Informatieveiligheid Waarborgen van vrij verkeer van persoonsgegevens Frank Robben Lid Commissie Bescherming Persoonlijke Levenssfeer (CBPL) Administrateur-generaal Kruispuntbank Sociale Zekerheid Sint-Pieterssteenweg 375 B-1040 Brussel E-mail: Frank.Robben@ksz.fgov.be Website CBPL: www.privacycommission.be Persoonlijke website: www.law.kuleuven.be/icri/frobben
Informatieveiligheid – bepaling Richtlijn Artikel 17 - Beveiliging van de verwerking De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking. Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich brengen.
Informatieveiligheid absolute veiligheid is terecht geen na te streven doel, want dan gaan enorme opportuniteiten inzake efficiëntie en effectiviteit verloren artikel van Richtlijn vereist geen aanpassing, waar het maatregelen vereist om een passend beveiligingsniveau te waarborgen in functie van de risico’s en de aard van de verwerkte gegevens, en rekening houdend met de stand van de techniek en de kosten van tenuitvoerlegging wel nuttig zouden kunnen zijn een ondersteunende methodologie voor risico-analyse en -beheer een precisering van de informatieveiligheidsdomeinen waarop maatregelen nodig kunnen zijn best practices waar nuttig stapsgewijze verfijnd per sector
Risico-analyse en -beheer als basis informatieveiligheid = vermijden van schade aan informatie en informatieverwerkende systemen, en aan alle betrokkenen (informatiesubjecten, gebruikers, …) nood aan aandacht zowel voor rechtstreekse schade als voor gereflecteerde schade, waarop risico toeneemt naarmate banden tussen informatie(systemen) groter zijn risico = elke externe en interne factor die de informatieveiligheid kan bedreigen nood aan aandacht voor maatregelen op 3 niveaus hoe schade vermijden ? hoe schade beperken als ze zich voordoet ? hoe schade die zich heeft voorgedaan zo goed mogelijk herstellen ?
Risico-analyse en -beheer als basis informatieveiligheid impliceert aandacht voor risico’s op vlak van juistheid en integriteit beschikbaarheid vertrouwelijkheid niet-weerlegbaarheid authenticiteit auditeerbaarheid van de informatie en de informatieverwerkende systemen
Enkele soorten bedreigingen menselijke bedreigingen opzettelijk intern: eigen werknemers, werknemers van onderaannemers, … ongeautoriseerde toegang, sabotage, diefstal, … extern: hackers, spionnen, concurrenten, … ongeautoriseerde toegang, sabotage, inbraak, … niet opzettelijk intern: eigen werknemers, werknemers van onderaannemers fout, nalatigheid, onvoldoende awareness, … extern: klanten, partners, leveranciers, … fout, nalatigheid, onveiligheid van hun systemen, … fysische bedreigingen stroomonderbreking, aardbeving, brand, overstroming, vocht, temperatuurschommelingen, …
Methode voor risicobeheer identificatie van de risico’s evaluatie van de risico’s waarschijnlijkheid impact controleerbaarheid bepalen van de aanvaardbare niveaus van risico’s identificatie en analyse van de bestaande risicobeheers-maatregelen evaluatie van de bestaande risicobeheersmaatregelen analyse van de verdere risicobeheersopties definitie van een actieplan voor risicobeheer monitoring
Informatieveiligheidsdomeinen ISO 27000-reeks, in het bijzonder ISO 27002 risk assessment and treatment security policy: management direction organization and governance of information security governance of information security asset management: inventory and classification of information assets human resources security: security aspects for employees joining, moving and leaving an organization physical and environmental security: protection of the computer facilities communications and operations management: management of technical security controls in systems and networks access control: restriction of access rights to networks, systems, applications, functions and data
Informatieveiligheidsdomeinen ISO 27000-reeks, in het bijzonder ISO 27002 information systems acquisition, development and maintenance: building security into applications (immunity) information security incident management: anticipating and responding appropriately to information security breaches business continuity management: protecting, maintaining and recovering business-critical processes and systems compliance: ensuring conformance with information security policies, standards, laws and regulations eventueel toe te voegen bijzondere eisen bij de verwerking van persoonsgegevens communicatie over het beleid en de maatregelen inzake informatieveiligheid en privacybescherming
Vrij verkeer – bepaling Richtlijn Artikel 1 - Onderwerp van de richtlijn De Lid-Staten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer. De Lid-Staten mogen het vrije verkeer van persoonsgegevens tussen Lid-Staten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.
Nochtans … sommige Lidstaten bemoeilijken of weigeren voor een goede overheidswerking nodige uitwisseling van persoonsgegevens naar andere Lidstaten die de Richtlijn correct hebben geïmplementeerd in het nationale recht geen nood aan wijziging van de Richtlijn wel wenselijkheid van informatiecampagne omtrent deze bepaling van de Richtlijn formeel machtigingsorgaan of minstens bemiddelingsorgaan binnen de Europese Commissie in geval van problemen tussen Lidstaten effectief sanctiesysteem bij niet-naleving van deze bepaling door een Lidstaat
D@nk u ! Opmerkingen of vragen ?