Download de presentatie
De presentatie wordt gedownload. Even geduld aub
1
Compliance data retention
Wet- en regelgeving, inhoudelijke oplossingsrichtingen René van den Assem
2
Inhoud Algemene wet- en regelgeving
Bewaren versus weggooien, relatie met WBP Specifieke wet- en regelgeving Code of conduct Praktische oplossingsrichtingen, records management en elektronische handtekeningen 2
3
Algemene wetgeving Algemene plicht tot bewaren van administratie en financiële gegevens (7 jaar) (vermogenpositie van bedrijf, BW 2:10) Eisen aan vorm administratie in Wet Rijksbelastingen Specifieke bepalingen voor o.m. onroerende zaken Regelgeving E-commerce, e-facturen, e-handtekeningen Corporate governance regels en interne controle Nationaal, B.v. Turnbull (UK) Bewijsvoering in juridische zaken wie bewaart die heeft wat; weggooien wordt minder geaccepteerd 3
4
weg, kan dat nog ? 4
5
5
6
Beursgenoteerd in USA, straks ook in EU?
Sarbanes-Oxley Versterking interne controle Bewaren gegevens interne controle, audits (5 / 7 jaar) incl. basismateriaal SEC rule 17a Internet / 3-6 jaar bewaren Integriteit / authenticiteit opgeslagen documenten (non-erable, non-rewriteable) Makkelijke, vlotte toegankelijkheid International Accounting Standards, IFRS 6
7
Specifieke wet- en regelgeving
Veelal specifieke regels per sector Financiële instellingen Wet Toezicht Kredietwezen, Regeling Organisatie en Beheersing Medische instellingen Medische gegevens 10 jaar, tijdelijk 15 jaar, … Overheid Archiefwet Telecom, ISP’s Verkeersgegevens, factuurgegevens, e-handtek 7
8
Privacy, beperking voor bewaren?
WBP vaak gezien als beperkende factor voor bewaren, “niet langer dan noodzakelijk voor doeleinde” Bij gerechtvaardigd en expliciet doel veel meer mogelijk dan vaak gedacht Expliciete vrijstelling voor gegevens die in normale zakelijke verkeer aan de orde zijn Gerelateerde specifieke anti-SPAM beperkingen Soms expliciete beperking bewaartermijn (b.v. abonneegegevens in telecom) 8
9
Kortom Diverse bewaartermijnen, sector- en soms product specifieke bewaartermijnen Steeds meer soorten documenten worden bewaarplichtig, o.m. Toenemende nadruk op integriteit en authenticiteit van opgeslagen documenten en volledigheid opslag Toenemende vraag naar expliciete autorisatieschema’s en sluitende security Record Management en Archivering Best practices en technische eisen Gebruik van onuitwisbare media, digitale handtekeningen om authenticiteit te garanderen 9
10
Hoe is dat bij u? 2005 Electronic Records Management Survey
(ca 2000 respondenten in records management hoek) Een paar punten 43% “does not include electronic records in retention & destruction schedules” (9% beter dan in 2003) 49% archiveert geen (16% beter dan in 2003) SOX heeft serieuze impact op records management in 27% vd gevallen, beperkte impact in 34% vd gevallen 10
11
Naar de Code of conduct Intern, maar ook extern Onderwerpen
Welke gegevens bewaren en welke niet? Hoelang bewaren we wat? Hoe regelen we toegang, ook op lange termijn? (digitale duurzaamheid) 11
12
Elektronisch archiefstuk
Wat eisen we van een elektronisch archiefstuk? Integriteit Nauwkeurigheid Authenticiteit Toegankelijkheid Twee uitwerkingsaspecten Elektronische handelingen onweerlegbaar maken Elektronisch archief technisch beveiligen 12
13
Richtlijn EHT, rechtsgeldigheid
General principle (art. 5.2): Legal effect for all electronic signatures Second principle (art.5.1): certain electronic signatures get the same legal effect as hand-written signature Electronic signatures Advanced electronic signatures Qualified signatures Qualified signature: advanced electronic signature + qualified certificate + secure signature creation device 13
14
Wet elektronische handtekeningen (2003)
Burgerlijk Wetboek Boek 3: rechtsgevolgen, internationale aspecten Boek 6: aansprakelijkheid Telecommunicatiewet Definities, identificatieplicht, toezicht, verwerking van persoonsgegevens Besluit elektronische handtekeningen Eisen voor gekwalificeerde handtekeningen (gekwalificeerd certificaat, CSPs, veilige middelen) Regeling elektronische handtekeningen Standaarden. Gebruikt u die, dan voldoet u aan bijbehorende eisen uit besluit. 14
15
EESSI, samenhangende standaarden, meerdere niveaus
First priority 15
16
Relying party / verifier Certification service provider
Requirements for CSPs ETSI TS Trustworthy Systems CWA 14167,1-3 Signature creation device CWA 14168 CWA 14169 Signature creation process and environment CWA 14170 Qualified certificate ETSI Signature format and syntax ETSI TS Signature validation process and environment CWA 14171 Time stamping ETSI TS User / signer Relying party / verifier Certification service provider Conformity assessment Guidance, CWA 14172 Parts1-5 16
17
EESSI, wat is bereikt Samenhangend pakket van standaarden
Erkenning door EC / lidstaten van relevante stnds Policy standaarden, m.n. TS breder opgepakt, o.a. Frankrijk, Nederland, Italië Internationale speler. samenwerking met W3C, IETF PKIX, APEC, Asia PKI Forum, USA Federal PKI Signature format (ETSI TS , en XML versie ETSI TS of XAdES), basis voor implementaties en initiatieven Meer over EESSI: 17
18
Elektronische en digitale handtekening in RMA
Welke vorm wanneer voldoende betrouwbaar? Algemene elektronische handtekening, b.v. de ingescande handtekening Digitale handtekening Digitale handtekening als interne paraaf? Integriteit in DMS/RMA gehandhaafd met digitale handtekening Wat op te slaan bij een digitale handtekening? De handtekening zelf? De context van het proces waarin deze is gebruikt? 18
19
Wat opslaan, geen uitgemaakte zaak (nog steeds niet)
Voor Dichtste bij ‘origineel’ Overtuigende reconstructie op basis van een enkel document, niet een totaal archief Complexiteit beperkt ten opzichte van andere technische uitdagingen (migratie, emulatie, universeel document formaat) en te isoleren Tegen Technische complexiteit (alle algoritmes moeten ‘aan boord’ zijn) Digitale handtekeningen snel verouderd als bewijs. Veroudering cryptografie. Vraagt actief onderhoud. Digitale handtekening alleen kloppend bij bit-exacte documenten. Alleen emulatie ondersteund. 19
20
Mogelijke lijn Bij mogelijke juridische conflicten
Kunnen reconstrueren ten overstaan van rechter. 10, 20 jaar of meer? Digitale handtekening + certificaat (hiërarchie) + bewijs van status van certificaat kort na moment van ondertekening Vraagt reeds lange termijn mechanismen Voor historische verantwoording. Terugval mogelijk naar opslaan van contextuele info waaruit de controle op de elektronische handtekening blijkt. 20
21
Lange termijn archivering
EESSI: vormen van elektronische handtekening. ETSI TS en XML variant ETSI TS XML-variant basis voor diverse implementaties en initiatieven, o.m. OpenXAdES Rijkdom aan opties voor time-stamping en archivering. Korte termijn handtekening: 21
22
Lange termijn archivering
Middellange termijn Lange termijn 22
23
Meer informatie? rene.vandenassem@vka.nl
Verdonck, Klooster & Associates Baron de Coubertinlaan 1 2719 EN Zoetermeer Tel: Fax: 23
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.