Trends in certificering en wetgeving voor Cloud Computing

Maat: px
Weergave met pagina beginnen:

Download "Trends in certificering en wetgeving voor Cloud Computing"

Transcriptie

1 EuroCloud Nederland Management White Paper Trends in certificering en wetgeving voor Cloud Computing Theo Loth, Victor de Pous, Maurice van der Woude & Nan Zevenhek 2013 Stichting EuroCloud Nederland, Haarlem Op dit document is een Creative Common License van toepassing, de CC BY-NC-ND 3.0 licentie (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.nl). Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed aanvaarden auteurs, eindredacteur en uitgever geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor gevolgen hiervan.

2 Inhoud Voorwoord A. Certificering in ontwikkeling Algemeen Europa Rondetafels B. Legislatieve processen Algemeen Wetgeving voor verwerking van persoonsgegevens Wettelijke meldplichten datalek en inbreuk Conclusie Bijlage: overzicht van normen Colofon 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 2

3 Voorwoord Het domein cloud computing is flink in ontwikkeling, niet in de laatste plaats door beleid van de Europese Commissie, zowel op het gebied van wetgeving als van technische normering. Het ontbreekt momenteel nog aan breed geaccepteerde certificeringen voor cloud-diensten. De ICT-industrie kent al jaren een uitgebreid stelsel van normen en certificeringen. Om inzicht te krijgen in de stand van zaken met betrekking tot certificeringinitiatieven die voor de cloud-markt in Nederland relevant kunnen zijn, heeft de Stichting EuroCloud Nederland als neutraal kennisplatform voor gebruiker, leverancier en politiek betrokkenen gevraagd hun activiteiten en kennis te delen. Die blijken nogal te variëren, zowel qua voorwerp (processen of mensen) als voor wat betreft de omvang van de normering (nationaal of internationaal). Van belang zijn verder de initiatieven voor formele juridische normen wet- en regelgeving in het kader van cloud computing. Die komen uit Europa en uit Nederland. Economische prikkel Ook voor 2013 staat certificering hoog op de kennisagenda van EuroCloud Nederland. EuroCloud Nederland is derhalve formeel lid geworden van de werkgroep Distributed Application Platforms and Services die binnen het Normalisatie Instituut Nederland (NEN) aan cloud computing werkt. Ze brengt daarbij ook de kennis en ervaring van de Europese EuroCloud organisatie in. Uit de ervaringen van het NEN blijkt dat het land dat het initiatief neemt voor bepaling van een Europese c.q. wereldwijze norm, een gunstige uitgangspositie heeft bij het aantrekken van industrie die de betreffende diensten conform de norm kan leveren. Dit opent economische perspectieven en kan het gebruik van het leveringsmodel en zelfs de cloudindustrie in Nederland stimuleren. Haarlem, 8 januari 2013 Alexandra Schless, voorzitter 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 3

4 A. Certificering in ontwikkeling Algemeen Om cloud-diensten te vertrouwen en er verantwoord en veilig mee te werken, zoekt de klant naar methoden om deze diensten te kunnen beoordelen. De aangewezen weg is toetsing aan geldende normen. Certificering laat zien in welke mate de aanbieder van de clouddienst voldoet aan de normen. Om het toetsingsproces goed te laten verlopen, zijn onafhankelijk en erkende certificeringprogramma's nodig. Dergelijke programma s voorzien in meetinstrumenten om oplossingen met elkaar te vergelijken. Zonder goede normen en algemeen gedragen certificeringen loopt de markt het risico overspoeld te worden door onvoldragen, onvolledige of niet-adequate oplossingen. Dit kan uiteindelijk de acceptatie van cloud-diensten in de weg staan en de ontwikkeling van een gezonde cloud-industrie schaden. Kortom: een goed uitgewerkt stelsel van normen en certificeringen is noodzakelijk voor verdere toepassing van cloud. Het is een utopie om te denken dat slechts één certificering het gehele spectrum van cloud computing kan bestrijken. Als alleen al gekeken wordt naar Infrastructuur- (IaaS), Platform- (PaaS) en Software- (SaaS) services moet de conclusie zijn dat deze drie servicemodellen dermate van elkaar verschillen dat een aparte benadering voor elk van deze modellen afzonderlijk nodig is om op te kunnen certificeren. De in de ICT-industrie vigerende ISO ISO2700(x) normering is slechts beperkt van toepassing voor cloud meer gericht is op algemeen informatiemanagement. Een aantal organisaties is al uit de startblokken gekomen en heeft de eerste stappen gezet richting specifieke certificeringen. Gezien echter het brede werkgebied van cloud computing, de benodigde expertise in de diverse deelgebieden en het voor het neerzetten van een wereldwijde standaard noodzakelijke draagvlak, is het ontwikkelen van een normenkader met een daaruit voortvloeiend certificeringsprogramma ongeacht het deelgebied - een behoorlijke klus, maar zeker geen mission impossible. De organisaties die hierin het verst gevorderd zijn op het pad van cloud certificering zijn ENISA (European Network and Information Security Agency), ISO (International Standards Organisation), NIST (National Institute of Standards and Technology), IEEE (Institute of Electrical and 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 4

