28032012 Riek Joosten TNO Privacy just. gegevens en wbp

Click here to load reader

  • date post

    10-Jul-2015
  • Category

    Documents

  • view

    357
  • download

    3

Embed Size (px)

Transcript of 28032012 Riek Joosten TNO Privacy just. gegevens en wbp

  • Privacy by Design & Proof of Concept voor - ontsluiting van Justitile Gegevens - compliance aan WBP Rieks Joosten

  • Rieks Joosten

    RETINA Demo

    TNO: opgericht in crisistijd (1932)

    Artikel 4 TNO wet

    TNO helpt overheden en

    bedrijven met specifieke R&D

    TNO is onafhankelijk van

    publieke of private belangen

    De Organisatie heeft ten doel ertoe bij te dragen dat op

    toepassing gericht technisch- en natuurwetenschappelijk

    onderzoek en daarmee te verbinden sociaal-wetenschappelijk

    en ander op toepassing gericht onderzoek op doelmatige

    wijze dienstbaar wordt gemaakt aan het algemeen belang en

    de daarbinnen te onderscheiden deelbelangen.

    28 maart 2012

    2

    Rieks Joosten

    afd. Informatiebeveiliging

    Eemsgolaan 3, Groningen

    +31 888 667 744

    [email protected]

  • Privacy by Design

    Ann Cavoukian (Information & Privacy Commissioner of Ontario):

    I first developed the concept of Privacy by Design in the 90s, as a response

    to the growing threats to online privacy that were beginning to emerge

    28 maart 2012

    Rieks Joosten

    RETINA Demo

    3

    privacy inbakken in ontwerpspecificaties

    data minimalisatie, user control, etc.

    Fundamentele vragen m.b.t. Personal Identifiable Information (PII):

    Wat is privacy? Wat is PII? Welke PII zijn nodig? Met wie delen we

    dat? Van wie accepteren we PII? Hoe te beheren? Enzovoorts

    Hoe maak je een ontwerp met ingebakken privacy?

  • Daan de Koning

    (Hoofd Keteninformatievoorziening

    Ministerie van Veiligheid en Justitie)

    We willen meer mensen toegang geven tot justitile en strafvorderlijke

    gegevens door de regels strakker toe te passen.

    Hoe doe je dit op het gebied van de Wet Justitile en Strafvorderlijke

    Gegevens (bijv.: een centraal digitaal dossier, dat zicht volautomatisch

    houdt aan de toegankelijkheidseisen, zoals de wet die stelt.

    Vraagstukken van Daan gaan over ketenprocessen, Privacy by Design:

    (bijvoorbeeld: kan een gemeente binnen de regels direct toegang

    krijgen tot justitile gegevens?

    28 maart 2012

    Rieks Joosten

    RETINA Demo

    4

  • Automatiseer het ontwerpen:

    Wet, regelgeving en andere regels

    formaliseren (intern formaat)

    Hieruit prototypes genereren waarmee

    we kunnen spelen:

    valideren van de interpretaties van

    de regels tegen juristen of andere

    autoriteiten

    aanpassen van de geformaliseerde

    regels overeenkomstig de feedback

    Hieruit functionele specificaties

    genereren

    28 maart 2012

    Rieks Joosten

    RETINA Demo

    5

  • Proof of the pudding is in the eating:

    28 maart 2012

    Rieks Joosten

    RETINA Demo

    6

    Voor Daan c.s. is het VOG-NP proces gemodelleerd op basis van:

    Wet c.q. Besluit Justitile en Strafvorderlijke gegevens

    Beleidsregels VOG-NP-RP 2008

    We hebben laten zien dat:

    wetsartikelen gehandhaafd worden

    alleen afleidbare besluiten door het systeem genomen worden

    een efficintere procesuitvoering mogelijk is

    ontsluiting van strafblad beperkt kan worden tot het noodzakelijke

    Daan c.s. hebben geconstateerd dat met deze werkwijze:

    erg veel discussie wordt vermeden (bijv. definitie-kwesties)

    compliance aan de wet bereikbaar is

  • Screenshot van de PoC

    28 maart 2012

    Rieks Joosten

    RETINA Demo

    7

  • Soortgelijke issues spelen veel breder: Onderzoeksvraag: Kunnen we een hulpmiddel maken

    voor ontwerpers van mogelijk privacy-gevoelige systemen

    om hun systeem WBP compliant te laten zijn?

    28 maart 2012

    Rieks Joosten

    RETINA Demo

    8

  • PbD tool voor WBP Compliance

    Verschillende levels of compliance specificatie: hoe heet de verwerking, wie zijn verantwoordelijk,

    welk(e) doel(en) dient de verwerking e.d.

    ontwerp: welke systemen zijn er, welke soorten berichten kunnen ze

    uitwisselen en welk soort persoonsgegeven zit daar in

    operationeel: welk peroonsgegeven is verzameld/verstuurd/verwerkt,

    voor welk doel

    is work in progress

    Verwachte resultaten:

    ondersteuning voor business (WBP checklists, meldingen)

    ondersteuning voor ontwerpers (signaleren van overtredingen) een runtime checker engine

    28 maart 2012

    Rieks Joosten

    RETINA Demo

    9

  • Voorbeeld regels:

    Elk verwerkingsdoel van een verwerking moet (door de verantwoordelijke) zijn

    gerechtvaardigd, of moet een subdoel zijn van een ander verwerkingsdoel

    (waaruit de rechtvaardiging is overgerfd) (bron: Artikel 7 Wbp:

    Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld)

    Als een service een soort persoonsgegeven verwerkt, dan moet die service een

    doel nastreven voor welke de verantwoordelijke heeft vastgesteld dat dit soort

    persoonsgegevens daarbij nodig is.

    (bron: Artikel 11 eerste lid Wbp: Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of

    vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig

    zijn)

    Elk persoonsgegeven dat is verzameld door een (runtime) service moet zijn

    getagd met het doel waarvoor het is verzameld, hetgeen er een is van de mogelijke doelen die design-time zijn vastgesteld.

    28 maart 2012

    Rieks Joosten

    RETINA Demo

    10

    Specifi-

    catie

    Ontwerp

    Runtime

  • Onderzoekscase: Apenheul Gorilla eiland

    11 cameras rondom het

    gorilla eiland worden

    genstalleerd

    Doel: het op bezoekers-

    zuilen tonen van waar de

    gorillas zich bevinden

    28 maart 2012

    Rieks Joosten

    RETINA Demo

    11

  • 28 maart 2012

    Rieks Joosten

    RETINA Demo

    12

  • 28 maart 2012

    Rieks Joosten

    RETINA Demo

    13

    Vragen