Cursus informatiebeveiliging Eric Laermans – Tom Dhaene Juridische aspecten Cursus informatiebeveiliging Eric Laermans – Tom Dhaene

Informaticacriminaliteit en strafrecht Bekeken aspecten Informaticacriminaliteit en strafrecht Regelgeving rond bescherming van privacy Regelgeving rond elektronische handel Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Strafrecht Strafrecht geheel van regels dat gedragingen in onze samenleving strafbaar stelt strafwetboek bepaalt welke gedragingen strafbaar zijn (delictomschrijving) welke straffen voorzien zijn (strafmaat) hoe regels toegepast worden (procedures) wie bevoegd is voor handhaven van strafrecht evolueert met de tijd en met de maatschappij Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wat met informaticacriminaliteit? Strafrecht Wat met informaticacriminaliteit? strafrecht voor groot deel uit 19e eeuw niet altijd aangepast om aspecten van informatiemaatschappij te behandelen valt vervalsen van digitale handtekening onder “valsheid in geschriften”? waaronder valt “phishing”? is “stelen” van vertrouwelijke gegevens diefstal? is inbreken in computernetwerk te vergelijken met inbraak? is bijhouden van “gestolen” vertrouwelijke informatie heling? kan men bij huiszoeking toegang vragen tot bestanden die op extern systeem opgeslagen zijn? Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Strafrecht Nood aan aanpassingen wet van 2000-11-28 inzake informaticacriminaliteit gepubliceerd in Staatsblad van 2001-02-03 in werking getreden op 2001-02-13 generisch geschreven niet gebonden aan specifieke technologieën zorgt ervoor dat informaticacriminaliteit niet meer onbestraft blijft zeker geen vervanging van preventiemaatregelen overtreders zijn nu eenmaal mensen die zich niet aan regels/wetten houden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wetgeving of beveiliging? Wetgeving ≠ beveiliging 2005-05-11 Mike Luckovich Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wet inzake informatiecriminaliteit Verscheidene aspecten valsheid in informatica (art. 210bis) in boek II, titel III, hoofdstuk IV informaticabedrog (art. 504quater) in boek II, titel IX, hoofdstuk II misdrijven tegen de vertrouwelijkheid, integriteit en beschikbaarheid van informaticasystemen en van de gegevens die door middel daarvan worden opgeslagen, verwerkt of overgedragen (art. 550bis en 550ter) in boek II, nieuwe titel IXbis gelinkt aan art. 259bis en 314bis (afluisteren/geheim van privé-(tele)communicatie) wet 1994-06-30/49, van kracht sinds 1995-02-03 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wet inzake informatiecriminaliteit Valsheid in informatica (art. 210bis) via datamanipulatie vervalsen van juridisch relevante computergegevens bv. vervalsen/namaken van kredietkaarten, valsheid inzake "digitale contracten" gebruik maken van vervalste gegevens ≡ vervalsen strafmaat: 6 md tot 5 jr gevangenis en/of 26 tot 100 000 frank boete (poging) 6 md tot 3 jr gevangenis en/of 26 tot 50 000 frank boete kan verdubbeld worden bij herhaalde overtreding (binnen 5 jaar na uitspraak) van 1 van artikels uit vorige slide OPM. met opdeciemen en conversie 1 frank boete in strafwetboek ≡ 6€ boete effectief te betalen Art. 210bis. § 1. Hij die valsheid pleegt, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in te voeren in een informaticasysteem, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem te veranderen, waardoor de juridische draagwijdte van dergelijke gegevens verandert, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen.   § 2. Hij die, terwijl hij weet dat aldus verkregen gegevens vals zijn, hiervan gebruik maakt, wordt gestraft alsof hij de dader van de valsheid was.   § 3. Poging tot het plegen van het misdrijf, bedoeld in § 1, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot vijftigduizend frank of met een van die straffen alleen.   § 4. De straffen bepaald in de §§ 1 tot 3 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten bedoeld in de artikelen 259bis, 314bis, 504quater of in titel IXbis. ". Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wet inzake informatiecriminaliteit Informaticabedrog (art. 504quater) bedrieglijke gegevensmanipulatie om zich te verrijken bv. “phishing” strafmaat: 6 md tot 5 jr gevangenis en/of 26 tot 100 000 frank boete (poging) 6 md tot 3 jr gevangenis en/of 26 tot 50 000 frank boete kan verdubbeld worden bij herhaalde overtreding van 1 van artikels over informaticacriminaliteit (210bis, 259bis, 314bis, 504quater of titel IXbis) Art. 504quater. § 1. Hij die, voor zichzelf of voor een ander, een bedrieglijk vermogensvoordeel verwerft, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in een informaticasysteem in te voeren, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem te veranderen, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen.   § 2. Poging tot het plegen van het misdrijf bedoeld in § 1 wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot vijftigduizend frank, of met een van die straffen alleen.   § 3. De straffen bepaald in de §§ 1 en 2 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten bedoeld in de artikelen 210bis, 259bis, 314bis of in titel IXbis. ". Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wet inzake informatiecriminaliteit “Inbraak” in informaticasysteem (art. 550bis) dekt verschillende aspecten van hacking (ook pogingen) door buitenstaander (§1) misbruik door rechtmatige gebruiker (§2) “collaterale schade” van hacking (§3) met bedrieglijk opzet hackertools verzamelen, verspreiden (§5) opdrachtgeven (§6; strengst bestraft) “heling” (§7) strafmaat: van 3 md tot 5 jr gevangenis en/of 26 tot 200 000 frank boete afhankelijk van exact gepleegd misdrijf kan verdubbeld worden bij herhaalde overtreding van 1 van artikels over informaticacriminaliteit Art. 550bis. § 1. Hij die, terwijl hij weet dat hij daar toe niet gerechtigd is, zich toegang verschaft tot een informaticasysteem of zich daarin handhaaft, wordt gestraft met gevangenisstraf van drie maanden tot een jaar en met geldboete van zesentwintig frank tot vijfentwintig duizend frank of met een van die straffen alleen.   Wanneer het misdrijf, bedoeld in het eerste lid, gepleegd wordt met bedrieglijk opzet, bedraagt de gevangenisstraf zes maanden tot twee jaar.   § 2. Hij die, met bedrieglijk opzet of met het oogmerk om te schaden, zijn toegangsbevoegdheid tot een informaticasysteem overschrijdt, wordt gestraft met gevangenisstraf van zes maanden tot twee jaar en met geldboete van zesentwintig frank tot vijfentwintigduizend frank of met een van die straffen alleen.   § 3. Hij die zich in een van de gevallen bedoeld in de §§ 1 en 2 bevindt en :   1° hetzij de gegevens die worden opgeslagen, verwerkt of overgedragen door middel van het informaticasysteem op enige manier overneemt;   2° hetzij enig gebruik maakt van een informaticasysteem van een derde of zich bedient van het informaticasysteem om toegang te verkrijgen tot een informaticasysteem van een derde;   3° hetzij enige schade, zelfs onopzettelijk, veroorzaakt aan het informaticasysteem of aan de gegevens die door middel van het informaticasysteem worden opgeslagen, verwerkt of overgedragen of aan een informaticasysteem van een derde of aan de gegevens die door middel van het laatstgenoemde informaticasysteem worden opgeslagen, verwerkt of overgedragen;   wordt gestraft met gevangenisstraf van een jaar tot drie jaar en met geldboete van zesentwintig frank tot vijftigduizend frank of met een van die straffen alleen.   § 4. Poging tot het plegen van een van de misdrijven, bedoeld in §§ 1 en 2, wordt gestraft met dezelfde straffen.   § 5. Hij die, met bedrieglijk opzet of met het oogmerk om te schaden, gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem en waarmee de misdrijven, bedoeld in §§ 1 tot 4, gepleegd kunnen worden, opspoort, verzamelt, ter beschikking stelt, verspreidt of verhandelt, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen.   § 6. Hij die opdracht geeft of aanzet tot het plegen van een van de misdrijven, bedoeld in §§ 1 tot 5, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van honderd frank tot tweehonderdduizend frank of met een van die straffen alleen.   § 7 Hij die, terwijl hij weet dat gegevens bekomen zijn door het plegen van een van de misdrijven bedoeld in §§ 1 tot 3, deze gegevens onder zich houdt, aan een andere persoon onthult of verspreidt, of er enig gebruik van maakt, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen.   § 8. De straffen bepaald in de §§ 1 tot 7 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten bedoeld in de artikelen 210bis, 259bis, 314bis, 504quater of 550ter. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wet inzake informatiecriminaliteit “Data- en informaticasabotage” (art. 550ter) kwaadwillige verstoring van goede werking informatiesystemen schaden van data-integriteit (§§1 en 2) belemmeren van beschikbaarheid (§3) met bedrieglijk opzet ontwerpen, verspreiden van software hiervoor (§4) bv. malware, denial-of-service strafmaat: van 6 md tot 5 jr gevangenis en/of 26 tot 100 000 frank boete afhankelijk van exact gepleegd misdrijf kan verdubbeld worden bij herhaalde overtreding van 1 van artikels over informaticacriminaliteit Art. 550ter. § 1. Hij die, met het oogmerk om te schaden, rechtstreeks of onrechtstreeks, gegevens in een informaticasysteem invoert, wijzigt, wist, of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem verandert, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot vijfentwintigduizend frank of met een van die straffen alleen.   § 2. Hij die, ten gevolge van het plegen van een misdrijf bedoeld in § 1, schade berokkent aan gegevens in dit of enig ander informaticasysteem, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig frank tot vijfenzeventigduizend frank of met een van die straffen alleen.   § 3. Hij die, ten gevolge van het plegen van een van de misdrijven bedoeld in § 1, de correcte werking van dit of enig ander informaticasysteem geheel of gedeeltelijk belemmert, wordt gestraft met gevangenisstraf van een jaar tot vijf jaar en met geldboete van zesentwintig f rank tot honderdduizend frank of met een van die straffen alleen.   § 4. Hij die, met bedrieglijk opzet of met het oogmerk om te schaden, gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, ontwerpt, ter beschikking stelt, verspreidt of verhandelt, terwijl hij weet dat deze gegevens aangewend kunnen worden om schade te berokkenen aan gegevens of, geheel of gedeeltelijk, de correcte werking van een informaticasysteem te belemmeren, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen.   § 5. De straffen bepaald in de §§ 1 tot 4 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten bedoeld in de artikelen 210bis, 259bis, 314bis, 504quater of 550bis. ". Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Afluisteren Wet over afluisteren (art. 314bis) afluisteren van privé-(tele)communicatie waar men niet aan deelneemt, zonder toestemming van alle deelnemers (§1) gebruik maken van onwettig afgeluisterde communicatie (§2) poging op zelfde manier gestraft (§3) strafmaat: van 6 md tot 2 jr gevangenis en/of 200 tot 20 000 frank boete afhankelijk van exact gepleegd misdrijf kan verdubbeld worden bij herhaalde overtreding art. 259bis specifieker voor politie, rechters,… voor afluistering buiten gevallen bepaald door wet Art. 314bis. <Ingevoegd bij W 1994-06-30/49, art. 2; Van kracht : 03-02-1995> § 1. Met gevangenisstraf van zes maanden tot één jaar en met geldboete van tweehonderd frank tot tienduizend frank of met een van die straffen alleen wordt gestraft hij die :   1° ofwel, opzettelijk, met behulp van enig toestel privé-communicatie of -telecommunicatie, waaraan hij niet deelneemt, tijdens de overbrenging ervan, afluistert of doet afluisteren, er kennis van neemt of doet van nemen, opneemt of doet opnemen, zonder de toestemming van alle deelnemers aan die communicatie of telecommunicatie;   2° ofwel, met het opzet een van de hierboven omschreven misdrijven te plegen, enig toestel opstelt of doet opstellen.   § 2. Met gevangenisstraf van zes maanden tot twee jaar en met geldboete van vijfhonderd frank tot twintigduizend frank of met een van die straffen alleen wordt gestraft hij, die wetens, de inhoud van privé-communicatie of -telecommunicatie die onwettig afgeluisterd of opgenomen is of waarvan onwettig kennis genomen is, onder zich houdt, aan een andere persoon onthult of verspreidt, of wetens enig gebruik maakt van een op die manier verkregen inlichting.   Met dezelfde straffen wordt gestraft hij die, met bedrieglijk opzet of met het oogmerk te schaden, gebruik maakt van een wettig gemaakte opname van privé-communicatie of -telecommunicatie.   § 3. Poging tot het plegen van een der misdrijven bedoeld in § 1 of § 2 wordt gestraft zoals het misdrijf zelf.   § 4. De straffen gesteld in de §§ 1, 2 en 3 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak van een vonnis of een arrest houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten beoogd in artikel 259bis, §§ 1, 2 of 3, dat in kracht van gewijsde is gegaan. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wet inzake informatiecriminaliteit Enkele uitspraken: vonnis van de Correctionele Rechtbank van Eupen (4e Kamer), 15 december 2003 jongeman uit omgeving van Eupen probeerde binnen te breken in één van de computersystemen van internetdienstenleverancier Euregio.net maakte gebruik van programma dat automatisch wachtwoorden uitprobeerde pogingen mislukten, kort daarna opgepakt. veroordeeld wegens computerinbraak (art. 550bis) opschorting van strafuitspraak + schadevergoeding van 1000 € aan Euregio.net. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wet inzake informatiecriminaliteit Enkele uitspraken: Vonnis van de Correctionele Rechtbank van Hasselt (15e Kamer), 21 januari 2004 gebruiker van internetbankierdienst van Bacob wijzigde gegevens op systeem wegens gebrekkige beveiliging meldde twee weken later beveiligingsprobleem aan bank kort daarna werd klacht ingediend door Bacob veroordeeld wegens computerinbraak (art. 550bis) ondanks afwezigheid van kwaad opzet opschorting van strafuitspraak + geen schadevergoeding kosten voor dichten van beveiligingslek niet verhaalbaar op “hacker” Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wet inzake informatiecriminaliteit Voor meer informatie: Jeff Keustermans en Tina De Maere, “Tien jaar wet informaticacriminaliteit” in Rechtskundig Weekblad 2010-11, nr. 14, 2010-12-04, pp. 562-568 http://www.dbkv.be/UserFiles/dbkv/Tien%20jaar%20wet%20informaticacriminaliteit.pdf http://www.ethesis.net/informaticacriminaliteit/informaticacriminaliteit.htm Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Wet inzake informatiecriminaliteit Enkele slotbemerkingen vaak moeilijke identificatie van overtreder beperkte territoriale competentie van gerecht succes gewenst met een hacker uit Rusland, Vanuatu,… bepaalde elementen lijken op paniekvoetbal van wetgever soms uiterst breed, uiterst streng sociale aanvaarding van wetgeving Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Privacy Privacy het recht om persoonlijke informatie voor zichzelf (i.e. privé) te houden vandaar band met (en vaak verwarring met) vertrouwelijkheidsfunctie in informatiebeveiliging men kiest zelf wat men over zichzelf openbaar wil maken persoonlijke informatie is vrij ruim begrip (gezondheid, wedde, aankoopgedrag,…) fundamenteel mensenrecht echter geen dekmantel voor illegale activiteiten gedeeltelijk cultuurgebonden sterker in maatschappij waar individu centraal staat Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Privacy 3 aspecten in (Europese) wetgeving bescherming van persoonsgegevens Europese richtlijn 1995/46/EG omgezet in Belgische wetgeving door wet van 1998-12-11 bescherming van privacy in (tele)communicatie Europese richtlijn 2002/58/EG omzetting vereist voor 2003-10-31 omzetting in België volledig sinds 2005-08-24 geamendeerd door 2009/136/EG bewaring van gegevens in (tele)communicatie Europese richtlijn 2006/24/EG omzetting vereist voor 2009-03-15 omzetting in België ??? sinds 2013-03-29 voorontwerp van wet + ontwerp van KB Voor het opzoeken van teksten van Europese richtlijnen: http://eur-lex.europa.eu/nl/index.htm (zoeken op referentienummer) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Bescherming van persoonsgegevens Europese richtlijn 1995/46/EG bepaalt wettelijke regeling voor de verwerking van persoonsgegevens kwaliteit van de gegevens toelaatbaarheid van gegevensverwerking striktere regels voor speciale gegevenscategorieën informatieverstrekking aan de betrokkene beveiligingsvereisten exportregels controle Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Bescherming van persoonsgegevens Kwaliteit van gegevens (art. 6) gegevens moeten eerlijk en rechtmatig verwerkt worden te gebruiken voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden niet meer gegevens dan nodig verzamelen gegevens moeten nauwkeurig