5 Electronics Engineers), CSA (Cloud Security Alliance) en EuroCloud. EuroCloud heeft complete cloud-certificeringprogramma's zelfs al klaar, één voor datacenters (IaaS), één voor Platform-as-a-Servide (PaaS) en een voor cloudsoftware (SaaS) en lijkt daarmee het beste geëquipeerd om de de facto standaard neer te zetten. EuroCloud heeft dit programma opgezet met input van onder andere ENISA en ISO en rolt het op het Europese continent uit. Ook marktpartijen hebben certificeringprogramma s voor cloud-diensten ontwikkeld; maar die zijn doorgaans meer gericht op de eigen producten en hun toepassing. Andere initiatieven vinden plaats in het kader van de Sarbanes Oxley-wet (SOX), SAS70, SSAE16 en ISAE3402. Deze zullen naar verwachting geen voortrekkersrol in dit certificeringdomein vervullen. Europa Er bestaat nog onzekerheid op het gebied van cloud computing die de ontwikkeling van de toepassing remt. Dit komt doordat veel mensen de basisconcepten nog steeds niet volledig begrijpen laat staan hoe ze het leveringsmodel in hun bedrijfsvoering kunnen toepassen. De Europese wet- en regelgeving werkt belemmerend op de ontwikkeling van standaarden. Aan de andere kant verwacht de eindgebruiker wel pan- Europese oplossingen, bijvoorbeeld in het kader van de verwerking van persoonsgegevens (privacy). Deze eis van de Europese bevolking werkt katalysator voor de totstandkoming van Europese normering. Elk certificeringprogramma zal hier gedegen rekening mee moeten houden. De Europese Commissie laat momenteel onderzoeken welke mogelijkheden er zijn om tot cloud certificeringen te komen, waarbij het uitgangspunt is dat certificeringsprogramma s vanuit het werkveld geleid worden en op basis van en op basis van vrijwilligheid worden gevolgd. Naar verwachting zullen organisaties zich uiteindelijk vrijwillig zullen laten certificeren voor hun IaaS, PaaS en/of SaaS service. Ondertussen heeft Brussel uitgesproken dat ETSI en ENISA zich gaan bezighouden met de standaardisering en certificering van cloud-diensten. Het European Telecommunications Standards Institute (ETSI) is door de commissie gevraagd om als liaison op te treden tussen de verschillende 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 5

