totstandkoming, implementatie en toezicht; • Georganiseerd raken van de (internationale) toezichthouders; • Invloed op en reactie van aanpalende wetten en regels; • Gevolgen voor goed bestuur; • Actualiteiten en nieuws. • Redactie: Duthler Associates met als gezicht Anne-Wil

  31. Intern privacybeleid Doel: er voor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens i.o.m. verordening wordt uitgevoerd. In ieder geval: toewijzing verantwoordelijkheden, opleiding van personeel en audits; In ieder geval: privacy by design, privacy by default en gegevensbeveiliging; In ieder geval: actieve infoplicht en uitoefening rechten betrokkene.

  32. Governance en Compliance Beleid = voorwerp van governance(codes) / effectiviteit en efficiëntie; Materialiteitrisico’s; Rapportageverplichting accountant en RvT / RvC.

  33. Gaat om de richting … Kennis- en ervaringsgroepen Agenda 2013

  34. Evaluatie Vragen? Gemisteonderwerpen? Werkvorm? Volgendekeer?

More Related