De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Compliance data retention 9-11-2005René van den Assem Wet- en regelgeving, inhoudelijke oplossingsrichtingen.

Verwante presentaties


Presentatie over: "Compliance data retention 9-11-2005René van den Assem Wet- en regelgeving, inhoudelijke oplossingsrichtingen."— Transcript van de presentatie:

1 Compliance data retention René van den Assem Wet- en regelgeving, inhoudelijke oplossingsrichtingen

2 2 Inhoud  Algemene wet- en regelgeving  Bewaren versus weggooien, relatie met WBP  Specifieke wet- en regelgeving  Code of conduct  Praktische oplossingsrichtingen, records management en elektronische handtekeningen

3 3 Algemene wetgeving  Algemene plicht tot bewaren van administratie en financiële gegevens (7 jaar) (vermogenpositie van bedrijf, BW 2:10)  Eisen aan vorm administratie in Wet Rijksbelastingen  Specifieke bepalingen voor o.m. onroerende zaken  Regelgeving –E-commerce, e-facturen, e-handtekeningen  Corporate governance regels en interne controle –Nationaal, B.v. Turnbull (UK)  Bewijsvoering in juridische zaken  wie bewaart die heeft wat; weggooien wordt minder geaccepteerd

4 4 weg, kan dat nog ?

5 5

6 6 Beursgenoteerd in USA, straks ook in EU?  Sarbanes-Oxley –Versterking interne controle –Bewaren gegevens interne controle, audits (5 / 7 jaar) incl. basismateriaal  SEC rule 17a –Internet / 3-6 jaar bewaren –Integriteit / authenticiteit opgeslagen documenten (non-erable, non-rewriteable) –Makkelijke, vlotte toegankelijkheid  International Accounting Standards, IFRS

7 7 Specifieke wet- en regelgeving  Veelal specifieke regels per sector  Financiële instellingen –Wet Toezicht Kredietwezen, Regeling Organisatie en Beheersing  Medische instellingen –Medische gegevens 10 jaar, tijdelijk 15 jaar, …  Overheid –Archiefwet  Telecom, ISP’s –Verkeersgegevens, factuurgegevens, e-handtek

8 8 Privacy, beperking voor bewaren?  WBP vaak gezien als beperkende factor voor bewaren, “niet langer dan noodzakelijk voor doeleinde” –Bij gerechtvaardigd en expliciet doel veel meer mogelijk dan vaak gedacht –Expliciete vrijstelling voor gegevens die in normale zakelijke verkeer aan de orde zijn  Gerelateerde specifieke anti-SPAM beperkingen  Soms expliciete beperking bewaartermijn (b.v. abonneegegevens in telecom)

9 9 Kortom  Diverse bewaartermijnen, sector- en soms product specifieke bewaartermijnen  Steeds meer soorten documenten worden bewaarplichtig, o.m.  Toenemende nadruk op integriteit en authenticiteit van opgeslagen documenten en volledigheid opslag –Toenemende vraag naar expliciete autorisatieschema’s en sluitende security –Record Management en Archivering Best practices en technische eisen Gebruik van onuitwisbare media, digitale handtekeningen om authenticiteit te garanderen

10 10 Hoe is dat bij u? 2005 Electronic Records Management Survey (ca 2000 respondenten in records management hoek) Een paar punten  43% “does not include electronic records in retention & destruction schedules” (9% beter dan in 2003)  49% archiveert geen (16% beter dan in 2003)  SOX heeft serieuze impact op records management in 27% vd gevallen, beperkte impact in 34% vd gevallen

11 11 Naar de Code of conduct  Intern, maar ook extern  Onderwerpen –Welke gegevens bewaren en welke niet? –Hoelang bewaren we wat? –Hoe regelen we toegang, ook op lange termijn? (digitale duurzaamheid)

12 12 Elektronisch archiefstuk Wat eisen we van een elektronisch archiefstuk?  Integriteit  Nauwkeurigheid  Authenticiteit  Toegankelijkheid Twee uitwerkingsaspecten  Elektronische handelingen onweerlegbaar maken  Elektronisch archief technisch beveiligen