6 partijen die standaarden kunnen formuleren. Inmiddels is ETSI voortvarend aan de slag gegaan met het verzamelen van de belanghebbenden uit het veld. Hierbij gaat het zowel om industriepartijen als om eindgebruikersorganisaties en vertegenwoordigers uit de politiek. ENISA (European Network and Information Security Agency) is gevraagd om ditzelfde te organiseren op het gebied van certificering. Roundtables EuroCloud Nederland vindt het ongewenst dat in dit domein allerhande, elkaar overlappende en wellicht beconcurrerende initiatieven voor normering en certificering ontstaan. Om te bewerkstelligen dat er afstemming komt, heeft EuroCloud Nederland eind 2011 en begin 2012 twee besloten ronde-tafelbijeenkomst gehouden waarin allerlei initiatieven voor normering van cloud computing in kaart zijn gebracht. De resultaten zijn vervolgens op een openbaar toegankelijke conferentie gepresenteerd. Met de inventarisatie willen we. De inventarisatie is vrijwel zeker niet volledig; u vindt haar elders in de voorliggende white paper. Enkele uitkomsten uit de roundtables: Een eensluidende definitie en classificatie van cloudmodellen wordt noodzakelijk geacht als belangrijke stap naar een algemeen gedragen certificering. Verder is een Europese standaard voor de omgang met privacygevoelige informatie noodzakelijk om te voorkomen dat er per land afwijkende normering ontstaat. Om zinvol te kunnen certificeren, is een duidelijke norm vereist alsmede een organisatie die de normen en certificaten onderhoudt en die professionals opleidt. Om de correcte werking van certificeringinstellingen te waarborgen, is een accreditatielichaam nodig. Over het algemeen is 80% van een norm generiek en 20% branchespecifiek. Bij certificaten zou, afhankelijk van de business en de specifieke risico s, een pick and place en gradatie in zwaarte van toepassing mogelijk moeten zijn. Of een certificering in het specifieke geval toereikend is, blijft professional judgment. Certificering is mooi, maar het moet wel praktisch hanteerbaar zijn. Het verdient aanbeveling startende ondernemers vrij te stellen van strikte certificeringeisen STICHTING EUROCLOUD NEDERLAND, HAARLEM 6

7 Certificering zou zich langs twee sporen moeten ontwikkelen, het spoor van de providers en het spoor van de professionals. Die laatste categorie is minstens zo belangrijk als de eerste, omdat van hen verwacht mag worden door de bomen het Cloud bos te kunnen zien en te kunnen beoordelen welke certificering voor welk toepassingsgebied binnen hun organisatie relevant is. Dynamische certificering Dat het omgaan met certificering en normering geen sinecure is, bleek uit uitspraken van EDP Auditor Jan Matto, partner bij Mazars Management Consultancy. Matto is ook projectleider van het SBR/XBLR project voor het standaardiseren en normaliseren van financiële informatie. Gangbare normen en standaarden kennen beperkingen. Auditors zien zich dan ook nog eens voor de fundamentele vraag gesteld: We doen de audit goed, maar doen we ook de goede audit? Zeker als het om Cloud Computing gaat is dat een uitermate relevante vraag. Frictie kan ontstaan als elke ketenpartner een eigen deelaudit laat uitvoeren met eigen normenkaders. Bewaking van het geheel is dan een grote uitdaging. Er kunnen blinde vlekken ontstaan en onontdekte risico s optreden. Zeker als het om Cloud gaat, is een integraal oordeel gewenst over de gehele keten. In de praktijk is echter veelal sprake van een gefragmenteerd oordeel verdeeld over ketenpartners, deelverantwoordelijken en systeemlagen. Matto benadrukt dat cloudcertificering ruimte moet bieden aan de dynamiek die de technologie en de business van de gebruiker met zich meebrengen. Control frameworks vereisen voortdurende aanpassing aan de veranderende context. Hij signaleert dat veel EDP auditing wordt verricht vanuit de managementprocessen. Dat doet tekort aan de dynamische, snel veranderende IT-werkelijkheid. Leg bij Cloud de focus naar IT. Je kunt je door die dynamiek zelfs afvragen of toekomstgerichte certificering überhaupt haalbaar is. Verder is het belangrijk het doel en de doelgroep van certificering goed helder te krijgen. Er worden hoge eisen gesteld aan de deskundigheid van IT auditors en multidisciplinaire benaderingen zijn nodig. Europa Eurocommissaris Kroes heeft een duidelijke cloud-strategie. EuroCloud Europe is betrokken bij de verdere uitwerking daarvan. In lijn daarmee 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 7

