1 / 31

Mr.Cees.Zwinkels MPC CPC Computer/Law Institute , Vrije Universiteit Amsterdam

Information beveiliging en privacybescherming: Zorgplichten en governance; 07112013. Mr.Cees.Zwinkels MPC CPC Computer/Law Institute , Vrije Universiteit Amsterdam c.zwinkels@rechten.vu.nl. Inhoud. Technische en organisatorische maatregelen Meldplichten

caden
Download Presentation

Mr.Cees.Zwinkels MPC CPC Computer/Law Institute , Vrije Universiteit Amsterdam

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Information beveiliging en privacybescherming: Zorgplichten en governance; 07112013 Mr.Cees.Zwinkels MPC CPC Computer/Law Institute, Vrije Universiteit Amsterdam c.zwinkels@rechten.vu.nl

  2. Inhoud Technische en organisatorische maatregelen Meldplichten Recht op afscherming van gegevens

  3. Begrip infomatiebeveiliging College BP, Richtsnoeren 2013, p.13ev : Beschikbaarheid (waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en informatiesystemen. Integriteit (het waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking ervan. Vertrouwelijkheid (het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. Controleerbaarheid (de mogelijkheid om met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid)

  4. Begrip infomatiebeveiliging The NIB directive (2012) is a concept, not already approved. Focus of the directive is to handle all incidents with a high impact on security See art.2 sub 2 : Security is the ability of a network and information sytem to resist, at a given level of confidence, accident or malicious action that compromise the availibility, authenticity, integrity and confidentiality of stored and transmitted data or the related service offered by or accessible via that network and information system. See art.3 sub 3 : Risk means any circumstance or event having a potential adverse effect on security

  5. Passende technische en organisatorische maatregelen See art.14 sub 1 : Public administration and market operators (1) take appropiate technical and organisational measures (2) to manage the risks posed to the security of the networks and information systems (3) which they control and use in their networks (4). These measures shall guarantee a level of security appropiate to the risk presented (5).

  6. Passende technische en organisatorische maatregelen The WBP is based on the Directive Privacy Protection 1995. The new directive will replace the directive of 1995. See art.17 sub 1 : member states shall implement appropriate technisal and organizational measures to protect personal data against accidental or unlawful destruction or loss. Having regard to the state of the art and the cost of their implementation Such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected. See art.17 lid 2 : The controller must ensure compliance with the measures.

  7. Passende technische en organisatorische maatregelen Wbp Article 13 = The responsible organisation or person (1) is in control (2) with technical and organisation measures (3) in accordance with the appropriate level of security (4) based on the analyse of the risks (5) and regarding the state of technical art and regarding costs of implementation (6)

  8. Passende technische en organisatorische maatregelen Zie Wbp; MvT : Er kunnen geen algemene uitspraken worden gedaan over wat als een «passende beveiligingsmaatregel» kan worden beschouwd. Dit is namelijk afhankelijk van een aantal factoren. Het begrip «passend» duidt er op dat de maatregelen in overeenstemming dienen te zijn met de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

  9. Passende technische en organisatorische maatregelen Article 14 = The responsible organisation or person (1) is in control (2) with the technical and organisation measures (3) which the external party (3) has taken in accordance with the adequate level of security (4)

  10. Meldplichten Wetsontwerp Wijziging Wbp Artikel 34a 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.

  11. Meldplichten Wetsontwerp Wijziging Wbp Artikel 34a 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoor- delijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

  12. Meldplichten Wetsontwerp Wijziging Wbp Artikel 34a 6. De kennisgeving aan de betrokkene is niet vereist indien de verant- woordelijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens.

  13. Meldplichten Wetsontwerp Wijziging Wbp Artikel 34a 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.

  14. Meldplichten/Commentaren Wetsontwerp Wijziging Wbp De meldplicht die in dit wetsvoorstel is opgenomen heeft uitsluitend betrekking op doorbrekingen van de maatregelen voor de beveiliging van persoonsgegevens. Zie kamerstuk 33662, nr.3, paragraaf 2.4, p.2 Raad van State (stuk 33662, nr.T) Welke gevallen vallen wel en niet onder de meldplicht? Tweede Kamer Hoe moet je uitleggen : redelijkerwijs», aanmerkelijke kans op nadelige gevolgen» en «waarschijnlijk ongunstige gevolgen?

  15. Meldplichten Wet melding inbreuken elektronische informatiesystemen Artikel 1 In deze wet en de daarop gebaseerde bepalingen wordt verstaan onder: - aanbieder: degene die een product of dienst exploiteert, beheert of beschikbaar stelt; - informatiesysteem: geheel of gedeeltelijk met elektronische middelen bestuurd systeem waarvan een product of dienst afhankelijk is; - Onze Minister: Onze Minister van Veiligheid en Justitie; - product of dienst: product of dienst als bedoeld in artikel 2.

  16. Meldplichten Wet melding inbreuken elektronische informatiesystemen) Artikel 2 Deze wet is van toepassing op de bij algemene maatregel van bestuur aan te wijzen aanbieders van de daarbij aan te wijzen producten of diensten die van zodanig belang zijn voor de Nederlandse samenleving dat onderbreking van de beschikbaarheid of betrouwbaarheid daarvan kan leiden tot ernstige maatschappelijke gevolgen.

  17. Meldplichten Wet melding inbreuken elektronische informatiesystemen) Artikel 3 1. De aanbieder geeft Onze Minister onverwijld kennis van een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken. 2. De kennisgeving omvat in ieder geval: a. de aard en omvang van de inbreuk of het verlies; b. het tijdstip van de aanvang van de inbreuk of het verlies; c. de mogelijke gevolgen van de inbreuk of het verlies; d. een prognose van de hersteltijd; e. zo mogelijk de door de aanbieder genomen of te nemen maatregelen om de gevolgen van de inbreuk of het verlies te beperken of herhaling hiervan te voorkomen;

  18. Meldplichten Wet melding inbreuken elektronische informatiesystemen) Artikel 6 1. Ter voorkoming of beperking van schadelijke maatschappelijke gevolgen in of buiten Nederland van een inbreuk of een verlies als bedoeld in artikel 3, eerste lid, kan Onze Minister de gegevens, bedoeld in de artikelen 3 en 4, gebruiken voor het geven van informatie en advies aan: a. andere aanbieders; b. een bij regeling van Onze Minister aangewezen computercrisisteam in of buiten Nederland; c. het publiek, mits de veiligheid van de Staat daarmee niet geschaad kan worden. 2. Tenzij het maatschappelijke belang dat vergt, worden aan het publiek geen gegevens verstrekt die herleid kunnen worden tot afzonderlijke aanbieders, producten of diensten.

  19. Meldplichten/Commentaar Er is sprake van open zorgvuldigheidsnormen.

  20. Meldplichten Wetsontwerp Wijziging Wbp Artikel 51a 1. Het College is bevoegd om in het belang van een efficiënt en effectief toezicht op de naleving op de verwerking van persoonsgegevens afspraken te maken met andere toezichthouders en daartoe gezamenlijk met deze toezichthouders samenwerkingsprotocollen vast te stellen. Een samenwerkingsprotocol wordt bekendgemaakt in de Staatscourant.

  21. Government/Privacy Impact Assessment (PIA) PIA is not directly based on Europan or national regulation. PIA is a type of instruction about how to analyse the privacy impact of new regulation or an IT – project at the beginning of the process of developing new law or project. So, PIA is not an instrument for checking compliance. PIA is not the same as DPIA (Data Protection Impact Asessment)

  22. Governance : CBP/Instructions regaring the protection of personal data. See CBP (College Protection Personal Data) : Instructionsregaring the protection of personal data. Is there a document with information about information security policy? How aboutrolesandresponsibilitiesbetween the stakeholders : • The Board? • Management? • End users • CSO? How aboutidentificationandauthorisation?

  23. Governance : CBP/Instructions regaring the protection of personal data. See CBP (College Protection Personal Data) : Is there a type of loggingregarding the identificationandauthorisation? How aboutnetwork security? Are databases andrelatedaplicationssecuredwith support of technical tooling? Is there a procedure in order to get information aboutincidents, andhow tohanddlethem ?

  24. Governance : Borking 2001 See Borking, 2001 /Approach : There are fourcategoriesregardingrisks : 1 = public information 2 = information about persons within the organisation 3 = very private data, f.eabouw personal health care. 4 = big themeslike state security The types of measuresyouorganize have tobe in accordancewith the types of risks.

  25. Case ANPR ANPR is automatic number plate recognition. Process : The camera registrates the number plate in the central database. This database is matching with other databases (Police, Social Control Auhority, Tax Contriol Authority). If there’s is recognition, the police will stop your car. The registred data have to be removed after four weeks

  26. Case ANPR What’s your opinion about thetypes of risks? Can you classify (categories 1, 2, 3 and 4) them)? What types of measures you will suggest? Which elements will contain the process for handling incidents?

  27. Case ANPR The house of parlement was very upset about the new law. They asked for a PIA. The outcomes of the PIA are following Objectives The risk that data will be collected on behalve of non formulated objectives will be great (functional creep). And the impact of the risk is big.

  28. Case ANPR Roles and reponsibilities The risk that not the right people will cross their fingers around the registrated data is great. And the impact of the risk is big. Incidents The risk of hacking is great. And the impact of the risk is big. Applications and infrastructure The risk of no security tools linked to applications and infrastructure is small. And the impact of the risk is big.

  29. Case ANPR Logging The risk of not logging the registrations related to persons with access to the data is small. And the impact of the risk is big. Data The risk of storing the registred numberplates after 4 weeks in another databases is big. And the impact of the risk is big.

  30. Case ANPR How wouldyouorganize the measures in order tobe in compliance with the law? • Is there’s a needforcontracting? • How aboutauditingandreporting?

  31. Case ANPR Waarborgen in de Wbp zijn o.a : • · kwaliteit van gegevens (art. 4 lid 1 WPG, art. 4 WJSG), • · vooraf duidelijke doelen formuleren (art. 6-10 WPG, art. 2 WJSG), • · doelbinding (art. 3 WPG, art. 39b lid 2 WJSG), • · beveiligingsmaatregelen treffen (art. 4 lid 2 WPG, art. 7 WJSG), • · transparantie (art. 21 WPG, art. 18 en 43 WJSG), • · rectificatiemogelijkheden (art. 24 WPG, art. 22 en 46 WJSG)

More Related