De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Privacykennisgroep Mr. dr. A.W. Duthler Drs. A.J. Biesheuvel RA RE 8 april 2013 10.00u-13.00u.

Verwante presentaties


Presentatie over: "Privacykennisgroep Mr. dr. A.W. Duthler Drs. A.J. Biesheuvel RA RE 8 april 2013 10.00u-13.00u."— Transcript van de presentatie:

1 Privacykennisgroep Mr. dr. A.W. Duthler Drs. A.J. Biesheuvel RA RE 8 april u-13.00u

2 Agenda Introductie Stand van zaken & actualiteiten Europese Privacy Verordening (hierna: “EPV”) Voorbereiding implementatie EPV: - Invulling functie van de Functionaris; Gegevensbescherming (hierna: “FG”); - Intern privacybeleid; - Governance en compliance Agenda 2013

3 Stand van zaken & actualiteiten EPV; Voorstel richtlijn netwerk- en informatiebeveiliging (E130011); Voorstel verordening elektronische identificatie en vertrouwensdiensten (E120015).

4 Voorstel richtlijn NIB Aanleiding: Een groeiend aantal beveiligingsincidenten met informatiesystemen. Systemen kennen geen grenzen. Ingrijpende verstoringen in één lidstaat worden voelbaar in andere lidstaten en in de EU als geheel.

5 Voorstel richtlijn NIB Normadressaten: Exploitanten van kritieke infrastructuur; Essentiële aanbieders van infomijdiensten; Overheden; Verplichting: - Adequate maatregelen treffen om beveiligingsrisico’s te beheren; - Ernstige incidenten rapporteren.

6 Voorstel richtlijn NIB Meldingsplicht: Bevoegde autoriteiten moeten de nodige aandacht besteden aan de instandhouding van informele en vertrouwde kanalen voor info-uitwisseling tussen marktdeelnemers en publieke en private sector; Bij bekendmaking van gemelde incidenten afweging tussen het belang van het publiek om te worden geïnformeerd en mogelijke commerciële en imagoschade.

7 Voorstel richtlijn NIB Samenhang met meldingsplicht EPV: Bevoegde autoriteiten moeten samenwerken met CBP en informatie uitwisselen; Administratieve lasten zoveel mogelijk verminderen; ENISA kan info-uitwisselingsmechanismen en modellen ontwikkelen zodat er geen twee meldingsmodellen nodig zijn.

8 Voorstel richtlijn NIB Normalisatie van beveiligingseisen is marktgestuurd proces; Lidstaten moeten naleving en afstemming op specifieke normen aanmoedigen om hoog niveau te waarborgen; Het kan nodig zijn om geharmoniseerde normen op te stellen.

9 Voorstel richtlijn NIB Commissie bevoegd om handelingen vast te stellen mho op bepalen van criteria voor deelname aan beveiligde info- uitwisselingssysteem; Idem voor verdere omschrijving van de gebeurtenissen die tot vroegtijdige waarschuwing leiden; Idem voor bepaling omstandigheden waarin marktdeelnemers en overheden verplicht zijn incidenten te melden.

10 Voorstel richtlijn NIB Commissie uitvoeringsbevoegdheden o.m. voor de formaten en procedures om het publiek in te lichten over incidenten; Idem voor NIB relevante normen en/of technische specificaties; Idem voor bepaling omstandigheden waarin marktdeelnemers en overheden verplicht zijn incidenten te melden.

11 Voorstel richtlijn NIB Netwerk- en informatiesysteem: Een elektronisch communicatienetwerk; Een apparaat of groep van apparaten, waarvan een of meer, ovkig een programma, computergegevens automatisch verwerkt of verwerken; Computergegevens die met onder a.) of b.) bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden mho op de werking, het gebruik, de beveiliging en het onderhoud ervan.

12 Voorstel richtlijn NIB Beginsel: De lidstaten waarborgen een hoog beveiligingsniveau van de netwerk- en informatiesystemen op hun grondgebied. NIB-strategie NIB-samenwerkingsplan Nationale Autoriteit

13 Nationale Beveiligingsautoriteit Bevoegdheden: Onderzoek; Informatieverschaffingsplicht; Te verplichten een beveiligingsaudit te ondergaan; Bindende instructies. Samenwerking met CBP om datalekken aan te pakken.

14 Sancties Doeltreffend, evenredig en afschrikkend; Sancties op datalekken in overleg met sancties van EPV.

15 Samenhang met internationale ontwikkelingen EU-VS werkgroep inzake cyberbeveiliging en cybercriminaliteit; OESO; Algemene Vergadering van de VN; ITU; OVSE; WSIS; Forum voor internetbeheer.

16 Voorstel verordening e-ID en vertrouwensdiensten Doel: burgers en bedrijven krijgen mogelijkheid hun e-ID’s te gebruiken om toegang te krijgen tot overheidsdiensten in andere EU-landen; Bevordering interne markt voor elektronische handtekeningen en aanverwante trust services; Huidige richtlijn regelt alleen de elektronische handtekening. Technologie neutraal.

17 Voorstel verordening e-ID en vertrouwensdiensten Wederzijdse erkenning en aanvaarding van elektronische identificatiemiddelen als ze onder een aangemelde regeling vallen; Lidstaten kunnen regelingen (stelsels van elektronische identificatie) aanmelden die zij onder hun jurisdictie aanvaarden waarbij elektronische identificatie vereist is.