8 heeft EuroCloud Duitsland in samenwerking met onder meer het Frauenhofer Instituut, CSA, ISO en KPMG al een ver uitgewerkt Certificeringsraamwerk laten ontwikkelen, de EuroCloud Star Audit. De StarAudit is door de EuroClouds in diverse landen inmiddels geadopteerd. Dat zegt Maurice van der Woude, General Director van EuroCloud Europe. Het certificeringsprogramma biedt een set aan certificaten in oplopende zwaarte, van 1 ster tot en met 5 sterren. De basiscertificering met een ster is bijvoorbeeld geschikt voor testomgevingen of softwareontwikkeling, waar cloud delivery maar een beperkte impact heeft. Vijf sterren is dan vooral van toepassing op bedrijfskritische en sterk geïntegreerde omgevingen en heeft betrekking op alle lagen van Cloud Computing, van infrastructuur tot en met softwarefunctionaliteit. EuroCloud Nederland onderzoekt momenteel of het raamwerk ook in ons land kan worden toegepast. Vooral de juridische kanten van de zaak vragen om nader onderzoek. Van der Woude verwacht dat het Star Audit Programma ook in Nederland op belangstelling kan rekenen. Temeer omdat kort geleden besloten is om een online self-assessment mogelijkheid toe te voegen, op basis van de eisen die voor 1-ster certificering bepaald zijn Drugstest De Public Briefing werd afgesloten met een levendige paneldiscussie. Panelleden waren Koos Ziere (NOREA), John van Huijgevoort (CSA), Theo Klarenbeek (Belastingdienst), Hans van der Meer (Microsoft) en Maurice Tijhuis (Twinfield). Stuk voor stuk professionals met een duidelijke visie op de mogelijkheden en onmogelijkheden van certificering. Zo merkte Van der Meer op: De praktijk is weerbarstig. Je kunt van alles vastleggen in regels en policies, maar gebruikers gaan toch hun eigen gang. Waar blijf je dan met je beleid? Bovendien kunnen stringente regels een rem voor innovatie zijn. Klarenbeek van de Belastingdienst ziet vanuit zijn business wel degelijk grote voordelen van standaardisatie. We willen toe naar boekhouden en aangiften doen zonder menselijke tussenkomst. Dat is in het belang van de Belastingdienst zelf, maar ook van die tienduizenden kleine ondernemers die ons land telt. Dan moet je wel bouwen aan een veilige online basis. Nederland loopt hierin voorop in Europa. Het Europabreed invoeren van onze aanpak voor de integratie van administraties en de systemen van de Belastingdienst zal weerbarstig zijn. Het is sowieso lastig om te voldoen aan de regels in de diverse landen en rechtssystemen. Maurice Tijhuis van online boekhoudleverancier Twinfield: Wij deden 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 8

9 laatst mee aan een grote tender in het buitenland. Een van de vragen was hoe vaak we onze medewerkers onderwierpen aan een drugstest. In de VS is dat kennelijk heel gewoon, maar wij kijken daar in Nederland toch anders tegenaan. Het geeft wel aan dat het voldoen aan standaards niet altijd een vrije keuze is. Grote klanten eisen het, net als dit destijds met ISO gebeurde. Internationale standaards en normen zijn dan ook noodzakelijk, zeker vanuit Security-perspectief. Cloud is nu eenmaal grensoverschrijdend, cybercrime ook. Je kunt het als land niet alleen, zegt John van Huygevoort namens de Cloud Security Alliance. Ziere van Norea bepleit een praktische aanpak als het om certificering gaat: One-size-fitsall gaat niet werken. Bekijk welke norm je het meest van toepassing acht. Onderzoek vervolgens nauwgezet wat er achter het stempel schuilgaat. Wat is de scope van het certificaat? En minstens zo belangrijk: past het wel bij mijn business? Een certificaat alleen zegt niet alles. Alexandra Schless, voorzitter van EuroCloud Nederland en in het dagelijks leven Managing Director van TelecityGroup in Nederland: Certificering is in onze industrie niet onderscheidend. Zonder de juiste certificaten tel je gewoon niet mee. Je maakt het verschil door transparant te zijn en de manier waarop je business doet. Maar teveel transparantie aan de aanbiederskant heeft ook een keerzijde. Hoe meer je laat zien, hoe kwetsbaarder je wordt, aldus Tijhuis STICHTING EUROCLOUD NEDERLAND, HAARLEM 9

