Privacykennisgroep Mr. dr. A.W. Duthler Drs. A.J. Biesheuvel RA RE 8 april 2013 10.00u-13.00u Algemene voorwaarden doornemen. Interactie! Waar ligt jullie interesse?

Agenda Introductie Stand van zaken & actualiteiten Europese Privacy Verordening (hierna: “EPV”) Voorbereiding implementatie EPV: - Invulling functie van de Functionaris; Gegevensbescherming (hierna: “FG”); - Intern privacybeleid; - Governance en compliance Agenda 2013

Stand van zaken & actualiteiten EPV; Voorstel richtlijn netwerk- en informatiebeveiliging (E130011); Voorstel verordening elektronische identificatie en vertrouwensdiensten (E120015). EPV: op 8 maart vond een orienterend debat in de Raad. Op 20 maart heeft de LIBE commissie de amendementen besproken die zijn ingediend bij het ontwerpverslag van rapporteur Jan Philipp Albrecht. Er zijn 3133 amenementen ingediend. 29 mei wordt er in de LIBE commissie. Voorstel voor een richtlijn betreffende maatregelen die een hoog gemeenschappelijk niveau van netwerk- en informatieveiligheid waarborgen in de EU, van 7 februari 2013. Nederland ondersteunt het voorstel in grote lijnen. Nl pleit voor bestaande structuren en aansluiting bij bestaande, geaccepteerde standaarden zoals ISO 27001 / 27003. Bezorgt dat fragmentatie op het gebied van meld- en zorgplichten verder dreigt toe te nemen. SvZ E120015: Europees parlement zal naar verwachting rond de zomer in 2013 zijn positie bepalen.

Voorstel richtlijn NIB Aanleiding: Een groeiend aantal beveiligingsincidenten met informatiesystemen. Systemen kennen geen grenzen. Ingrijpende verstoringen in één lidstaat worden voelbaar in andere lidstaten en in de EU als geheel. Samen met de mededeling van de Europese Commissie over de Europese strategie voor cyberbeveiliging. Voor de bedrijven bestaat geen adequate verplichting om risicobeheermaatregelen te nemen en informatie uit te wisselen met betrokken autoriteiten. Bedrijven worden onvoldoende gestimuleerd om een ernstig risicobeheerbeleid (risico’s beoordelen en maatregelen treffen) te voeren, en anderzijds dat een groot aandeel van de incidenten niet tot de bevoegde autoriteiten doordringt in onopgemerkt blijft. Nu alleen telecombedrijven meldingsplicht.

Voorstel richtlijn NIB Normadressaten: Exploitanten van kritieke infrastructuur; Essentiële aanbieders van infomijdiensten; Overheden; Verplichting: - Adequate maatregelen treffen om beveiligingsrisico’s te beheren; - Ernstige incidenten rapporteren. Exploitaiten van kritieke infrastructuren: energie en transport, banken en beurzen, lucht- spoor- en zeevervoer, gezondheid. Essentiele aanbieders: platforms voor elektronische handel en sociale netwerken. Platforms voor elektronische handel, gateways voor internetbetalingen, soiaalnetwerksites, zoekmachines, cloudcomputingdiensten en internetwinkels die applicaties aanbieden. Softwareontwikkelaars en hardwarefabrikanten zijn uitgesloten (geen aanbieders van diensten van de informatiemaatschappij). Beveiligings- en meldingsverplichtingen gelden voor deze partijen, ongeacht of zij het onderhoud van hun netwerk- of informatiesysteem intern verrichten, danwel uitbesteden. Meldplicht in EPV niet voldoende. Een datalek dat geen risico inhoudt voor persoonsgegevens, hoeft niet te worden gemeld. Bijv. Het uitvallen van de ICT bij een electriciteitsbedrijf als gevolg van een stroompanne.

