Informatieveiligheid Waarborgen van vrij verkeer van persoonsgegevens

Slides:



Advertisements
Verwante presentaties
De E-government strategie van de federale overheid Kruispuntbank Sociale Zekerheid Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid.
Advertisements

Enkele ideeën voor de uitbouw van een E-health omgeving op basis van de ervaringen inzake gecoördineerd informatiebeheer in de sociale sector Frank Robben.
De rol van de steden en gemeenten in het E-government van de sociale sector KSZ-BCSS Kruispuntbank van de Sociale Zekerheid Frank Robben Administrateur-generaal.
Organisatorische gevolgen van de privacywetgeving
Het belang van risicomanagement voor vastgoedbeheerders
Informatiebeveiliging
8 november 2006Frank Robben. Gebruikers- en toegangsbeheer: beschikbare diensten Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid.
Kritische succesfactoren voor de uitbouw van E-government
Subsetten & Anonimiseren
Hoofdstuk 4 - Systems Onderscheid naar systemen en processen Systemen
Testdata Management Ketentest
Seminarie: diefstal op werven Departement Security, Emile Peeters.
Gegevensbeheer Karin Diederiks KOAC•NPC.
INTERNE AUDIT : uw partner ? MBA-dinnercauserie 7 februari 2002 Rudi Hex, cia Hoofdauditor kredieten KBC.
Taakverdeling inzake beleidsondersteuning i/d sociale zekerheid (Gent, maart 2011)
20 jaar veilige elektronische gegevensuitwisseling in de sociale sector met respect voor de persoonlijke levenssfeer Frank Robben Administrateur-generaal.
Tips voor de succesvolle uitbouw van E-government KSZ-BCSS Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Strategisch adviseur FEDICT.
eGovernment, eHealth en bescherming van de privacy
omzetting van de richtlijn 2006/123/CE FOD Sociale Zekerheid – Van De Sande J.M. FOD Economie – AD Economisch Potentieel.
Hoofdstuk 11 Vrij kapitaalverkeer. (2/14) Het vrije kapitaalverkeer (inclusief het vrije betalingsverkeer) wordt gewaarborgd door artikel 56 van het Verdrag:
Evaluatie van de sensibiliseringsacties van de OCMW's Engender asbl.
Beveiliging van digitale informatie: enkele uitdagingen voor de overheid Frank Robben Algemeen bestuurder Kruispuntbank Sociale Zekerheid Gedelegeerd bestuur.
Verwerking van biometrische gegevens in de administratieve rechtshandhaving Beschouwingen inzake de bescherming van de persoonlijke levenssfeer Frank.
Gezondheidszorg en elektronische gegevensuitwisseling: hoe samenwerken zonder besmet te raken ? Enkele ideeën voor de uitbouw van een E-health omgeving.
Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid en eHealth-platform Gedelegeerd bestuurder Smals vzw Sint-Pieterssteenweg 375 B-1040.
KSZ-BCSS Frank ROBBEN – Administrateur-generaal Kruispuntbank van de Sociale Zekerheid Veralgemeend gebruik van de elektronische identiteitskaart in de.
Recht en vooruitgang Gevalstudie van de Kruispuntbank Sociale Zekerheid en het eHealth-platform Frank Robben Administrateur-generaal Kruispuntbank Sociale.
Tele-monitoring …welke zijn de juridische verplichtingen en beperkingen? Brendan Van Alsenoy
Affligem, 23 april 2003 V-ICT-OR SHOPT IT. Affligem, 23 april 2003 Gebrek aan regelgeving, nood aan duidelijkheid oplossing : e-policy ? wettelijke beperkingen.
Introductie OHSAS
september 2009 Aanbevelingen van Compliance professionals
E-Government binnen de sociale zekerheid
Quick scan Janneke Delisse, Renée van Os, Jan Jurriëns
Een zorgsysteem voor betere arbeidsomstandigheden
Internal Compliance Program WAT is ICP ICP = Internal Compliance Program Verzamelnaam Mechanisme van interne bedrijfscontrole op het vlak van supply.
DE ARBOWET In deze presentatie zal worden ingegaan op de hoofdlijnen van de Arbeidsomstandighedenwet (Arbowet), zoals deze er uit ziet na de wijziging.
Beheer Elkey externen Jeroen François Security Manager.
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
Scoring in het licht van de WBP Serge van Nuijs DMSA,
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
De compliance functie en beloningsbeleid VCO, 6 maart 2012 Janet Visbeen
Doelstellingen, Implementatie en Ervaringen met Single Sign On.
Open data en Wet hergebruik overheidsinformatie Utrecht 29 oktober 2015 Tjeerd Schiphof /
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Gebruikers- ondersteuning Change support Tactisch support Strategisch support Management support Monitoring Educatie Management- informatie Behoefte- management.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Gij zult openbaren: privacy en de open overheid
Meld plicht Datalekken
Grip & Controle op digitalisering
Strategisch support Management support Strategie Tactisch support
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Microsoft vs de rest “Wat biedt het Microsoft Cloudplatform en hoe kan dit bijdragen aan veilig, snel en schaalbaar werken binnen elke organisatie.” Thomas.
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
Studiedag Veilig organiseren van sportieve evenementen Overijse - 1 februari
Hergebruik van overheidsinformatie
Privacy en Leerplicht/RMC
Wet op de gegevensbescherming
HET SURINAAMS PERSPECTIEF
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
Implementatie van de Europese netwerkcodes in België
GDPR/AVG General Data Protection Regulation /
Strategisch support Management support Strategie Tactisch support
Privacy en Leerplicht/RMC
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
het Naoberhuis Algemene Verordening Gegevensbescherming
Passende technische en organisatorische beveiliging:
Transcript van de presentatie:

Informatieveiligheid Waarborgen van vrij verkeer van persoonsgegevens Frank Robben Lid Commissie Bescherming Persoonlijke Levenssfeer (CBPL) Administrateur-generaal Kruispuntbank Sociale Zekerheid Sint-Pieterssteenweg 375 B-1040 Brussel E-mail: Frank.Robben@ksz.fgov.be Website CBPL: www.privacycommission.be Persoonlijke website: www.law.kuleuven.be/icri/frobben

Informatieveiligheid – bepaling Richtlijn Artikel 17 - Beveiliging van de verwerking De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking. Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich brengen.

Informatieveiligheid absolute veiligheid is terecht geen na te streven doel, want dan gaan enorme opportuniteiten inzake efficiëntie en effectiviteit verloren artikel van Richtlijn vereist geen aanpassing, waar het maatregelen vereist om een passend beveiligingsniveau te waarborgen in functie van de risico’s en de aard van de verwerkte gegevens, en rekening houdend met de stand van de techniek en de kosten van tenuitvoerlegging wel nuttig zouden kunnen zijn een ondersteunende methodologie voor risico-analyse en -beheer een precisering van de informatieveiligheidsdomeinen waarop maatregelen nodig kunnen zijn best practices waar nuttig stapsgewijze verfijnd per sector

Risico-analyse en -beheer als basis informatieveiligheid = vermijden van schade aan informatie en informatieverwerkende systemen, en aan alle betrokkenen (informatiesubjecten, gebruikers, …) nood aan aandacht zowel voor rechtstreekse schade als voor gereflecteerde schade, waarop risico toeneemt naarmate banden tussen informatie(systemen) groter zijn risico = elke externe en interne factor die de informatieveiligheid kan bedreigen nood aan aandacht voor maatregelen op 3 niveaus hoe schade vermijden ? hoe schade beperken als ze zich voordoet ? hoe schade die zich heeft voorgedaan zo goed mogelijk herstellen ?

Risico-analyse en -beheer als basis informatieveiligheid impliceert aandacht voor risico’s op vlak van juistheid en integriteit beschikbaarheid vertrouwelijkheid niet-weerlegbaarheid authenticiteit auditeerbaarheid van de informatie en de informatieverwerkende systemen

Enkele soorten bedreigingen menselijke bedreigingen opzettelijk intern: eigen werknemers, werknemers van onderaannemers, … ongeautoriseerde toegang, sabotage, diefstal, … extern: hackers, spionnen, concurrenten, … ongeautoriseerde toegang, sabotage, inbraak, … niet opzettelijk intern: eigen werknemers, werknemers van onderaannemers fout, nalatigheid, onvoldoende awareness, … extern: klanten, partners, leveranciers, … fout, nalatigheid, onveiligheid van hun systemen, … fysische bedreigingen stroomonderbreking, aardbeving, brand, overstroming, vocht, temperatuurschommelingen, …

Methode voor risicobeheer identificatie van de risico’s evaluatie van de risico’s waarschijnlijkheid impact controleerbaarheid bepalen van de aanvaardbare niveaus van risico’s identificatie en analyse van de bestaande risicobeheers-maatregelen evaluatie van de bestaande risicobeheersmaatregelen analyse van de verdere risicobeheersopties definitie van een actieplan voor risicobeheer monitoring

Informatieveiligheidsdomeinen ISO 27000-reeks, in het bijzonder ISO 27002 risk assessment and treatment security policy: management direction organization and governance of information security governance of information security asset management: inventory and classification of information assets human resources security: security aspects for employees joining, moving and leaving an organization physical and environmental security: protection of the computer facilities communications and operations management: management of technical security controls in systems and networks access control: restriction of access rights to networks, systems, applications, functions and data

Informatieveiligheidsdomeinen ISO 27000-reeks, in het bijzonder ISO 27002 information systems acquisition, development and maintenance: building security into applications (immunity) information security incident management: anticipating and responding appropriately to information security breaches business continuity management: protecting, maintaining and recovering business-critical processes and systems compliance: ensuring conformance with information security policies, standards, laws and regulations eventueel toe te voegen bijzondere eisen bij de verwerking van persoonsgegevens communicatie over het beleid en de maatregelen inzake informatieveiligheid en privacybescherming

Vrij verkeer – bepaling Richtlijn Artikel 1 - Onderwerp van de richtlijn De Lid-Staten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer. De Lid-Staten mogen het vrije verkeer van persoonsgegevens tussen Lid-Staten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.

Nochtans … sommige Lidstaten bemoeilijken of weigeren voor een goede overheidswerking nodige uitwisseling van persoonsgegevens naar andere Lidstaten die de Richtlijn correct hebben geïmplementeerd in het nationale recht geen nood aan wijziging van de Richtlijn wel wenselijkheid van informatiecampagne omtrent deze bepaling van de Richtlijn formeel machtigingsorgaan of minstens bemiddelingsorgaan binnen de Europese Commissie in geval van problemen tussen Lidstaten effectief sanctiesysteem bij niet-naleving van deze bepaling door een Lidstaat

D@nk u ! Opmerkingen of vragen ?