10 B. Legislatieve processen Algemeen Zoals langzamerhand bekend mag worden verondersteld betreft de cloud een op Internet gebaseerd leveringsmodel voor ICT als afroepbare, gedeelde en automatisch schaalbare dienst, die door de eigen automatiseringsafdeling van een gebruikersorganisatie of en dat zal vaker het geval zijn een externe leverancier wordt verzorgd, de cloud service provider. Dan is er sprake van een outsourcingsrelatie. Je kunt zeggen dat software als dienst, net zo als de servicemodellen voor platform en infrastructuur, betrekking heeft op onzichtbare ICT. De technologie verdwijnt voor eindgebruikers onder de motorkap en veel van de verantwoordelijkheden voor de technologie gaan van de gebruikersorganisatie over op de cloud service provider. De verantwoordelijkheid voor legal compliance verschuift ook, zij het slechts ten dele. Iedere onderneming of overheidsorganisatie blijft echter te allen tijde en dus ook bij uitbesteding van bedrijfsprocessen of onderdelen daarvan aan een cloud service provider zelf verantwoordelijk voor allerlei wettelijke voorschriften; van privacy-regels tot en met fiscale verplichtingen. Outsourcing ontheft haar dus niet van haar eigen juridische verplichtingen. Maar cloud-leveranciers hebben ook een eigen verantwoordelijkheid. Dat cloud computing zowel technologisch als bedrijfsmatig fundamenteel anders is, wil niet op voorhand zeggen dat de rechtsaspecten afwijken. Maar wie de Amerikaanse definitie in het vizier houdt, te weten drie servicemodellen, vier toepassingsmodellen en vijf kenmerken 1, verwondert zich waarschijnlijk niet dat haar juridisch raamwerk zich onderscheidt van dat van het gangbare (client/server) model voor automatische gegevensverwerking. Cloud computing heeft deels moeite met bestaande 1 De cloud-matrix kent de servicemodellen software (SaaS), platformen (PaaS) en infrastructuur (IaaS) en omvat tevens PUBLIC (openbaar en gestandaardiseerd), PRIVATE (gesloten en desgewenst op maat), COMMUNITY (gericht op een bepaalde gemeenschap) en HYBRIDE (mengvorm public/private) toepassingsmodellen. Daarnaast gaat het om karakteristieken: afroepbare zelfbediening, toegang tot breedband Internet, delen van ICTbronnen, snelle elasticiteit en een gemeten dienst. Dit wordt wel de definitie genoemd STICHTING EUROCLOUD NEDERLAND, HAARLEM 10

11 rechtsnormen, die niet alleen van oudsher geografisch zijn bepaald, maar tevens zijn vastgesteld toen informatieverwerking statisch was. We konden letterlijk aanwijzen waar data zich bevonden. Verder vallen er in het leveringsmodel allerlei technische en andere aspecten samen, met als consequentie dat uiteenlopende horizontale (geldend voor alle organisaties), verticale (aanvullend gericht op een bepaalde sector) en speciale ICT-gerelateerde rechtsnormen (mede) op cloud computing van toepassing zijn. Dat leidt vrijwel zeker tot juridische samenloop. Ondertussen noteren we ontwikkelingen. Zo zorgt de praktijk voor voortschrijdend inzicht en ontstaan er best practices. Ook staan een ingrijpende aanscherping en harmonisatie van privacy-regels op de rol. We krijgen meer cloud-vriendelijke Europese wetgeving (die dus drempels moet wegnemen) en nieuw inkoopbeleid voor de publieke sector. Op twee legislatieve domeinen, die deels een overlappend karakter hebben, wordt hieronder ingegaan. Recht voor verwerking van persoonsgegevens Een uiterst belangrijke legislatieve component van de geïntegreerde Europese Cloud Computing Strategie ziet toe op de langverwachte, uniforme harmonisering van de Europese privacyrichtlijn uit 1995 (95/46/EC). De grondige hervorming van 25 januari 2012 getuigt van een duale aanpak. Allereerst wordt de rechtsbescherming van burgers in verband met hun online privacy verbeterd. Ze krijgen meer controle en rechten; ook ten aanzien van in de cloud verwerkte gegevens. Daarnaast draait het om stimulering van de digitale economie door middel van lastenverlaging. De achterliggende ratio is bekend. De wijze waarop gegevens worden verzameld, geraadpleegd en gebruikt, is door technologische vooruitgang en globalisering ingrijpend veranderd. Bovendien hebben de 27 EUlidstaten de privacyrichtlijn verschillend omgezet, wat tot verschillen in toepassing en handhaving leidde. Herziening was uiteindelijk onvermijdelijk. Volgens het EU-Handvest van de grondrechten heeft iedereen en in beginsel overal recht op bescherming van zijn persoonsgegevens. De voorstellen zijn een toekomstgerichte actualisering. Naast een beleidsmededeling over de doelstellingen van de Commissie, gaat het om twee wetsvoorstellen: een verordening en een 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 11

12 richtlijn (inzake de bescherming van persoonsgegevens die worden verwerkt voor het voorkomen, opsporen, onderzoeken of vervolgen van strafbare feiten en aanverwante gerechtelijke activiteiten). Die blijft hier onbesproken. De verordening heeft betrekking op het vaststellen van het algemene EUkader voor gegevensbescherming en is vanwege haar rechtstreekse werking het perfecte harmonisatiemiddel. Zo ontstaat er één stel regels voor de bescherming van persoonsgegevens, geldend in de gehele EU. De aanpak vergemakkelijkt onder meer regulatory compliance bij intracommunautaire gegevensverwerking. In plaats van overbodige administratieve lasten verplicht de verordening de verwerkers van persoonsgegevens (zoals cloud service providers) meer verantwoording en rekenschap af te leggen. Ernstige gegevenslekken moeten binnen 24 uur aan de nationale toezichthouder worden gemeld. De boete bij overtreding bedraagt maximaal 2% van de omzet. Verder scherpt de vordering de bestaande rechten van betrokkenen aan. Enkele doelstellingen en wijzigingen. Consumentenvertrouwen. Met het initiatief moet het consumentenvertrouwen in online-diensten worden aangewakkerd, wat de groei, werkgelegenheid en innovatie in Europa de noodzakelijke impulsen kan geven. Meldplicht. Bedrijven en organisaties moeten ernstige gegevenslekken zo snel mogelijk (binnen 24 uur) aan de nationale toezichthouder melden. De boete bij overtreding bedraagt maximaal 2% van de omzet. Eén toezichthouder. Bedrijven en organisaties die grensoverschrijdend zakendoen krijgen te maken met één nationale toezichthouder in de EUlidstaat waar zij hun belangrijkste vestiging hebben. Deze nationale gegevensbeschermingsautoriteit is tevens het aanspreekpunt voor burgers; ook als hun gegevens worden verwerkt door een bedrijf buiten de EU. Recht op toestemming. Wanneer voor de verwerking van persoonsgegevens toestemming vereist is, moet deze uitdrukkelijk worden gegeven, en niet worden verondersteld stilzwijgend te zijn gegeven (aanscherping van het bestaande toestemmingsrecht). Recht op inzagerecht. Burgers zullen gemakkelijker toegang krijgen tot hun eigen gegevens, online en gratis (versterking van het bestaande inzagerecht) STICHTING EUROCLOUD NEDERLAND, HAARLEM 12

13 Recht op dataportabiliteit. Burgers kunnen hun persoonsgegevens gemakkelijker van de ene dienstverstrekker naar de andere overdragen, mede ter vergroting van de onderlinge concurrentie. Dit recht op gegevensoverdraagbaarheid is nieuw. Recht op vergeten te worden. Mensen worden in staat gesteld hun privacy-risico s op internet beter te beheren, dat wil zeggen hun gegevens te wissen als er geen gegronde redenen zijn om ze te bewaren. Het gaat om een nieuw privacy-recht. Informatiebeveiliging verplicht Volgens de wet gaat het bij persoonsgegevens om een gegeven dat herleidbaar is naar een identificeerbaar natuurlijk persoon. U en ik. Alle persoonsgegevens moeten worden beveiligd. Zo schrijft de wet nadrukkelijk passende technische en organisatorische maatregelen voor tegen verlies of diefstal van persoonsgegevens voor. Dat is nu de regel en dat blijft ook zo. De verplichting geldt zowel de verantwoordelijke (de opdrachtgever/klant) als de verwerker (bijvoorbeeld de cloud service provider). Verantwoordelijkheid klant Nederlandse bedrijven en overheidsorganisaties die cloud-diensten afnemen in de Verenigde Staten zijn zelf eindverantwoordelijk voor de bescherming van persoonsgegevens, ondanks de Safe Harbor Agreement, aldus het College Bescherming Persoonsgegevens (CBP). De toezichthouder heeft vragen van SURFmarket in algemene zin beantwoord om daarmee een zo groot mogelijke groep van partijen (cloud service providers en hun klanten) duidelijkheid te bieden. De zienswijze van de toezichthouder heeft betrekking op de situatie van een in Nederland gevestigd bedrijf of organisatie die gebruik maakt van de cloud-diensten onder meer , agendabeheer, groepsdiscussies en relatiebeheer van een leverancier die gevestigd is in de VS. Hierin benadrukt de toezichthouder dat een belangrijk uitgangspunt is dat Nederlandse bedrijven of organisaties die cloud-diensten afnemen bij een Amerikaanse aanbieder eindverantwoordelijk zijn voor de naleving van de Wet bescherming persoonsgegevens STICHTING EUROCLOUD NEDERLAND, HAARLEM 13

14 Bij het sluiten van een overeenkomst voor cloud-diensten zal een bedrijf of organisatie zelf moeten onderzoeken en vergewissen dat de toepasselijke wettelijke regels zijn afgedekt. Dat vraagt zo nodig om aanvullende afspraken in de overeenkomst met de Amerikaanse cloud service provider. In ieder geval geldt dat voor de beveiliging van de in de Cloud verwerkte persoonsgegevens. Doorgifte van persoonsgegevens naar de VS is mogelijk als de betreffende Amerikaanse cloud service provider zich heeft verplicht tot naleving van de zogeheten Safe Harbor Principles. De Europese Commissie heeft namelijk bepaald dat in dat geval sprake is van een passend beschermingsniveau. Het CBP benadrukt in zijn zienswijze dat hierdoor doorgifte weliswaar mogelijk is, maar dat dit echter niet garandeert dat de daadwerkelijke verwerking van persoonsgegevens in de VS ook voldoet aan alle eisen van Europese en Nederlandse privacywet. Wettelijke meldplicht datalekken en inbreuken Wettelijke meldplichten zijn niet nieuw. Zo kennen we een (strafrechtelijke) meldplicht bij schending van staatsgeheimen. Voor ter beurze genoteerde ondernemingen bestaat een meldplicht ten aanzien van koersgevoelige informatie en van belangen. Maar de trend is stijgend. Zowel de Nederlandse als de Europese wetgever richten zich namelijk in toenemende mate op nieuwe wettelijke verplichtingen voor wat wordt genoemd datalekken en andere digitale veiligheidsincidenten (security breaches). Telecomwetgeving Allereerst gaat het om de nieuwe Telecommunicatiewet, die op 5 juni 2012 van kracht werd. De wet bevat een verplichting voor aanbieders van telecommunicatiediensten inbreuken op de continuïteit van hun dienst (storingen) te melden bij het Agentschap Telecom van het ministerie van ELI. Bovendien moeten deze leveranciers van digitale transportdiensten inbreuken op de beveiliging waarbij persoonsgegevens zijn gelekt, eveneens aangeven bij hetzelfde agentschap, die deze meldingen vervolgens aan de OPTA doorgeeft. Als het datalek naar verwachting ongunstige gevolgen heeft voor de persoonlijke levenssfeer moet de betrokkene (u en ik) ook nog eens direct op de hoogte worden gesteld STICHTING EUROCLOUD NEDERLAND, HAARLEM 14