Voorstel richtlijn NIB Meldingsplicht: Bevoegde autoriteiten moeten de nodige aandacht besteden aan de instandhouding van informele en vertrouwde kanalen voor info-uitwisseling tussen marktdeelnemers en publieke en private sector; Bij bekendmaking van gemelde incidenten afweging tussen het belang van het publiek om te worden geïnformeerd en mogelijke commerciële en imagoschade. Exploitaiten van kritieke infrastructuren: energie en transport, banken en beurzen, lucht- spoor- en zeevervoer, gezondheid. Essentiele aanbieders: platforms voor elektronische handel en sociale netwerken. Platforms voor elektronische handel, gateways voor internetbetalingen, soiaalnetwerksites, zoekmachines, cloudcomputingdiensten en internetwinkels die applicaties aanbieden. Softwareontwikkelaars en hardwarefabrikanten zijn uitgesloten (geen aanbieders van diensten van de informatiemaatschappij). Beveiligings- en meldingsverplichtingen gelden voor deze partijen, ongeacht of zij het onderhoud van hun netwerk- of informatiesysteem intern verrichten, danwel uitbesteden. Meldplicht in EPV niet voldoende. Een datalek dat geen risico inhoudt voor persoonsgegevens, hoeft niet te worden gemeld. Bijv. Het uitvallen van de ICT bij een electriciteitsbedrijf als gevolg van een stroompanne.

Voorstel richtlijn NIB Samenhang met meldingsplicht EPV: Bevoegde autoriteiten moeten samenwerken met CBP en informatie uitwisselen; Administratieve lasten zoveel mogelijk verminderen; ENISA kan info-uitwisselingsmechanismen en modellen ontwikkelen zodat er geen twee meldingsmodellen nodig zijn. Exploitaiten van kritieke infrastructuren: energie en transport, banken en beurzen, lucht- spoor- en zeevervoer, gezondheid. Essentiele aanbieders: platforms voor elektronische handel en sociale netwerken. Platforms voor elektronische handel, gateways voor internetbetalingen, soiaalnetwerksites, zoekmachines, cloudcomputingdiensten en internetwinkels die applicaties aanbieden. Softwareontwikkelaars en hardwarefabrikanten zijn uitgesloten (geen aanbieders van diensten van de informatiemaatschappij). Beveiligings- en meldingsverplichtingen gelden voor deze partijen, ongeacht of zij het onderhoud van hun netwerk- of informatiesysteem intern verrichten, danwel uitbesteden. Meldplicht in EPV niet voldoende. Een datalek dat geen risico inhoudt voor persoonsgegevens, hoeft niet te worden gemeld. Bijv. Het uitvallen van de ICT bij een electriciteitsbedrijf als gevolg van een stroompanne.

Voorstel richtlijn NIB Normalisatie van beveiligingseisen is marktgestuurd proces; Lidstaten moeten naleving en afstemming op specifieke normen aanmoedigen om hoog niveau te waarborgen; Het kan nodig zijn om geharmoniseerde normen op te stellen.

Voorstel richtlijn NIB Commissie bevoegd om handelingen vast te stellen mho op bepalen van criteria voor deelname aan beveiligde info-uitwisselingssysteem; Idem voor verdere omschrijving van de gebeurtenissen die tot vroegtijdige waarschuwing leiden; Idem voor bepaling omstandigheden waarin marktdeelnemers en overheden verplicht zijn incidenten te melden.

Voorstel richtlijn NIB Commissie uitvoeringsbevoegdheden o.m. voor de formaten en procedures om het publiek in te lichten over incidenten; Idem voor NIB relevante normen en/of technische specificaties; Idem voor bepaling omstandigheden waarin marktdeelnemers en overheden verplicht zijn incidenten te melden.

Voorstel richtlijn NIB Netwerk- en informatiesysteem: Een elektronisch communicatienetwerk; Een apparaat of groep van apparaten, waarvan een of meer, ovkig een programma, computergegevens automatisch verwerkt of verwerken; Computergegevens die met onder a.) of b.) bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden mho op de werking, het gebruik, de beveiliging en het onderhoud ervan.

Voorstel richtlijn NIB Beginsel: De lidstaten waarborgen een hoog beveiligingsniveau van de netwerk- en informatiesystemen op hun grondgebied. NIB-strategie NIB-samenwerkingsplan Nationale Autoriteit

Nationale Beveiligingsautoriteit Bevoegdheden: Onderzoek; Informatieverschaffingsplicht; Te verplichten een beveiligingsaudit te ondergaan; Bindende instructies. Samenwerking met CBP om datalekken aan te pakken.

Sancties Doeltreffend, evenredig en afschrikkend; Sancties op datalekken in overleg met sancties van EPV.