18 Voorstel verordening e-ID en vertrouwensdiensten Voorwaarden voor aanmelding stelsels voor elektronische identificatie (1 t/m 4): 1.) de elektronische identificatiemiddelen zijn afgegeven door, namens of onder verantwoordelijkheid van de aanmeldende lidstaat; 2.) de elektronische identificatiemiddelen kunnen worden gebruikt om toegang te krijgen tot ten minste overheidsdiensten waarvoor elektronische identificatie vereist is in de aanmeldende lidstaat;

19 Voorstel verordening e-ID en vertrouwensdiensten Voorwaarden voor aanmelding stelsels voor elektronische identificatie (vervolg): 3.) de aanmeldende lidstaat waarborgt de beschikbaarheid van een online-authenticatiemogelijkheid, op ieder moment en gratis; 4.) de aanmeldende lidstaat stelt zich aansprakelijk voor de ondubbelzinnige koppeling van de persoons- identificatiegegevens en de authenticatiemogelijkheid.

20 Voorstel verordening e-ID en vertrouwensdiensten Definitie gekwalificeerde elektronische handtekening: ‘Een geavanceerde elektronische handtekening die wordt aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen ’. Heeft dezelfde rechtsgeldigheid als een handgeschreven handtekening (art. 20).

21 FG Wordt aangewezen o.g.v. zijn professionele kwaliteiten, m.n.: Deskundigheid wetgeving; Deskundigheid praktijk gegevensbescherming; Vermogen om zijn taken te vervullen. Niveau van deskundigheid wordt bepaald door gegevensverwerking en de vereiste bescherming.

22 Taken FG (1 t/m 7) 1.) Informeren en adviseren; 2.) Toezien op privacybeleid van de verantwoordelijke of verwerker, inclusief de toewijzing van verantwoordelijkheden, opleiding en audits; 3.) Toezien op verordening, m.n. PbD, gegevens- beveiliging en actieve informatieplicht.

23 Taken FG 4.) Bewaren van documentatie; 5.) Toezien op documenteren, melden en meededelen van inbreuken i.v.m. persoonsgegevens; 6.) Toezien op PIA en op verzoek voorafgaande toestemming en raadpleging; 7.) Contactpunt voor CBP

24 FG Commissie kan gedelegeerde handelingen vaststellen voor nadere invulling van de criteria en de vereisten voor de taken, certificering, positie, bevoegdheden en middelen van de FG.

25 Leergang FG Formeel juridisch Wet- en regelgeving – aanpalend - internationaal Positie van de FG Beleid – positie – taken, bevoegdheden en verantwoordelijkheden Formeel juridisch Wet- en regelgeving – aanpalend - internationaal Positie van de FG Beleid – positie – taken, bevoegdheden en verantwoordelijkheden Privacy beleid Governance & Compliance Privacy beleid Governance & Compliance PIA --- PbD * Beveiliging PIA --- PbD * Beveiliging Overzicht & inzicht --- Informatie- & documentatieplicht --- Rechten betrokkene Overzicht & inzicht --- Informatie- & documentatieplicht --- Rechten betrokkene Bewaarplicht --- Dataportabiliteit --- Melden datalekken Bewaarplicht --- Dataportabiliteit --- Melden datalekken Leergang FG

26 Onderwerpen Leergang Leergang FG

27 Relatie leergang : professionals FG Jurist Information security officer AO / IT professionals Leergang FG

28 Doelen kennis- en ervaringsgroepen  Delen kennis en ervaringen tussen kwartiermakers.. vervolgens..  tussen deelnemers in een sectoren..vervolgens..  tussen privacy contactpersonen organisatie Kennis- en ervaringsgroepen

29 Opbouw van de EPV community Governance & compliance Afsprakencomplex Kennis- en ervaringscenter Governance & compliance Afsprakencomplex Kennis- en ervaringscenter PKI bedrijfsdomein Wet- en regelgeving Sector specifieke informatie Bedrijfs- implementaties Kennis- en ervaringsgroepen

30 Wet- en regelgeving EPV, aanpalende – internationale – wetgeving en de ontwikkeling totstandkoming, implementatie en toezicht; Georganiseerd raken van de (internationale) toezichthouders; Invloed op en reactie van aanpalende wetten en regels; Gevolgen voor goed bestuur; Actualiteiten en nieuws.  Redactie: Duthler Associates met als gezicht Anne-Wil Kennis- en ervaringsgroepen

31 Intern privacybeleid Doel : er voor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens i.o.m. verordening wordt uitgevoerd. In ieder geval: toewijzing verantwoordelijkheden, opleiding van personeel en audits; In ieder geval : privacy by design, privacy by default en gegevensbeveiliging; In ieder geval: actieve infoplicht en uitoefening rechten betrokkene.

32 Governance en Compliance Beleid = voorwerp van governance(codes) / effectiviteit en efficiëntie; Materialiteit risico’s; Rapportageverplichting accountant en RvT / RvC.

33 Agenda 2013 Kennis- en ervaringsgroepen Gaat om de richting …

34 Evaluatie Vragen? Gemiste onderwerpen? Werkvorm? Volgende keer?


Download ppt "Privacykennisgroep Mr. dr. A.W. Duthler Drs. A.J. Biesheuvel RA RE 8 april 2013 10.00u-13.00u."

Verwante presentaties


Ads door Google