zijn (en indien nodig wijzigbaar of verwijderbaar) gegevens niet langer bijhouden dan nodig Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Bescherming van persoonsgegevens Verwerking persoonsgegevens slechts toelaatbaar (art. 7): als betrokkene ondubbelzinnig hierin toestemt indien noodzakelijk voor voorbereiding/uitvoering contract met betrokkene indien noodzakelijk voor nakomen wettelijke verplichting waaraan verwerker van gegevens onderworpen is voor bescherming van vitaal belang van betrokkene voor taken van algemeen belang voor gerechtvaardigd belang van wie gegevens controleert Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Bescherming van persoonsgegevens Speciale categorieën raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, lidmaatschap vakvereniging, gezondheid, seksueel leven (art. 8) verwerking alleen mogelijk voor doeleinden die expliciet door nationale wetgeving voorzien zijn afwijkingen mogelijk voor journalistieke, artistieke of literaire doeleinden om vrijheid van meningsuiting te verzoenen met recht op persoonlijke levenssfeer (art. 9) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Bescherming van persoonsgegevens Informatieverstrekking (art. 10-15) informeer betrokkene wanneer gegevens over hem verzameld worden informeer betrokkene indien gegevens naar derden worden doorgestuurd nodige informatie: identiteit van de beheerder, doelstelling, ontvangers van gegevens, rechten van betrokkene toegangsrecht betrokkene heeft recht geïnformeerd te worden over gegevens die over hem verwerkt worden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Bescherming van persoonsgegevens Beveiliging (art. 16-17) verwerkers en beheerders moeten passende beveiligingsmaatregelen treffen “passend”: rekening houdend met stand van techniek en uitvoeringskosten, gelet op risico's die verwerking en aard van te beschermen gegevens met zich meebrengen Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Bescherming van persoonsgegevens Exportregels (art. 25-26) verbod van export van persoonsgegevens naar derde landen (niet-EU) zonder passend beschermingsniveau “passend”: te beslissen door Europese Commissie talrijke uitzonderingen: akkoord van de betrokkene modelcontract … VS: “safe harbour agreement” met EU (?) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Bescherming van persoonsgegevens Toezicht (art. 28-30) EU-lidstaten moeten autoriteit oprichten om toezicht te houden op uitvoering van beschermingsregels in België: “Commissie voor de bescherming van de persoonlijke levenssfeer” (ook bekend als “Privacy-commissie”) (http://www.privacycommission.be/nl) voor alle projecten die op grote schaal gegevens verwerken of gevoelige gegevens verwerken contacteer nationale toezichtsautoriteit Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Privacy in (tele)communicatie Europese richtlijn 2002/58/EG geamendeerd door 2009/136/EG introduceert nieuwe regels voor: algemene beveiliging vertrouwelijkheid cookies verkeersgegevens lokatiegegevens abonneelijsten ongewenste communicatie (spam) bewaring van gegevens Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Privacy in (tele)communicatie Beveiliging van de verwerking (art. 4) voor aanbieders van diensten en netwerkbeheerders passende technische en organisatorische maatregelen in verhouding tot betrokken risico rekening houdend met stand van techniek en uitvoeringskosten vereiste van een beveiligingsbeleid voor verwerking van persoonsgegevens meldingsplicht bij inbreuken Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Privacy in (tele)communicatie Vertrouwelijkheid (art. 5) principe van vertrouwelijkheid van communicaties en van verkeersgegevens verbod op afluisteren, aftappen, opslaan of andere vorm van onderscheppen van communicatie zonder toestemming van betrokken gebruikers uitgezonderd indien wettelijk toegelaten slaat niet op technische opslag nodig voor communicatie zelf bv. cookies, caching,… maar tracking cookies voor reclame waarschijnlijk problematisch uitzondering: bewijs voor commerciële transactie zakelijke communicatie Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Privacy in (tele)communicatie Verkeersgegevens (art. 6) moeten gewist of geanonimiseerd worden zodra niet meer