Privacy

Je mag alles van me weten...

SISlink'2013','Alf'Moens

2

Alf Moens

Security'Officer

! Voor%alle%werkmaatschappijen%van%SURF! Coördina<e%governance%en%compliance%voor%het%HO! Docent%Informa<ebeveiliging%Hogeschool%Utrecht! Security%Manager%TU%DelH%2003%!%2012

2

IB&P@SURF: SAFE

3

Externe partijen

Deelnemingen

SURF/SURFshare SURFnet SURFmarket Studielink

SURFsara

Studiekeuze123

Universiteiten Hogescholen UMC's Wetenschappe-lijke instellingen

CIOberaad

CvDUR SURFibo SCIRT

ICT & Onderwijs

ICT & Onderzoek

ICT & Bedrijfsvoering

Programma BIS

Taskforce Cloud

SURFcert

SURFworks

SURFnet/Kennisnet

Federatie/Conext

MBO's, bibliotheken,

overigen

eScience

COMIT

KAAIWO

Bestuurders

Overheid

SURF projecten

NCSC

SURFaudit

IBP @ SURF

Veilig Toetsen/Toetsinfrastructuur

SION

Kantoor

Cloud First

IDM

Privacy

Onderwijsidentiteit

DisseminatieDiensten

Software

Framework IB HO

BIG Dataspionage

Trainingen

netwerken

Internationaal

Cloud TF-csirtTerena

IBP @ SURF, versie 1.3, oktober 2012, Alf Moens

Stuurgroep Informatiebeveiliging & Privacy Hoger Onderwijs (IBHO)

CIO Platform / SIG / Bestuurscommissie

PvIB

Science

CPNI

PI.labRadboud

SANS

OCW CBP

GIGAport

Kennisnet

VU UvA

SURFshareCompliance

Privacy & juridischorganisatie

H-BOSS CVUAD

Wat'is'Privacy?

513

Je''mag'alles'van'me'weten.'

Ik'heb'toch'niks'te'verbergen.

Door'Sociale'Media'is'

er'geen'privacy'meer.

Quod'licet'Jovi,

Non'licet'bovi.

9

Dus...

! Alleen%de%context%veranderd

16

CBP publiceert Onderzoek Hogescholen

10

hLp://www.cbpweb.nl/Pages/pb_20130207,beveiliging,studentgegevens,

hogescholen.aspx

Waar gaan we het over hebben?

11

Onderzoek 2012

–'InformaRebeveiligingsbeleid

–'Logische'toegangsbeveiliging–'Cryptografische'beheersmaatregelen

–'Logging'en'Controle–'Beheer'van'informaRebeveiligingsincidneten

–'Audit'van'informaRebeveiliging

12

Compliance

–Beveiliging'van'persoonsgegevens'van'studenten–Conclusie:'Bij'het'onderzoek'naar'de'verwerking'van'persoonsgegevens'is'een'overtreding'van'arRkel'13'

Wbp'geconstateerd

–Art'13:'...'passende'technische'en'organisatorische'maatregelen'<..>'om'persoonsgegevens'te'beveiligen'

tegen'verlies'of'enige'vorm'van'onrechtmaRge'

verwerking

13

Bevindingen

–'Beveiligingsbeleid'–'Beheer'toegangsrechten'gebruikers–'Beoordeling'toegangsrechten–'Kwetsbaarheid'voor'XSS–'Logging'en'Controle–'Audit'informaRebeveiliging

–'“...in#strijd#met#ar,kel#13#Wbp...”

14

Waarom die Onderzoeken?

• CBP'ontvangt'signalen'en'klachten• CBP'ziet'dat'een'school'“in'opspraak”'raakt• CBP'bepaalt'eigen'agenda• HU:'kamervragen'(2011)

15

CBP onderzoeken 2012

• Onderzoek'naar'de'beveiliging'van'persoonsgegevens'van'studenten

• NAW'gegevens:'cat.'0

• Banknummer:'cat'1/2

• Studieresulaten:'cat.'2• Studievoortgangsverslagen:'cat.'3• BSN:'cat'3• Foto:'cat'2/3

16

CBP onderzoeken - chronologie

• jaarplan'2011:'CBP'kondigt'onderzoek'in'onderwijssector'aan

• April'2012:'HU'en'HAN'horen'dat'ze'onderzocht'gaan'worden

• juni'2012:'onderzoek• Oktober'2012:'rapportage'uitgesteld• December'2012:'voorlopige'bevindingen

• Februari'2013:'Eindrapport'(ook'op'cbpweb.nl)• Maart'2013:'CBP'publiceert'Richtsnoer

17

Vervolg CBP onderzoeken

• Brief'met'bevindingen'naar'minister'en'

onderwijsinspecRe

• Zeer'beperkte'reacRe'van'pers,'geen'reacRe'van'poliRek• Minister'reageert'met'“kennisname”'brief'en'verwijst'

naar'lopende'projecten'(OCW,IV)

• Na'OCW,IV'projecten'gaat'inspecRe'mogelijk'meer'

aandacht'besteden'aan'governance.

• Richtsnoer'CBP'opgenomen'in'Normenkader'

InformaRebeveiliging'Hoger'Onderwijs'(SURFaudit)

18

NSA-PRISM

19

20

EU Data Protection Directive

• Een'“DirecRve”'is'direct'geldend'in'alle'EU'landen• Aanscherping'bestaande'regels• Veel'verplichRngen'voor'bedrijven'en'organisaRes• Privacy'beleid• Privacy'Impact'Assessments

• Privacy'Officer'(>'50'mw)

• Meldplicht'Datalekken

• Aantoonbaar'beschermd

21

22

EU Data Protection Directive -2

• Vele'duizenden'amandementen

• Pogingen'om'regels'af'te'zwakken'ten'faveure'

van'bedrijfsleven

• Aandacht'gevraagd'voor'beperkingen'aan'wetenschappelijk'onderzoek

• Besluitvorming:'voorjaar'2014

• 2'jaar'om'er'aan'te'voldoen

• niet'wachten'tot'2016!

23

Normenkader 2013

24

Uitbreiding*2013*opb**richtsnoer*WBPUitbreiding*2013*opb**richtsnoer*WBP10.10 Logging'en'Controle

12.2 Correcte'verwerking'in'toepassingssystemen

12.6 Beheer'van'technische'kwetsbaarheden

6.1.5 Geheimhoudingsovereenkomsten

12.3 EncrypRe'en'hashing

9.2.6 Omgang'met'e,waste

15.2.1 Controle'op'naleving'binnen'de'organisaRe

15.2.2 Controle'op'technische'naleving

12.5.5 code'review

10.3.2 Test'van'nieuwe'en'gewijzigde'informaResystemen

Bij*cloud/uitbesteding:Bij*cloud/uitbesteding:

6.2.3 beveiligingseisen'in'bewerkersovereenkomst

7.2 differenRaRe'van'verwerkte'persoonsgegevens'(classificaRe)

10.2.2 controle'en'beoordeling'van'dienstverlening

13.1.2 Beoordeling'en'apandeling'van'incidenten'en'lekken

10.2.3 beheer'van'wijzigingen'in'de'dienstverlening

25

Alf'Moens

moens@surf.nl

Project*Regie*in*de*CloudreferenRe'Architectuur

ClassificaRe'van'gegevens

Juridisch'Normenkader

SIG*Digitale*RechtenKennisbank

Vraagbaak

SURFacademy:*Privacy*CurriculumIntroducRe'Europese'richtlijn'3'sep.

Privacy'impact'Assessments

Privacy'Beleid

Impact'wetenschappelijk'Onderzoek

SURFiboLeidraad'Privacy'beleid

Leidraad'Privacy'Impact'Assessment

SURF:*Rapporten*en*papersPatriot'Act'en'FISA

Uitspraak'CBP'over'cloud

Persoonsgegevens'in'Botnets

AuthenRcaRe'voor'informaResystemen

SURFnet/SURFconextStep,up'AuthenRcaRe'(as,a,service)

Alf'Moens

moens@surf.nl