De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Informatieveiligheid Waarborgen van vrij verkeer van persoonsgegevens Frank Robben Lid Commissie Bescherming Persoonlijke Levenssfeer (CBPL) Administrateur-generaal.

Verwante presentaties


Presentatie over: "Informatieveiligheid Waarborgen van vrij verkeer van persoonsgegevens Frank Robben Lid Commissie Bescherming Persoonlijke Levenssfeer (CBPL) Administrateur-generaal."— Transcript van de presentatie:

1 Informatieveiligheid Waarborgen van vrij verkeer van persoonsgegevens Frank Robben Lid Commissie Bescherming Persoonlijke Levenssfeer (CBPL) Administrateur-generaal Kruispuntbank Sociale Zekerheid Sint-Pieterssteenweg 375 B-1040 Brussel Website CBPL: Persoonlijke website:

2 2 13 mei 2009 Frank Robben Informatieveiligheid – bepaling Richtlijn Artikel 17 - Beveiliging van de verwerking De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet- toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking. Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich brengen.

3 3 13 mei 2009 Frank Robben Informatieveiligheid absolute veiligheid is terecht geen na te streven doel, want dan gaan enorme opportuniteiten inzake efficiëntie en effectiviteit verloren artikel van Richtlijn vereist geen aanpassing, waar het maatregelen vereist om een passend beveiligingsniveau te waarborgen in functie van de risico’s en de aard van de verwerkte gegevens, en rekening houdend met de stand van de techniek en de kosten van tenuitvoerlegging wel nuttig zouden kunnen zijn –een ondersteunende methodologie voor risico-analyse en -beheer –een precisering van de informatieveiligheidsdomeinen waarop maatregelen nodig kunnen zijn –best practices waar nuttig stapsgewijze verfijnd per sector

4 4 13 mei 2009 Frank Robben Risico-analyse en -beheer als basis informatieveiligheid = vermijden van schade aan informatie en informatieverwerkende systemen, en aan alle betrokkenen (informatiesubjecten, gebruikers, …) nood aan aandacht zowel voor rechtstreekse schade als voor gereflecteerde schade, waarop risico toeneemt naarmate banden tussen informatie(systemen) groter zijn risico = elke externe en interne factor die de informatieveiligheid kan bedreigen nood aan aandacht voor maatregelen op 3 niveaus –hoe schade vermijden ? –hoe schade beperken als ze zich voordoet ? –hoe schade die zich heeft voorgedaan zo goed mogelijk herstellen ?

5 5 13 mei 2009 Frank Robben Risico-analyse en -beheer als basis informatieveiligheid impliceert aandacht voor risico’s op vlak van –juistheid en integriteit –beschikbaarheid –vertrouwelijkheid –niet-weerlegbaarheid –authenticiteit –auditeerbaarheid van de informatie en de informatieverwerkende systemen

6 6 13 mei 2009 Frank Robben Enkele soorten bedreigingen menselijke bedreigingen –opzettelijk intern: eigen werknemers, werknemers van onderaannemers, …  ongeautoriseerde toegang, sabotage, diefstal, … extern: hackers, spionnen, concurrenten, …  ongeautoriseerde toegang, sabotage, inbraak, … –niet opzettelijk intern: eigen werknemers, werknemers van onderaannemers  fout, nalatigheid, onvoldoende awareness, … extern: klanten, partners, leveranciers, …  fout, nalatigheid, onveiligheid van hun systemen, … fysische bedreigingen  stroomonderbreking, aardbeving, brand, overstroming, vocht, temperatuurschommelingen, …

7 7 13 mei 2009 Frank Robben Methode voor risicobeheer identificatie van de risico’s evaluatie van de risico’s –waarschijnlijkheid –impact –controleerbaarheid bepalen van de aanvaardbare niveaus van risico’s identificatie en analyse van de bestaande risicobeheers- maatregelen evaluatie van de bestaande risicobeheersmaatregelen analyse van de verdere risicobeheersopties definitie van een actieplan voor risicobeheer monitoring

8 8 13 mei 2009 Frank Robben Informatieveiligheidsdomeinen ISO reeks, in het bijzonder ISO –risk assessment and treatment –security policy: management direction –organization and governance of information security governance of information security –asset management: inventory and classification of information assets –human resources security: security aspects for employees joining, moving and leaving an organization –physical and environmental security: protection of the computer facilities –communications and operations management: management of technical security controls in systems and networks –access control: restriction of access rights to networks, systems, applications, functions and data

9 9 13 mei 2009 Frank Robben Informatieveiligheidsdomeinen ISO reeks, in het bijzonder ISO –information systems acquisition, development and maintenance: building security into applications (immunity) –information security incident management: anticipating and responding appropriately to information security breaches –business continuity management: protecting, maintaining and recovering business-critical processes and systems –compliance: ensuring conformance with information security policies, standards, laws and regulations eventueel toe te voegen –bijzondere eisen bij de verwerking van persoonsgegevens –communicatie over het beleid en de maatregelen inzake informatieveiligheid en privacybescherming

10 10 13 mei 2009 Frank Robben Vrij verkeer – bepaling Richtlijn Artikel 1 - Onderwerp van de richtlijn 1.De Lid-Staten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer. 2.De Lid-Staten mogen het vrije verkeer van persoonsgegevens tussen Lid-Staten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.

11 11 13 mei 2009 Frank Robben Nochtans … sommige Lidstaten bemoeilijken of weigeren voor een goede overheidswerking nodige uitwisseling van persoonsgegevens naar andere Lidstaten die de Richtlijn correct hebben geïmplementeerd in het nationale recht geen nood aan wijziging van de Richtlijn wel wenselijkheid van –informatiecampagne omtrent deze bepaling van de Richtlijn –formeel machtigingsorgaan of minstens bemiddelingsorgaan binnen de Europese Commissie in geval van problemen tussen Lidstaten –effectief sanctiesysteem bij niet-naleving van deze bepaling door een Lidstaat

12 u ! Opmerkingen of vragen ?


Download ppt "Informatieveiligheid Waarborgen van vrij verkeer van persoonsgegevens Frank Robben Lid Commissie Bescherming Persoonlijke Levenssfeer (CBPL) Administrateur-generaal."

Verwante presentaties


Ads door Google