nodig voor communicatie facturatiegegevens mogen verwerkt worden tot einde van periode waarin betaling kan afgedwongen of aangevochten worden uitzondering marketing van communicatiedienst na toestemming van gebruiker verplichting gebruiker of abonnee te informeren over verwerkte gegevens beperking van verwerking tot bevoegd personeel Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Privacy in (tele)communicatie Lokatiegegevens (art. 9) mogen verwerkt worden indien geanonimiseerd of met toestemming van gebruikers beperkt tot duur nodig voor levering van dienst met toegevoegde waarde verplichting gebruikers te informeren (welke gegevens, welke doeleinden, duur, mededeling aan derden) vóór toestemming bekomen wordt mogelijkheid voor gebruikers tot intrekking toestemming te allen tijde ook tijdelijke intrekking mogelijk indien gewenst eenvoudig en kostenloos beperking van verwerking tot bevoegd personeel Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Privacy in (tele)communicatie Abonneelijsten (art. 12) verplichting abonnees in te lichten over gebruik van hun gegevens in abonneelijsten abonnees moeten kunnen bepalen of hun gegevens in publieke abonneelijst opgenomen worden niet opgenomen zijn in openbare abonneelijst is kosteloos verificatie, correctie of verwijdering persoonsgegevens van dergelijke lijsten is kosteloos Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Privacy in (tele)communicatie Ongewenste communicatie (art. 13) gebruik van automatische oproep- en communicatiesystemen, fax of e-mail voor direct marketing: alleen na voorafgaande toestemming abonnees behalve e-mail naar eigen klanten voor direct marketing van gelijkaardige producten (mogelijkheid voor klant bezwaar te maken) andere vormen van ongevraagde communicatie voor direct marketing: alleen na toestemming abonnee en niet naar abonnees die dergelijke communicatie niet wensen te ontvangen verbod op spam e-mail voor direct marketing met gemaskeerde of verborgen afzenderidentiteit, of zonder geldig adres waaraan ontvanger verzoek tot beëindiging van dergelijke communicatie kan richten. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Privacy in (tele)communicatie Bewaring van gegevens (art. 15) mogelijkheid voor lidstaten om bereik van deze richtlijn te beperken indien noodzakelijke, redelijke en proportionele maatregel in democratische samenleving om volgende redenen: nationale veiligheid (staatsveiligheid) landsverdediging openbare veiligheid voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem o.a. mogelijkheid om maatregelen te treffen voor bewaring van gegevens voor beperkte periode voor hier genoemde redenen Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Europese richtlijn 2006/24/EG Dataretentie Europese richtlijn 2006/24/EG bewaring van gegevens in (tele)communicatie explicitering van inhoud van art. 15 uit Richtlijn 2002/58/EG harmonisatie van bestaande nationale maatregelen betreft locatie- en verkeersgegevens kritieken vrij vaag (!) niet altijd voor 100% duidelijk wat bewaard moet en mag worden veel data vervalsbaar bruikbaarheid? Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Verplichting gegevens te bewaren (art. 3) Dataretentie Verplichting gegevens te bewaren (art. 3) includeert oproeppogingen zonder resultaat tenminste indien opgeslagen en gelogd Toegang tot gegevens (art. 4) noodzakelijkheid en evenredigheid Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Te bewaren categorieën gegevens (art. 5) Dataretentie Te bewaren categorieën gegevens (art. 5) bron van communicatie bestemming van communicatie tijdstip van communicatie type communicatie gebruikte telefoon- (oproep, SMS,…) of internetdienst info over communicatieapparatuur bv. IMEI voor mobiele telefonie locatiegegevens bv. Cell ID voor mobiele diensten geen gegevens waaruit inhoud van communicatie bepaald kan worden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Bewaringstermijnen (art. 6) Dataretentie Bewaringstermijnen (art. 6) min. 6 maand max. 2 jaar Gegevensbescherming en gegevensbeveiliging (art. 7) o.a. vernietiging gegevens na bewaarperiode Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Opslagvoorschriften voor bewaarde gegevens (art. 8) Dataretentie Opslagvoorschriften