13 13 Richtlijn EHT, rechtsgeldigheid  General principle (art. 5.2): Legal effect for all electronic signatures  Second principle (art.5.1): certain electronic signatures get the same legal effect as hand-written signature Electronic signatures Advanced electronic signatures Qualified signature: advanced electronic signature + qualified certificate + secure signature creation device Qualified signatures

14 14 Wet elektronische handtekeningen (2003)  Burgerlijk Wetboek –Boek 3: rechtsgevolgen, internationale aspecten –Boek 6: aansprakelijkheid  Telecommunicatiewet –Definities, identificatieplicht, toezicht, verwerking van persoonsgegevens  Besluit elektronische handtekeningen –Eisen voor gekwalificeerde handtekeningen (gekwalificeerd certificaat, CSPs, veilige middelen)  Regeling elektronische handtekeningen –Standaarden. Gebruikt u die, dan voldoet u aan bijbehorende eisen uit besluit.

15 15 EESSI, samenhangende standaarden, meerdere niveaus First priority

16 16 Requirements for CSPs ETSI TS Trustworthy Systems CWA 14167,1-3 Signature creation device CWA CWA Signature creation process and environment CWA Qualified certificate ETSI Signature format and syntax ETSI TS Signature validation process and environment CWA Time stamping ETSI TS User / signer Relying party / verifier Certification service provider Conformity assessment Guidance, CWA Parts1-5

17 17 EESSI, wat is bereikt  Samenhangend pakket van standaarden  Erkenning door EC / lidstaten van relevante stnds  Policy standaarden, m.n. TS breder opgepakt, o.a. Frankrijk, Nederland, Italië  Internationale speler. samenwerking met W3C, IETF PKIX, APEC, Asia PKI Forum, USA Federal PKI  Signature format (ETSI TS , en XML versie ETSI TS of XAdES), basis voor implementaties en initiatieven Meer over EESSI:

18 18 Elektronische en digitale handtekening in RMA  Welke vorm wanneer voldoende betrouwbaar? –Algemene elektronische handtekening, b.v. de ingescande handtekening –Digitale handtekening  Digitale handtekening als interne paraaf?  Integriteit in DMS/RMA gehandhaafd met digitale handtekening  Wat op te slaan bij een digitale handtekening? –De handtekening zelf? –De context van het proces waarin deze is gebruikt?

19 19 Wat opslaan, geen uitgemaakte zaak (nog steeds niet) Voor  Dichtste bij ‘origineel’  Overtuigende reconstructie op basis van een enkel document, niet een totaal archief  Complexiteit beperkt ten opzichte van andere technische uitdagingen (migratie, emulatie, universeel document formaat) en te isoleren Tegen  Technische complexiteit (alle algoritmes moeten ‘aan boord’ zijn)  Digitale handtekeningen snel verouderd als bewijs. Veroudering cryptografie. Vraagt actief onderhoud.  Digitale handtekening  alleen kloppend bij bit-exacte documenten. Alleen emulatie ondersteund.

20 20 Mogelijke lijn  Bij mogelijke juridische conflicten –Kunnen reconstrueren ten overstaan van rechter. 10, 20 jaar of meer? –Digitale handtekening + certificaat (hiërarchie) + bewijs van status van certificaat kort na moment van ondertekening –Vraagt reeds lange termijn mechanismen  Voor historische verantwoording. –Terugval mogelijk naar opslaan van contextuele info waaruit de controle op de elektronische handtekening blijkt.

21 21 Lange termijn archivering  EESSI: vormen van elektronische handtekening.  ETSI TS en XML variant ETSI TS  XML-variant basis voor diverse implementaties en initiatieven, o.m. OpenXAdES  Rijkdom aan opties voor time-stamping en archivering. Korte termijn handtekening:

22 22 Lange termijn archivering  Middellange termijn  Lange termijn

23 23 Meer informatie? Verdonck, Klooster & Associates Baron de Coubertinlaan EN Zoetermeer Tel: Fax:


Download ppt "Compliance data retention 9-11-2005René van den Assem Wet- en regelgeving, inhoudelijke oplossingsrichtingen."

Verwante presentaties


Ads door Google