Samenhang met internationale ontwikkelingen EU-VS werkgroep inzake cyberbeveiliging en cybercriminaliteit; OESO; Algemene Vergadering van de VN; ITU; OVSE; WSIS; Forum voor internetbeheer. WSIS: Wereldtop over de informatiemaatschappij OVSE: Organisatie voor Veiligheid en Samenwerking in Europa.

Voorstel verordening e-ID en vertrouwensdiensten Doel: burgers en bedrijven krijgen mogelijkheid hun e-ID’s te gebruiken om toegang te krijgen tot overheidsdiensten in andere EU-landen; Bevordering interne markt voor elektronische handtekeningen en aanverwante trust services; Huidige richtlijn regelt alleen de elektronische handtekening. Technologie neutraal. eID’s: elektronische identiteitskaarten of andere eID oplossingen. Betrouwbaarheid in een online omgeving is de sleutel voor economische ontwikkeling Voorbeelden: studenten zullen zich elektronisch aan een buitenlandse universiteit kunnen inschrijven; burgers kunnen hun belastingaangiftre online in een andere lidstaat indienen of een patient kan zijn medische dossier online raadplegen. Zonder wederzijds erkende elektronische identificatie kan een dokter de medische gegevens die hij nodig heeft om een patient te kunnen behandelen niet raadplegen moeten de onderzoeken opnieuw worden utigevoerd . Probleem op dit moment: verschillende nationale bepalingen als gevolg van verschillende interpretaties van de richtlijn elektronische handtekening; gebrek aan interoperabiliteit van de systemen voor elektronische handtekeningen.

Voorstel verordening e-ID en vertrouwensdiensten Wederzijdse erkenning en aanvaarding van elektronische identificatiemiddelen als ze onder een aangemelde regeling vallen; Lidstaten kunnen regelingen (stelsels van elektronische identificatie) aanmelden die zij onder hun jurisdictie aanvaarden waarbij elektronische identificatie vereist is. Regelingen: elektronische identificatieregelingen 17

Voorstel verordening e-ID en vertrouwensdiensten Voorwaarden voor aanmelding stelsels voor elektronische identificatie (1 t/m 4): 1.) de elektronische identificatiemiddelen zijn afgegeven door, namens of onder verantwoordelijkheid van de aanmeldende lidstaat; 2.) de elektronische identificatiemiddelen kunnen worden gebruikt om toegang te krijgen tot ten minste overheidsdiensten waarvoor elektronische identificatie vereist is in de aanmeldende lidstaat;

Voorstel verordening e-ID en vertrouwensdiensten Voorwaarden voor aanmelding stelsels voor elektronische identificatie (vervolg): 3.) de aanmeldende lidstaat waarborgt de beschikbaarheid van een online- authenticatiemogelijkheid, op ieder moment en gratis; 4.) de aanmeldende lidstaat stelt zich aansprakelijk voor de ondubbelzinnige koppeling van de persoons- identificatiegegevens en de authenticatiemogelijkheid.

Voorstel verordening e-ID en vertrouwensdiensten Definitie gekwalificeerde elektronische handtekening: ‘Een geavanceerde elektronische handtekening die wordt aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen’. Heeft dezelfde rechtsgeldigheid als een handgeschreven handtekening (art. 20). Gekwalificeerd certficaat: bijlage I Gekwalificeerd middel: bijlage II 20

FG Wordt aangewezen o.g.v. zijn professionele kwaliteiten, m.n.: Deskundigheid wetgeving; Deskundigheid praktijk gegevensbescherming; Vermogen om zijn taken te vervullen. Niveau van deskundigheid wordt bepaald door gegevensverwerking en de vereiste bescherming. Artikel 35 lid 5

Taken FG (1 t/m 7) 1.) Informeren en adviseren; 2.) Toezien op privacybeleid van de verantwoordelijke of verwerker, inclusief de toewijzing van verantwoordelijkheden, opleiding en audits; 3.) Toezien op verordening, m.n. PbD, gegevens- beveiliging en actieve informatieplicht.

Taken FG 4.) Bewaren van documentatie; 5.) Toezien op documenteren, melden en meededelen van inbreuken i.v.m. persoonsgegevens; 6.) Toezien op PIA en op verzoek voorafgaande toestemming en raadpleging; 7.) Contactpunt voor CBP

FG Commissie kan gedelegeerde handelingen vaststellen voor nadere invulling van de criteria en de vereisten voor de taken, certificering, positie, bevoegdheden en middelen van de FG.

Leergang FG Formeel juridisch Positie van de FG Leergang FG Privacy beleid Governance & Compliance Overzicht & inzicht --- Informatie- & documentatieplicht Rechten betrokkene PIA --- PbD * 2 Beveiliging Bewaarplicht --- Dataportabiliteit Melden datalekken Formeel juridisch Wet- en regelgeving – aanpalend - internationaal Positie van de FG Beleid – positie – taken, bevoegdheden en verantwoordelijkheden

Onderwerpen Leergang Leergang FG Cursusonderwerpen (© Duthler Associates) FG Jurist ISO AO/IT MW A Formeel Juridisch A1 Inleiding in wetgeving omtrent identity & privacy A2 De EPV A3 De EPV in internationaal perspectief A4 Casus van WBP naar EPV, wat verandert er A5 Privacy en aanpalende wetgeving (Europese aanbesteding, elektronische handtekening) A6 Contracten, contractbeheer en doorwerking in contracten met verwerker B Governance & Compliance B1 De FG, taken bevoegdheden en verantwoordelijkheden B2 EPV en privacy beleid, policy privacy framework en baseline B3 C Materieel, opzet, bestaan en werking van maatregelen en mechanismen C1 Overzicht & inzicht in de verantwoordelijkheden C2 Transparantie en uitoefenen van rechten aan betrokkenen bieden C3 Informatiebeveiliging de basis voor privacybescherming C4 Identity & privacy management C5 Privacy by design & privacy by default D Assessment en audit D1 Privacy Impact Assessment (PIA) D2 Privacy en informatiebeveigingsaudit E Varia E1 Bewaarplicht E2 Gegevensoverdraagbaarheid (data portabiliteit) E3 Profiling E4 Datalekken en nu? Onderwerpen Leergang

Relatie leergang : professionals Leergang FG Relatie leergang : professionals AO / IT professionals FG Jurist Information security officer

Doelen kennis- en ervaringsgroepen  Delen kennis en ervaringen tussen kwartiermakers ..vervolgens..  tussen deelnemers in een sectoren ..vervolgens.. tussen privacy contactpersonen organisatie

Opbouw van de EPV community Kennis- en ervaringsgroepen Opbouw van de EPV community Wet- en regelgeving Sector specifieke informatie Bedrijfs-implementaties PKI bedrijfsdomein Governance & compliance Afsprakencomplex Kennis- en ervaringscenter Governance & compliance Afsprakencomplex Kennis- en ervaringscenter

Kennis- en ervaringsgroepen Wet- en regelgeving EPV, aanpalende – internationale – wetgeving en de ontwikkeling totstandkoming, implementatie en toezicht; Georganiseerd raken van de (internationale) toezichthouders; Invloed op en reactie van aanpalende wetten en regels; Gevolgen voor goed bestuur; Actualiteiten en nieuws. Redactie: Duthler Associates met als gezicht Anne-Wil

Intern privacybeleid Doel: er voor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens i.o.m. verordening wordt uitgevoerd. In ieder geval: toewijzing verantwoordelijkheden, opleiding van personeel en audits; In ieder geval: privacy by design, privacy by default en gegevensbeveiliging; In ieder geval: actieve infoplicht en uitoefening rechten betrokkene. Art. 37 lid 2.

Governance en Compliance Beleid = voorwerp van governance(codes) / effectiviteit en efficiëntie; Materialiteit risico’s; Rapportageverplichting accountant en RvT / RvC.

Agenda 2013 Gaat om de richting … Kennis- en ervaringsgroepen Q1 Q2 Q3 Onderwerpen Wet- en regelgeving A1 - Inleiding Identity & Privacy Inleiding Ontwikkelingen A2 – EPV De wet Update A3 - EPV internationaal Overzicht A4 - Casus van WBP naar EPV Casus A5 - Aanpalende wetgeving Uitwerking A6 – Contractbeheer Aanpak Governance & Compliance B1 - FG, taken, bevoegdheden en verantwoordelijkheden Contouren B2 - Ontwikkelen van beleid B3 - Governance & compliance Gaat om de richting …

Vragen? Gemiste onderwerpen? Werkvorm? Volgende keer? Evaluatie Vragen? Gemiste onderwerpen? Werkvorm? Volgende keer?