Gegevensbescherming & IT
-
Upload
amsterdam-london -
Category
Business
-
view
197 -
download
0
Transcript of Gegevensbescherming & IT
1
Gustav Mahlerplein 21082 MA AmsterdamPostbus 755101070 AM AmsterdamThe Netherlands
T +31 20 795 39 53www.boekel.com
Sil Kingma2 november 2011
Gegevensbescherming & IT
36-38 Cornhill6th FloorLondon EC3V 3NDUnited Kingdom
T +44 207 337 25 00www.boekel.com
2
1. Belang gegevensbescherming
2. Huidige mogelijkheden gegevensbescherming
3. Gegevensbescherming in de Cloud
- Wat is de Cloud
- Voor en nadelen
- Aandachtspunten
4. Conclusie
Onderwerpen
Agenda
4
Hierbij deel ik u mede dat bij vonnis van de Rechtbank
Haarlem van 20 september 2011 de besloten vennootschap
DigiNotar B.V. failliet is verklaard, met aanstelling van
ondergetekende tot curator. Het faillissement heeft tot gevolg
dat de activiteiten van DigiNotar binnenkort zullen eindigen.
Hoogachtend, Mr. R. Mulder, curator
Uitspraak
DigiNotar
5
• Preventieve maatregelen
- Technische bescherming
• Repressieve maatregelen
- Strafrechtelijke wettelijk bescherming
• Positieve (pro-actieve) maatregelen
- Contractuele bescherming
3 manieren
Beveiliging netwerkomgeving
6
Strafbaar is :
• Opzettelijk en wederrechtelijk binnendringen in
computersystemen (computervredebreuk)
• Het vernielen van gegevens,
verstikkingsaanvallen en andere vormen van
cybercrime
De WetComputer-criminaliteit
Ad 2. Wettelijke bescherming
7
Wat geldt tussen de leverancier en de afnemer van
een ICT services is in veel gevallen contractueel bepaalt
voor wat betreft:
• De beveiligingsverplichtingen leverancier
• De consequenties van niet nakoming
Onderlingeafspraken
Ad 3. Contractuele
bescherming
9
1. Geen eenduidige wettelijke definitie
2. Kent verschillende verschijningsvormen
Mistig begrip
Wat is Cloud Computing?
10
• ”een vorm van computergebruik waarbij schaalbare en flexibele IT-
faciliteiten als dienst worden aangeboden aan grote aantallen klanten
die internettechnologie gebruiken” (Artikel 29 Werkgroep)
• “Een model dat het mogelijk maakt om door middel van een
computernetwerk gedeelde configureerbare computermiddelen (zoals
netwerken, servers, opslag, applicaties, en diensten) op aanvraag
beschikbaar te stellen op een snelle, gemakkelijke en
alomtegenwoordige manier met minimale beheermoeite of interactie
van een service provider” (Wikipedia 2011)
Pogingen
Definities
11
• Software as a Service ( SaaS )
- Denk aan diensten als Hotmail, Facebook,
Google docs
• Platform as a Service ( PaaS )
- Amazon AWS, Google Aps
• Infrastructure as a Service ( IaaS )
3 vormen
Verschijningsvormen
12
• Kostenbesparing
• Eenvoudiger beheer van software en data
• Schaalbaarheid (mate waarin het systeem is
voorbereid op een toename van intensiever of
breder gebruik ) en flexibiliteit
Voordelen
Voordelen & nadelen
13
• Afhankelijkheid CSP ( de zogeheten Vendor lock-in)
• Privacy-problematiek
Nadelen
Voordelen & nadelen
15
Door helder te krijgen:
• Welke gegevens zich in de cloud gaan begeven
• Waar deze gegevens terecht komen
• Welk recht daar van toepassing is
• Welke bevoegdheden de lokale overheid heeft
• Risico op datalekken
PraktischeOplossingen
Afhankelijkheid inperken
16
Contractueel vastleggen van de:
• verplichtingen van de CSP
• alsmede de rechten van de afnemer Cloud
dienst
JuridischeOplossingen
Afhankelijkheid inperken
17
• Aansprakelijkheid en vrijwaring
• Kwaliteit en continuïteit
• Onafhankelijkheid
• Regionalisatie of lokalisatie
• Beveiliging van de gegevens
Onderwerpen
Contractueel regelen
18
• Leveranciersovereenkomsten eenzijdig
- Uitsluiting indirecte schade
- beperking directe schade
- korte verjaringstermijnen
• Toepasselijk recht en jurisdictie
- praktisch probleem bij evaluatie rechten
- praktisch probleem bij afdwingbaarheid van
rechten
Schade
Aansprakelijkheid
19
• Service Level Agreement (SLA)
• Schaalbaarheid/Flexibiliteit
• Faillissement dienstverlener
3 aandachtpunten
Kwaliteit en continuïteit
20
• Cloud Computing = controleverlies
- Data is een waardevol bestanddeel van een
onderneming
- Beschikbaarheid van data is essentieel
• Einde overeenkomst
- Beschikbaarheid data in herbruikbare vorm
- Contractuele retransitiemaatregelen zijn essentieel
- Escrow
Van belang
Onafhankelijkheid
21
• Wettelijke plicht om gegevens te beveiligen en het
beveiligingsniveau te controleren
- Code Tabaksblat
- Sarbanes Oxley Act
- Wet bescherming perssongegevens
• Audit
• Certificatie en kwaliteitsgaranties CSP
-
Van gegevens
Beveiligingsniveau
22
• EU richtlijn 1995/46/EG
• Wet bescherming persoonsgegevens
Wettelijkeverplichtingen
Verwerking van
persoonsgegevens
23
• Bekendheid met locatie persoonsgegevens
regionalisatie/lokalisatie
• Technische en organisatorische
beschermingsmaatregelen (art 13 Wbp)
• Maximale bewaartermijnen
• Uitvoering controle- en correctierechten betrokkenen
Opletten
Verplichtingen Wbp
24
• Begrippen
• Belang onderscheid
• Beperking bij doorgifte van persoonsgegevens aan
derde landen
• Beveiligingsplicht
Belangrijksteaandachts-punten
Verwerking van
persoonsgegevens
25
• Verantwoordelijke bepaalt het doel en de
middelen van de verwerking (afnemer cloud
diensten)
• Bewerker (data processor) verwerkt gegevens ten
behoeve van de Verantwoordelijke (CSP)
• Betrokkene De natuurlijke persoon wier gegevens
verwerkt worden
Wbp
Begrippen
26
• Toewijzing verantwoordelijkheid
• Bepaling toepasselijk recht
• Sterke beveiligingsplicht (verplicht contractueel door
te schuiven bij uitbesteding aan een bewerker)
Geldt Wbp?
Belang onderscheid
27
• Doorgifte aan landen buiten de EU; dit is niet toegestaan,
tenzij een adequaat beschermingsniveau wordt geboden
• Lijst Europese Commissie (beperkt aantal landen)
• “Safe Harbor”gecertificeerde ondernemingen (VS)
• Binding corporate rules
• Toestemming betrokkene
• Noodzakelijk voor de uitvoering van een overeenkomst
Wbp
Uitzonderingen
Doorgifte persoonsgegevens
28
• Verplichting tot vertrouwelijkheid en doelgebonden gebruik
• Verplichting tot adequaat beveiligen (technisch &
organisatorisch)
• Cloud: hogere risico’s omwille van zakenmodel in
principe een zwaardere beveiligingsplicht bij bewerker
Volgens Wbp
Beveiligingsplicht
29
• Regel de locatie waar de data wordt vastgelegd
• Regel de beveiligingsverplichtingen en controle
mogelijkheden (compliance verplichtingen)
• Vermijd voorlopig de opslag van gevoelige gegevens in de
Cloud
• Zorg voor een goed contract!
Belangrijk
Conclusie