voor bewaarde gegevens (art. 8) gegevens moeten opgevraagd kunnen worden door bevoegde autoriteiten Toezichthoudende autoriteit (art. 9) zoals voor 1995/46/EG Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Dataretentie Statistieken (art. 10) verplichting om jaarlijks statistieken over databewaring aan EC te communiceren over gevallen waar gegevens opgevraagd werden over bewaartijd voor opvragingen over niet ingewilligde opvragingen Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Toekomstige maatregelen (art. 12) Dataretentie Toekomstige maatregelen (art. 12) lidstaten “met specifieke omstandigheden” mogen vragen aan EC om tijdelijke beperkte verlenging van termijnen goedkeuring of verwerping door EC binnen 6 maanden na aavraag Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Verhaal in rechte, aansprakelijkheid en sancties (art. 13) Dataretentie Verhaal in rechte, aansprakelijkheid en sancties (art. 13) sancties moeten voorzien worden bij onrechtmatig gebruik van bewaarde data Evaluatie (art. 14) evaluatieverslag van EC aan EP en Raad uiterlijk op 2010-09-15 afgeleverd op 2011-04-18 (Celex-nr: 52011DC0225) dataretentie nodig weinig uniforme transpositie uiteenlopen gebruik problemen met recht op privacy Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Elektronische handel In Europese wetgeving elektronische handtekening Europese richtlijn 1999/93/EG elektronische contracten in Europese richtlijn 2000/31/EG over elektronische handel elektronische facturen Europese richtlijn 2001/115/EG Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Elektronische handtekening Doelstellingen Europese richtlijn 1999/93/EG open Europese markt voor producten en diensten rond elektronische handtekeningen geen nationale licenties wederzijdse erkenning erkenning van certificaten uit derde landen bevordering van elektronische handel geschikte beveiliging … Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Elektronische handtekening Europese richtlijn 1999/93/EG: definities “elektronische handtekening”: elektronische gegevens gebruikt als authenticatie en vastgehecht aan of logisch geassocieerd met andere elektronische gegevens bv. naam van afzender in e-mail “geavanceerde elektronische handtekening”: een elektronische handtekening die voldoet aan zekere eisen: op unieke wijze aan ondertekenaar verbonden maakt identificatie ondertekenaar mogelijk gerealiseerd m.b.v. middelen die exclusief door ondertekenaar gecontroleerd kunnen worden zorgt voor nodige data-integriteit wat we tot nu toe als een digitale handtekening beschouwd hebben Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Elektronische handtekening Europese richtlijn 1999/93/EG: rechtsgevolgen van elektronische handtekeningen geavanceerde elektronische handtekening (op basis van veilig aangemaakt gekwalificeerd certificaat) zelfde waarde als handgeschreven handtekening als bewijsmiddel toegelaten in gerechtelijke procedures andere elektronische handtekeningen mogen niet a priori geweigerd worden, louter op grond van het feit dat: de handtekening in elektronische vorm is gesteld, of niet is gebaseerd op een gekwalificeerd certificaat, of niet is gebaseerd op een door een geaccrediteerd certificatiedienstverlener afgegeven certificaat, of zij niet met een veilig middel is aangemaakt. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Electronische contracten Europese richtlijn 2000/31/EG over elektronische handel (art. 9) lidstaten moeten wettelijke belemmeringen verwijderen voor elektronische contracten impliceert elimineren van formele vereisten die elektronische contracten onmogelijk maken tijdelijk enkele uitzonderingen toegelaten: vastgoed gezinswetgeving arbeidswetgeving Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

Electronische facturen Europese richtlijn 2001/115/EG hoofdprincipes: lidstaten moeten raamwerk hebben dat gebruik van elektronische facturen toelaat zonder voorafgaande toelating (bv. BTW-administratie) voorwaarde van aanvaarding door ontvanger van factuur blijft voor de authenticiteit van oorsprong en integriteit van factuur moet geavanceerde elektronische handtekening of EDI (“Electronic Data Interchange”) aanvaard worden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans