Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdNele Pieters Laatst gewijzigd meer dan 10 jaar geleden
1
Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
Juridische aspecten Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
2
Informaticacriminaliteit en strafrecht
Bekeken aspecten Informaticacriminaliteit en strafrecht Regelgeving rond bescherming van privacy Regelgeving rond elektronische handel Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
3
Strafrecht Strafrecht
geheel van regels dat gedragingen in onze samenleving strafbaar stelt strafwetboek bepaalt welke gedragingen strafbaar zijn (delictomschrijving) welke straffen voorzien zijn (strafmaat) hoe regels toegepast worden (procedures) wie bevoegd is voor handhaven van strafrecht evolueert met de tijd en met de maatschappij Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
4
Wat met informaticacriminaliteit?
Strafrecht Wat met informaticacriminaliteit? strafrecht voor groot deel uit 19e eeuw niet altijd aangepast om aspecten van informatiemaatschappij te behandelen valt vervalsen van digitale handtekening onder “valsheid in geschriften”? waaronder valt “phishing”? is “stelen” van vertrouwelijke gegevens diefstal? is inbreken in computernetwerk te vergelijken met inbraak? is bijhouden van “gestolen” vertrouwelijke informatie heling? kan men bij huiszoeking toegang vragen tot bestanden die op extern systeem opgeslagen zijn? Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
5
Strafrecht Nood aan aanpassingen
wet van inzake informaticacriminaliteit gepubliceerd in Staatsblad van in werking getreden op generisch geschreven niet gebonden aan specifieke technologieën zorgt ervoor dat informaticacriminaliteit niet meer onbestraft blijft zeker geen vervanging van preventiemaatregelen overtreders zijn nu eenmaal mensen die zich niet aan regels/wetten houden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
6
Wetgeving of beveiliging?
Wetgeving ≠ beveiliging Mike Luckovich Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
7
Wet inzake informatiecriminaliteit
Verscheidene aspecten valsheid in informatica (art. 210bis) in boek II, titel III, hoofdstuk IV informaticabedrog (art. 504quater) in boek II, titel IX, hoofdstuk II misdrijven tegen de vertrouwelijkheid, integriteit en beschikbaarheid van informaticasystemen en van de gegevens die door middel daarvan worden opgeslagen, verwerkt of overgedragen (art. 550bis en 550ter) in boek II, nieuwe titel IXbis gelinkt aan art. 259bis en 314bis (afluisteren/geheim van privé-(tele)communicatie) wet /49, van kracht sinds Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
8
Wet inzake informatiecriminaliteit
Valsheid in informatica (art. 210bis) via datamanipulatie vervalsen van juridisch relevante computergegevens bv. vervalsen/namaken van kredietkaarten, valsheid inzake "digitale contracten" gebruik maken van vervalste gegevens ≡ vervalsen strafmaat: 6 md tot 5 jr gevangenis en/of 26 tot frank boete (poging) 6 md tot 3 jr gevangenis en/of 26 tot frank boete kan verdubbeld worden bij herhaalde overtreding (binnen 5 jaar na uitspraak) van 1 van artikels uit vorige slide OPM. met opdeciemen en conversie 1 frank boete in strafwetboek ≡ 6€ boete effectief te betalen Art. 210bis. § 1. Hij die valsheid pleegt, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in te voeren in een informaticasysteem, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem te veranderen, waardoor de juridische draagwijdte van dergelijke gegevens verandert, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen. § 2. Hij die, terwijl hij weet dat aldus verkregen gegevens vals zijn, hiervan gebruik maakt, wordt gestraft alsof hij de dader van de valsheid was. § 3. Poging tot het plegen van het misdrijf, bedoeld in § 1, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot vijftigduizend frank of met een van die straffen alleen. § 4. De straffen bepaald in de §§ 1 tot 3 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten bedoeld in de artikelen 259bis, 314bis, 504quater of in titel IXbis. ". Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
9
Wet inzake informatiecriminaliteit
Informaticabedrog (art. 504quater) bedrieglijke gegevensmanipulatie om zich te verrijken bv. “phishing” strafmaat: 6 md tot 5 jr gevangenis en/of 26 tot frank boete (poging) 6 md tot 3 jr gevangenis en/of 26 tot frank boete kan verdubbeld worden bij herhaalde overtreding van 1 van artikels over informaticacriminaliteit (210bis, 259bis, 314bis, 504quater of titel IXbis) Art. 504quater. § 1. Hij die, voor zichzelf of voor een ander, een bedrieglijk vermogensvoordeel verwerft, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in een informaticasysteem in te voeren, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem te veranderen, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen. § 2. Poging tot het plegen van het misdrijf bedoeld in § 1 wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot vijftigduizend frank, of met een van die straffen alleen. § 3. De straffen bepaald in de §§ 1 en 2 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten bedoeld in de artikelen 210bis, 259bis, 314bis of in titel IXbis. ". Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
10
Wet inzake informatiecriminaliteit
“Inbraak” in informaticasysteem (art. 550bis) dekt verschillende aspecten van hacking (ook pogingen) door buitenstaander (§1) misbruik door rechtmatige gebruiker (§2) “collaterale schade” van hacking (§3) met bedrieglijk opzet hackertools verzamelen, verspreiden (§5) opdrachtgeven (§6; strengst bestraft) “heling” (§7) strafmaat: van 3 md tot 5 jr gevangenis en/of 26 tot frank boete afhankelijk van exact gepleegd misdrijf kan verdubbeld worden bij herhaalde overtreding van 1 van artikels over informaticacriminaliteit Art. 550bis. § 1. Hij die, terwijl hij weet dat hij daar toe niet gerechtigd is, zich toegang verschaft tot een informaticasysteem of zich daarin handhaaft, wordt gestraft met gevangenisstraf van drie maanden tot een jaar en met geldboete van zesentwintig frank tot vijfentwintig duizend frank of met een van die straffen alleen. Wanneer het misdrijf, bedoeld in het eerste lid, gepleegd wordt met bedrieglijk opzet, bedraagt de gevangenisstraf zes maanden tot twee jaar. § 2. Hij die, met bedrieglijk opzet of met het oogmerk om te schaden, zijn toegangsbevoegdheid tot een informaticasysteem overschrijdt, wordt gestraft met gevangenisstraf van zes maanden tot twee jaar en met geldboete van zesentwintig frank tot vijfentwintigduizend frank of met een van die straffen alleen. § 3. Hij die zich in een van de gevallen bedoeld in de §§ 1 en 2 bevindt en : 1° hetzij de gegevens die worden opgeslagen, verwerkt of overgedragen door middel van het informaticasysteem op enige manier overneemt; 2° hetzij enig gebruik maakt van een informaticasysteem van een derde of zich bedient van het informaticasysteem om toegang te verkrijgen tot een informaticasysteem van een derde; 3° hetzij enige schade, zelfs onopzettelijk, veroorzaakt aan het informaticasysteem of aan de gegevens die door middel van het informaticasysteem worden opgeslagen, verwerkt of overgedragen of aan een informaticasysteem van een derde of aan de gegevens die door middel van het laatstgenoemde informaticasysteem worden opgeslagen, verwerkt of overgedragen; wordt gestraft met gevangenisstraf van een jaar tot drie jaar en met geldboete van zesentwintig frank tot vijftigduizend frank of met een van die straffen alleen. § 4. Poging tot het plegen van een van de misdrijven, bedoeld in §§ 1 en 2, wordt gestraft met dezelfde straffen. § 5. Hij die, met bedrieglijk opzet of met het oogmerk om te schaden, gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem en waarmee de misdrijven, bedoeld in §§ 1 tot 4, gepleegd kunnen worden, opspoort, verzamelt, ter beschikking stelt, verspreidt of verhandelt, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen. § 6. Hij die opdracht geeft of aanzet tot het plegen van een van de misdrijven, bedoeld in §§ 1 tot 5, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van honderd frank tot tweehonderdduizend frank of met een van die straffen alleen. § 7 Hij die, terwijl hij weet dat gegevens bekomen zijn door het plegen van een van de misdrijven bedoeld in §§ 1 tot 3, deze gegevens onder zich houdt, aan een andere persoon onthult of verspreidt, of er enig gebruik van maakt, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen. § 8. De straffen bepaald in de §§ 1 tot 7 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten bedoeld in de artikelen 210bis, 259bis, 314bis, 504quater of 550ter. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
11
Wet inzake informatiecriminaliteit
“Data- en informaticasabotage” (art. 550ter) kwaadwillige verstoring van goede werking informatiesystemen schaden van data-integriteit (§§1 en 2) belemmeren van beschikbaarheid (§3) met bedrieglijk opzet ontwerpen, verspreiden van software hiervoor (§4) bv. malware, denial-of-service strafmaat: van 6 md tot 5 jr gevangenis en/of 26 tot frank boete afhankelijk van exact gepleegd misdrijf kan verdubbeld worden bij herhaalde overtreding van 1 van artikels over informaticacriminaliteit Art. 550ter. § 1. Hij die, met het oogmerk om te schaden, rechtstreeks of onrechtstreeks, gegevens in een informaticasysteem invoert, wijzigt, wist, of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem verandert, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot vijfentwintigduizend frank of met een van die straffen alleen. § 2. Hij die, ten gevolge van het plegen van een misdrijf bedoeld in § 1, schade berokkent aan gegevens in dit of enig ander informaticasysteem, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig frank tot vijfenzeventigduizend frank of met een van die straffen alleen. § 3. Hij die, ten gevolge van het plegen van een van de misdrijven bedoeld in § 1, de correcte werking van dit of enig ander informaticasysteem geheel of gedeeltelijk belemmert, wordt gestraft met gevangenisstraf van een jaar tot vijf jaar en met geldboete van zesentwintig f rank tot honderdduizend frank of met een van die straffen alleen. § 4. Hij die, met bedrieglijk opzet of met het oogmerk om te schaden, gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, ontwerpt, ter beschikking stelt, verspreidt of verhandelt, terwijl hij weet dat deze gegevens aangewend kunnen worden om schade te berokkenen aan gegevens of, geheel of gedeeltelijk, de correcte werking van een informaticasysteem te belemmeren, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen. § 5. De straffen bepaald in de §§ 1 tot 4 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten bedoeld in de artikelen 210bis, 259bis, 314bis, 504quater of 550bis. ". Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
12
Afluisteren Wet over afluisteren (art. 314bis)
afluisteren van privé-(tele)communicatie waar men niet aan deelneemt, zonder toestemming van alle deelnemers (§1) gebruik maken van onwettig afgeluisterde communicatie (§2) poging op zelfde manier gestraft (§3) strafmaat: van 6 md tot 2 jr gevangenis en/of 200 tot frank boete afhankelijk van exact gepleegd misdrijf kan verdubbeld worden bij herhaalde overtreding art. 259bis specifieker voor politie, rechters,… voor afluistering buiten gevallen bepaald door wet Art. 314bis. <Ingevoegd bij W /49, art. 2; Van kracht : > § 1. Met gevangenisstraf van zes maanden tot één jaar en met geldboete van tweehonderd frank tot tienduizend frank of met een van die straffen alleen wordt gestraft hij die : 1° ofwel, opzettelijk, met behulp van enig toestel privé-communicatie of -telecommunicatie, waaraan hij niet deelneemt, tijdens de overbrenging ervan, afluistert of doet afluisteren, er kennis van neemt of doet van nemen, opneemt of doet opnemen, zonder de toestemming van alle deelnemers aan die communicatie of telecommunicatie; 2° ofwel, met het opzet een van de hierboven omschreven misdrijven te plegen, enig toestel opstelt of doet opstellen. § 2. Met gevangenisstraf van zes maanden tot twee jaar en met geldboete van vijfhonderd frank tot twintigduizend frank of met een van die straffen alleen wordt gestraft hij, die wetens, de inhoud van privé-communicatie of -telecommunicatie die onwettig afgeluisterd of opgenomen is of waarvan onwettig kennis genomen is, onder zich houdt, aan een andere persoon onthult of verspreidt, of wetens enig gebruik maakt van een op die manier verkregen inlichting. Met dezelfde straffen wordt gestraft hij die, met bedrieglijk opzet of met het oogmerk te schaden, gebruik maakt van een wettig gemaakte opname van privé-communicatie of -telecommunicatie. § 3. Poging tot het plegen van een der misdrijven bedoeld in § 1 of § 2 wordt gestraft zoals het misdrijf zelf. § 4. De straffen gesteld in de §§ 1, 2 en 3 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak van een vonnis of een arrest houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten beoogd in artikel 259bis, §§ 1, 2 of 3, dat in kracht van gewijsde is gegaan. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
13
Wet inzake informatiecriminaliteit
Enkele uitspraken: vonnis van de Correctionele Rechtbank van Eupen (4e Kamer), 15 december 2003 jongeman uit omgeving van Eupen probeerde binnen te breken in één van de computersystemen van internetdienstenleverancier Euregio.net maakte gebruik van programma dat automatisch wachtwoorden uitprobeerde pogingen mislukten, kort daarna opgepakt. veroordeeld wegens computerinbraak (art. 550bis) opschorting van strafuitspraak + schadevergoeding van 1000 € aan Euregio.net. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
14
Wet inzake informatiecriminaliteit
Enkele uitspraken: Vonnis van de Correctionele Rechtbank van Hasselt (15e Kamer), 21 januari 2004 gebruiker van internetbankierdienst van Bacob wijzigde gegevens op systeem wegens gebrekkige beveiliging meldde twee weken later beveiligingsprobleem aan bank kort daarna werd klacht ingediend door Bacob veroordeeld wegens computerinbraak (art. 550bis) ondanks afwezigheid van kwaad opzet opschorting van strafuitspraak + geen schadevergoeding kosten voor dichten van beveiligingslek niet verhaalbaar op “hacker” Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
15
Wet inzake informatiecriminaliteit
Voor meer informatie: Jeff Keustermans en Tina De Maere, “Tien jaar wet informaticacriminaliteit” in Rechtskundig Weekblad , nr. 14, , pp Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
16
Wet inzake informatiecriminaliteit
Enkele slotbemerkingen vaak moeilijke identificatie van overtreder beperkte territoriale competentie van gerecht succes gewenst met een hacker uit Rusland, Vanuatu,… bepaalde elementen lijken op paniekvoetbal van wetgever soms uiterst breed, uiterst streng sociale aanvaarding van wetgeving Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
17
Privacy Privacy het recht om persoonlijke informatie voor zichzelf (i.e. privé) te houden vandaar band met (en vaak verwarring met) vertrouwelijkheidsfunctie in informatiebeveiliging men kiest zelf wat men over zichzelf openbaar wil maken persoonlijke informatie is vrij ruim begrip (gezondheid, wedde, aankoopgedrag,…) fundamenteel mensenrecht echter geen dekmantel voor illegale activiteiten gedeeltelijk cultuurgebonden sterker in maatschappij waar individu centraal staat Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
18
Privacy 3 aspecten in (Europese) wetgeving
bescherming van persoonsgegevens Europese richtlijn 1995/46/EG omgezet in Belgische wetgeving door wet van bescherming van privacy in (tele)communicatie Europese richtlijn 2002/58/EG omzetting vereist voor omzetting in België volledig sinds geamendeerd door 2009/136/EG bewaring van gegevens in (tele)communicatie Europese richtlijn 2006/24/EG omzetting vereist voor omzetting in België ??? sinds voorontwerp van wet + ontwerp van KB Voor het opzoeken van teksten van Europese richtlijnen: (zoeken op referentienummer) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
19
Bescherming van persoonsgegevens
Europese richtlijn 1995/46/EG bepaalt wettelijke regeling voor de verwerking van persoonsgegevens kwaliteit van de gegevens toelaatbaarheid van gegevensverwerking striktere regels voor speciale gegevenscategorieën informatieverstrekking aan de betrokkene beveiligingsvereisten exportregels controle Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
20
Bescherming van persoonsgegevens
Kwaliteit van gegevens (art. 6) gegevens moeten eerlijk en rechtmatig verwerkt worden te gebruiken voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden niet meer gegevens dan nodig verzamelen gegevens moeten nauwkeurig zijn (en indien nodig wijzigbaar of verwijderbaar) gegevens niet langer bijhouden dan nodig Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
21
Bescherming van persoonsgegevens
Verwerking persoonsgegevens slechts toelaatbaar (art. 7): als betrokkene ondubbelzinnig hierin toestemt indien noodzakelijk voor voorbereiding/uitvoering contract met betrokkene indien noodzakelijk voor nakomen wettelijke verplichting waaraan verwerker van gegevens onderworpen is voor bescherming van vitaal belang van betrokkene voor taken van algemeen belang voor gerechtvaardigd belang van wie gegevens controleert Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
22
Bescherming van persoonsgegevens
Speciale categorieën raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, lidmaatschap vakvereniging, gezondheid, seksueel leven (art. 8) verwerking alleen mogelijk voor doeleinden die expliciet door nationale wetgeving voorzien zijn afwijkingen mogelijk voor journalistieke, artistieke of literaire doeleinden om vrijheid van meningsuiting te verzoenen met recht op persoonlijke levenssfeer (art. 9) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
23
Bescherming van persoonsgegevens
Informatieverstrekking (art ) informeer betrokkene wanneer gegevens over hem verzameld worden informeer betrokkene indien gegevens naar derden worden doorgestuurd nodige informatie: identiteit van de beheerder, doelstelling, ontvangers van gegevens, rechten van betrokkene toegangsrecht betrokkene heeft recht geïnformeerd te worden over gegevens die over hem verwerkt worden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
24
Bescherming van persoonsgegevens
Beveiliging (art ) verwerkers en beheerders moeten passende beveiligingsmaatregelen treffen “passend”: rekening houdend met stand van techniek en uitvoeringskosten, gelet op risico's die verwerking en aard van te beschermen gegevens met zich meebrengen Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
25
Bescherming van persoonsgegevens
Exportregels (art ) verbod van export van persoonsgegevens naar derde landen (niet-EU) zonder passend beschermingsniveau “passend”: te beslissen door Europese Commissie talrijke uitzonderingen: akkoord van de betrokkene modelcontract … VS: “safe harbour agreement” met EU (?) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
26
Bescherming van persoonsgegevens
Toezicht (art ) EU-lidstaten moeten autoriteit oprichten om toezicht te houden op uitvoering van beschermingsregels in België: “Commissie voor de bescherming van de persoonlijke levenssfeer” (ook bekend als “Privacy-commissie”) ( voor alle projecten die op grote schaal gegevens verwerken of gevoelige gegevens verwerken contacteer nationale toezichtsautoriteit Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
27
Privacy in (tele)communicatie
Europese richtlijn 2002/58/EG geamendeerd door 2009/136/EG introduceert nieuwe regels voor: algemene beveiliging vertrouwelijkheid cookies verkeersgegevens lokatiegegevens abonneelijsten ongewenste communicatie (spam) bewaring van gegevens Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
28
Privacy in (tele)communicatie
Beveiliging van de verwerking (art. 4) voor aanbieders van diensten en netwerkbeheerders passende technische en organisatorische maatregelen in verhouding tot betrokken risico rekening houdend met stand van techniek en uitvoeringskosten vereiste van een beveiligingsbeleid voor verwerking van persoonsgegevens meldingsplicht bij inbreuken Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
29
Privacy in (tele)communicatie
Vertrouwelijkheid (art. 5) principe van vertrouwelijkheid van communicaties en van verkeersgegevens verbod op afluisteren, aftappen, opslaan of andere vorm van onderscheppen van communicatie zonder toestemming van betrokken gebruikers uitgezonderd indien wettelijk toegelaten slaat niet op technische opslag nodig voor communicatie zelf bv. cookies, caching,… maar tracking cookies voor reclame waarschijnlijk problematisch uitzondering: bewijs voor commerciële transactie zakelijke communicatie Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
30
Privacy in (tele)communicatie
Verkeersgegevens (art. 6) moeten gewist of geanonimiseerd worden zodra niet meer nodig voor communicatie facturatiegegevens mogen verwerkt worden tot einde van periode waarin betaling kan afgedwongen of aangevochten worden uitzondering marketing van communicatiedienst na toestemming van gebruiker verplichting gebruiker of abonnee te informeren over verwerkte gegevens beperking van verwerking tot bevoegd personeel Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
31
Privacy in (tele)communicatie
Lokatiegegevens (art. 9) mogen verwerkt worden indien geanonimiseerd of met toestemming van gebruikers beperkt tot duur nodig voor levering van dienst met toegevoegde waarde verplichting gebruikers te informeren (welke gegevens, welke doeleinden, duur, mededeling aan derden) vóór toestemming bekomen wordt mogelijkheid voor gebruikers tot intrekking toestemming te allen tijde ook tijdelijke intrekking mogelijk indien gewenst eenvoudig en kostenloos beperking van verwerking tot bevoegd personeel Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
32
Privacy in (tele)communicatie
Abonneelijsten (art. 12) verplichting abonnees in te lichten over gebruik van hun gegevens in abonneelijsten abonnees moeten kunnen bepalen of hun gegevens in publieke abonneelijst opgenomen worden niet opgenomen zijn in openbare abonneelijst is kosteloos verificatie, correctie of verwijdering persoonsgegevens van dergelijke lijsten is kosteloos Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
33
Privacy in (tele)communicatie
Ongewenste communicatie (art. 13) gebruik van automatische oproep- en communicatiesystemen, fax of voor direct marketing: alleen na voorafgaande toestemming abonnees behalve naar eigen klanten voor direct marketing van gelijkaardige producten (mogelijkheid voor klant bezwaar te maken) andere vormen van ongevraagde communicatie voor direct marketing: alleen na toestemming abonnee en niet naar abonnees die dergelijke communicatie niet wensen te ontvangen verbod op spam voor direct marketing met gemaskeerde of verborgen afzenderidentiteit, of zonder geldig adres waaraan ontvanger verzoek tot beëindiging van dergelijke communicatie kan richten. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
34
Privacy in (tele)communicatie
Bewaring van gegevens (art. 15) mogelijkheid voor lidstaten om bereik van deze richtlijn te beperken indien noodzakelijke, redelijke en proportionele maatregel in democratische samenleving om volgende redenen: nationale veiligheid (staatsveiligheid) landsverdediging openbare veiligheid voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem o.a. mogelijkheid om maatregelen te treffen voor bewaring van gegevens voor beperkte periode voor hier genoemde redenen Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
35
Europese richtlijn 2006/24/EG
Dataretentie Europese richtlijn 2006/24/EG bewaring van gegevens in (tele)communicatie explicitering van inhoud van art. 15 uit Richtlijn 2002/58/EG harmonisatie van bestaande nationale maatregelen betreft locatie- en verkeersgegevens kritieken vrij vaag (!) niet altijd voor 100% duidelijk wat bewaard moet en mag worden veel data vervalsbaar bruikbaarheid? Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
36
Verplichting gegevens te bewaren (art. 3)
Dataretentie Verplichting gegevens te bewaren (art. 3) includeert oproeppogingen zonder resultaat tenminste indien opgeslagen en gelogd Toegang tot gegevens (art. 4) noodzakelijkheid en evenredigheid Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
37
Te bewaren categorieën gegevens (art. 5)
Dataretentie Te bewaren categorieën gegevens (art. 5) bron van communicatie bestemming van communicatie tijdstip van communicatie type communicatie gebruikte telefoon- (oproep, SMS,…) of internetdienst info over communicatieapparatuur bv. IMEI voor mobiele telefonie locatiegegevens bv. Cell ID voor mobiele diensten geen gegevens waaruit inhoud van communicatie bepaald kan worden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
38
Bewaringstermijnen (art. 6)
Dataretentie Bewaringstermijnen (art. 6) min. 6 maand max. 2 jaar Gegevensbescherming en gegevensbeveiliging (art. 7) o.a. vernietiging gegevens na bewaarperiode Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
39
Opslagvoorschriften voor bewaarde gegevens (art. 8)
Dataretentie Opslagvoorschriften voor bewaarde gegevens (art. 8) gegevens moeten opgevraagd kunnen worden door bevoegde autoriteiten Toezichthoudende autoriteit (art. 9) zoals voor 1995/46/EG Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
40
Dataretentie Statistieken (art. 10)
verplichting om jaarlijks statistieken over databewaring aan EC te communiceren over gevallen waar gegevens opgevraagd werden over bewaartijd voor opvragingen over niet ingewilligde opvragingen Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
41
Toekomstige maatregelen (art. 12)
Dataretentie Toekomstige maatregelen (art. 12) lidstaten “met specifieke omstandigheden” mogen vragen aan EC om tijdelijke beperkte verlenging van termijnen goedkeuring of verwerping door EC binnen 6 maanden na aavraag Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
42
Verhaal in rechte, aansprakelijkheid en sancties (art. 13)
Dataretentie Verhaal in rechte, aansprakelijkheid en sancties (art. 13) sancties moeten voorzien worden bij onrechtmatig gebruik van bewaarde data Evaluatie (art. 14) evaluatieverslag van EC aan EP en Raad uiterlijk op afgeleverd op (Celex-nr: 52011DC0225) dataretentie nodig weinig uniforme transpositie uiteenlopen gebruik problemen met recht op privacy Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
43
Elektronische handel In Europese wetgeving elektronische handtekening
Europese richtlijn 1999/93/EG elektronische contracten in Europese richtlijn 2000/31/EG over elektronische handel elektronische facturen Europese richtlijn 2001/115/EG Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
44
Elektronische handtekening
Doelstellingen Europese richtlijn 1999/93/EG open Europese markt voor producten en diensten rond elektronische handtekeningen geen nationale licenties wederzijdse erkenning erkenning van certificaten uit derde landen bevordering van elektronische handel geschikte beveiliging … Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
45
Elektronische handtekening
Europese richtlijn 1999/93/EG: definities “elektronische handtekening”: elektronische gegevens gebruikt als authenticatie en vastgehecht aan of logisch geassocieerd met andere elektronische gegevens bv. naam van afzender in “geavanceerde elektronische handtekening”: een elektronische handtekening die voldoet aan zekere eisen: op unieke wijze aan ondertekenaar verbonden maakt identificatie ondertekenaar mogelijk gerealiseerd m.b.v. middelen die exclusief door ondertekenaar gecontroleerd kunnen worden zorgt voor nodige data-integriteit wat we tot nu toe als een digitale handtekening beschouwd hebben Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
46
Elektronische handtekening
Europese richtlijn 1999/93/EG: rechtsgevolgen van elektronische handtekeningen geavanceerde elektronische handtekening (op basis van veilig aangemaakt gekwalificeerd certificaat) zelfde waarde als handgeschreven handtekening als bewijsmiddel toegelaten in gerechtelijke procedures andere elektronische handtekeningen mogen niet a priori geweigerd worden, louter op grond van het feit dat: de handtekening in elektronische vorm is gesteld, of niet is gebaseerd op een gekwalificeerd certificaat, of niet is gebaseerd op een door een geaccrediteerd certificatiedienstverlener afgegeven certificaat, of zij niet met een veilig middel is aangemaakt. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
47
Electronische contracten
Europese richtlijn 2000/31/EG over elektronische handel (art. 9) lidstaten moeten wettelijke belemmeringen verwijderen voor elektronische contracten impliceert elimineren van formele vereisten die elektronische contracten onmogelijk maken tijdelijk enkele uitzonderingen toegelaten: vastgoed gezinswetgeving arbeidswetgeving Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
48
Electronische facturen
Europese richtlijn 2001/115/EG hoofdprincipes: lidstaten moeten raamwerk hebben dat gebruik van elektronische facturen toelaat zonder voorafgaande toelating (bv. BTW-administratie) voorwaarde van aanvaarding door ontvanger van factuur blijft voor de authenticiteit van oorsprong en integriteit van factuur moet geavanceerde elektronische handtekening of EDI (“Electronic Data Interchange”) aanvaard worden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.