privacykennisgroep n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Privacykennisgroep PowerPoint Presentation
Download Presentation
Privacykennisgroep

Loading in 2 Seconds...

play fullscreen
1 / 34

Privacykennisgroep - PowerPoint PPT Presentation


  • 152 Views
  • Uploaded on

Privacykennisgroep. Mr. dr. A.W. Duthler Drs. A.J. Biesheuvel RA RE 8 april 2013 10.00u-13.00u. Agenda. Introductie Stand van zaken & actualiteiten Europese Privacy Verordening ( hierna : “ EPV ”)

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Privacykennisgroep' - dee


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
privacykennisgroep

Privacykennisgroep

Mr. dr. A.W. Duthler

Drs. A.J. Biesheuvel RA RE

8 april 2013

10.00u-13.00u

agenda

Agenda

Introductie

Stand van zaken & actualiteitenEuropese Privacy Verordening (hierna: “EPV”)

Voorbereidingimplementatie EPV:- Invullingfunctie van de Functionaris; Gegevensbescherming (hierna: “FG”);- Intern privacybeleid;- Governance en compliance

Agenda 2013

stand van zaken actualiteiten

Stand van zaken & actualiteiten

EPV;

Voorstelrichtlijnnetwerk- en informatiebeveiliging (E130011);

Voorstelverordeningelektronischeidentificatie en vertrouwensdiensten (E120015).

voorstel richtlijn nib

Voorstel richtlijn NIB

Aanleiding:

Een groeiend aantal beveiligingsincidenten met informatiesystemen. Systemen kennen geen grenzen. Ingrijpende verstoringen in één lidstaat worden voelbaar in andere lidstaten en in de EU als geheel.

voorstel richtlijn nib1

Voorstel richtlijn NIB

Normadressaten:

Exploitanten van kritiekeinfrastructuur;

Essentiëleaanbieders van infomijdiensten;

Overheden;

Verplichting:

- Adequate maatregelentreffenombeveiligingsrisico’stebeheren;

- Ernstigeincidentenrapporteren.

voorstel richtlijn nib2

Voorstel richtlijn NIB

Meldingsplicht:

Bevoegdeautoriteitenmoeten de nodigeaandachtbestedenaan de instandhouding van informele en vertrouwdekanalenvoor info-uitwisselingtussenmarktdeelnemers en publieke en private sector;

Bijbekendmaking van gemeldeincidentenafwegingtussen het belang van het publiekomtewordengeïnformeerd en mogelijkecommerciële en imagoschade.

voorstel richtlijn nib3

Voorstel richtlijn NIB

Samenhang met meldingsplicht EPV:

Bevoegdeautoriteitenmoetensamenwerken met CBP en informatieuitwisselen;

Administratievelastenzoveelmogelijkverminderen;

ENISA kan info-uitwisselingsmechanismen en modellenontwikkelenzodatergeen twee meldingsmodellennodigzijn.

voorstel richtlijn nib4

Voorstel richtlijn NIB

Normalisatie van beveiligingseisen is marktgestuurdproces;

Lidstatenmoetennaleving en afstemming op specifiekenormenaanmoedigenomhoogniveautewaarborgen;

Het kannodigzijnomgeharmoniseerdenormen op testellen.

voorstel richtlijn nib5

Voorstel richtlijn NIB

Commissiebevoegdomhandelingen vast testellen mho op bepalen van criteria voordeelnameaanbeveiligde info-uitwisselingssysteem;

Idem voorverdereomschrijving van de gebeurtenissen die tot vroegtijdigewaarschuwingleiden;

Idem voorbepalingomstandighedenwaarinmarktdeelnemers en overhedenverplichtzijnincidententemelden.

voorstel richtlijn nib6

Voorstel richtlijn NIB

Commissieuitvoeringsbevoegdhedeno.m. voor de formaten en procedures om het publiek in telichten over incidenten;

Idem voor NIB relevantenormen en/of technischespecificaties;

Idem voorbepalingomstandighedenwaarinmarktdeelnemers en overhedenverplichtzijnincidententemelden.

voorstel richtlijn nib7

Voorstel richtlijn NIB

Netwerk- en informatiesysteem:

Eenelektronischcommunicatienetwerk;

Eenapparaat of groep van apparaten, waarvaneen of meer, ovkigeenprogramma, computergegevensautomatischverwerkt of verwerken;

Computergegevens die met onder a.) of b.) bedoeldeelementenwordenopgeslagen, verwerkt, opgehaald of verzonden mho op de werking, het gebruik, de beveiliging en het onderhoudervan.

voorstel richtlijn nib8

Voorstel richtlijn NIB

Beginsel:

De lidstaten waarborgen een hoog beveiligingsniveau van de netwerk- en informatiesystemen op hun grondgebied. NIB-strategie

NIB-samenwerkingsplan

Nationale Autoriteit

nationale beveiligingsautoriteit

Nationale Beveiligingsautoriteit

Bevoegdheden:

Onderzoek;

Informatieverschaffingsplicht;

Teverplichteneenbeveiligingsauditteondergaan;

Bindendeinstructies.

Samenwerking met CBP omdatalekkenaantepakken.

sancties

Sancties

Doeltreffend, evenredig en afschrikkend;

Sancties op datalekken in overleg met sancties van EPV.

samenhang met internationale ontwikkelingen

Samenhang met internationale ontwikkelingen

EU-VS werkgroep inzake cyberbeveiliging en cybercriminaliteit;

OESO;

Algemene Vergadering van de VN;

ITU;

OVSE;

WSIS;

Forum voor internetbeheer.

voorstel verordening e id en vertrouwensdiensten
Voorstel verordening e-ID en vertrouwensdiensten

Doel:

burgers en bedrijven krijgen mogelijkheid hun e-ID’s te gebruiken om toegang te krijgen tot overheidsdiensten in andere EU-landen;

Bevordering interne markt voor elektronische handtekeningen en aanverwante trust services;

Huidige richtlijn regelt alleen de elektronische handtekening.

Technologie neutraal.

voorstel verordening e id en vertrouwensdiensten1
Voorstel verordening e-ID en vertrouwensdiensten

Wederzijdse erkenning en aanvaarding van elektronische identificatiemiddelen als ze onder een aangemelde regeling vallen;

Lidstaten kunnen regelingen (stelsels van elektronische identificatie) aanmelden die zij onder hun jurisdictie aanvaarden waarbij elektronische identificatie vereist is.

voorstel verordening e id en vertrouwensdiensten2
Voorstel verordening e-ID en vertrouwensdiensten

Voorwaarden voor aanmelding stelsels voor elektronische identificatie (1 t/m 4):

1.)de elektronische identificatiemiddelen zijn afgegeven door, namens of onder verantwoordelijkheid van de aanmeldende lidstaat;

2.) de elektronische identificatiemiddelen kunnen worden gebruikt om toegang te krijgen tot ten minste overheidsdiensten waarvoor elektronische identificatie vereist is in de aanmeldende lidstaat;

voorstel verordening e id en vertrouwensdiensten3
Voorstel verordening e-ID en vertrouwensdiensten

Voorwaarden voor aanmelding stelsels voor elektronische identificatie (vervolg):

3.) de aanmeldende lidstaat waarborgt de beschikbaarheid van een online- authenticatiemogelijkheid, op ieder moment en gratis;

4.) de aanmeldende lidstaat stelt zich aansprakelijk voor de ondubbelzinnige koppeling van de persoons- identificatiegegevens en de authenticatiemogelijkheid.

voorstel verordening e id en vertrouwensdiensten4
Voorstel verordening e-ID en vertrouwensdiensten

Definitie gekwalificeerde elektronische handtekening:

‘Een geavanceerde elektronische handtekening die wordt aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen’.

Heeft dezelfde rechtsgeldigheid als een handgeschreven handtekening (art. 20).

slide21

FG

Wordtaangewezeno.g.v. zijnprofessionelekwaliteiten, m.n.:

Deskundigheidwetgeving;

Deskundigheidpraktijkgegevensbescherming;

Vermogenomzijn taken tevervullen.

Niveau van deskundigheidwordtbepaald door gegevensverwerking en de vereistebescherming.

taken fg 1 t m 7

Taken FG (1 t/m 7)

1.) Informeren en adviseren;

2.) Toezien op privacybeleid van de verantwoordelijke of verwerker, inclusief de toewijzing van verantwoordelijkheden, opleiding en audits;

3.) Toezien op verordening, m.n. PbD, gegevens- beveiliging en actieve informatieplicht.

taken fg

Taken FG

4.) Bewaren van documentatie;

5.) Toezien op documenteren, melden en meededelen van inbreuken i.v.m. persoonsgegevens;

6.) Toezien op PIA en op verzoek voorafgaande toestemming en raadpleging;

7.) Contactpunt voor CBP

slide24

FG

Commissie kan gedelegeerde handelingen vaststellen voor nadere invulling van de criteria en de vereisten voor de taken, certificering, positie, bevoegdheden en middelen van de FG.

leergang fg

Leergang FG

Leergang FG

Privacy beleid

Governance & Compliance

Overzicht & inzicht

---

Informatie- & documentatieplicht

---

Rechten betrokkene

Bewaarplicht

---

Dataportabiliteit

---

Melden datalekken

PIA

---

PbD * 2

---

Beveiliging

Formeel juridisch

Wet- en regelgeving – aanpalend - internationaal

Positie van de FG

Beleid – positie – taken, bevoegdheden en verantwoordelijkheden

relatie leergang professionals

Leergang FG

Relatie leergang : professionals

AO / IT professionals

FG

Jurist

Information security officer

doelen kennis en ervaringsgroepen

Kennis- en ervaringsgroepen

Doelen kennis- en ervaringsgroepen

 Delen kennis en ervaringen tussen kwartiermakers

..vervolgens.. tussen deelnemers in een sectoren

..vervolgens.. tussen privacy

contactpersonen organisatie

opbouw van de epv community

Kennis- en ervaringsgroepen

Opbouw van de EPV community

Wet- en regelgeving

Sector specifieke informatie

Bedrijfs-implementaties

Governance & compliance

Afsprakencomplex

Kennis- en ervaringscenter

Governance & compliance

Afsprakencomplex

Kennis- en ervaringscenter

PKI bedrijfsdomein

wet en regelgeving

Kennis- en ervaringsgroepen

Wet- en regelgeving
  • EPV, aanpalende – internationale – wetgeving en de ontwikkeling totstandkoming, implementatie en toezicht;
  • Georganiseerd raken van de (internationale) toezichthouders;
  • Invloed op en reactie van aanpalende wetten en regels;
  • Gevolgen voor goed bestuur;
  • Actualiteiten en nieuws.
  • Redactie: Duthler Associates met als gezicht Anne-Wil
intern privacybeleid

Intern privacybeleid

Doel: er voor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens i.o.m. verordening wordt uitgevoerd.

In ieder geval: toewijzing verantwoordelijkheden, opleiding van personeel en audits;

In ieder geval: privacy by design, privacy by default en gegevensbeveiliging;

In ieder geval: actieve infoplicht en uitoefening rechten betrokkene.

governance en compliance

Governance en Compliance

Beleid = voorwerp van governance(codes) / effectiviteit en efficiëntie;

Materialiteitrisico’s;

Rapportageverplichting accountant en RvT / RvC.

agenda 2013
Gaat om de richting …

Kennis- en ervaringsgroepen

Agenda 2013
evaluatie

Evaluatie

Vragen?

Gemisteonderwerpen?

Werkvorm?

Volgendekeer?