15 Deze meldplicht wordt smal genoemd, omdat deze alleen op aanbieders van telecommunicatiediensten (een wettelijk begrip in de Europese telecomwetgeving) van toepassing is. Denk aan Internet Service Providers (ISPs) en telecommunicatiebedrijven. Wet bescherming persoonsregistraties Nederland wil verder een algemene ( brede ) meldplicht invoeren voor alle verantwoordelijken voor de verwerking van persoonsgegevens (de zogenoemde data controllers ) in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. Daarvoor zal een nieuwe bepaling (Artikel 34a) in de Wet bescherming persoonsgegevens worden opgenomen, die gekoppeld is aan de bekende beveiligingsmaatregelen van Artikel 13 WBP ( passende maatregelen zijn voorgeschreven). Met dit wetsvoorstel, dat nu in consultatie is, wil men bereiken dat bedrijven en overheidsorganisaties aan het College Bescherming Persoonsgegevens gaan melden wanneer zij zijn geconfronteerd met een lek in de beveiliging van hun geautomatiseerde verwerking van persoonsgegevens. Ook betrokkenen moeten worden geïnformeerd ( brede meldplicht). Europees privacyrecht Ondertussen heeft de Europese Commissie in januari jl. een voorstel voor een geheel nieuwe privacyverordening (met een rechtstreekse werking in alle 27 lidstaten) ingediend bij het parlement, waarin eveneens een meldplicht ter zake is opgenomen. Vitale infrastructurenrecht Nieuw betreft verder de ophanden zijnde uitbreiding van de meldplicht in het kader van de bescherming van vitale infrastructuren, naar aanleiding van de Motie Hennis-Plasschaert, die zijn grondslag vindt in de DigiNotarzaak. Het gaat bij de meldplicht om security breaches die de continuïteit van de eigen of andermans dienstverlening in belangrijke mate kunnen verstoren en die leiden tot (potentieel) maatschappelijke ontwrichting. In een dergelijk geval is het van belang dat de overheid de beschikking heeft over oplopende sectorale interventie-mogelijkheden om snel en kundig handelen mogelijk te maken. Benoemd zijn de sectoren elektriciteit, gas, 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 15

16 drinkwater, telecommunicatie, keren en beheren oppervlaktewater en transport (mainports Rotterdam en Schiphol). De meldplicht zal ook gelden voor de financiële sector en de overheid zelf STICHTING EUROCLOUD NEDERLAND, HAARLEM 16

17 Bijlage: Overzicht normen Bron: Michiel Steltman van Dutch Hosting Providers association (DHPA) Receptuur voor escrow voor opzet en opstart van diensten: waarborging continuïteit waarbij in een cloud klant B diensten van klant A kan overnemen: DHPA: Voor Normen het NIST (National Insitute of Standards and Technology) Terminologie in Cloud Computing: document NIST SP op bovengenoemde website Cloud services reference architecture: documentnistsp computing/pub/cloudcomputing/referencearchitecturetaxonomy/nist_sp_ _- _ pdf DHPA: aanpak van controls via een keurmerk: ng-werkt-aan-keurmerk.html Soorten risico s in de Cloud Bron: Koos Ziere, EDP-auditor ISACA: norm voor Cloud Computing: Center/Research/ResearchDeliverables/Pages/IT-Control-Objectives-for-Cloud- Computing-Controls-and-Assurance-in-the-Cloud.aspx Het bestand is tegen betaling van $ 50,00 (of voor leden van ISACA gratis) te downloaden. Wel kunnen de eerste twee hoofdstukken via Internet worden ingezien. Bron: Maurice van der Woude, bestuurslid EuroCloud Nederland EuroCloud Europa: certificeringsprogramma s voor Cloud geschikt voor kleine én grotere bedrijven en verschillende gradaties (1 tot 5 sterren) STICHTING EUROCLOUD NEDERLAND, HAARLEM 17

18 Bron: John van Huijgevoort van Cloud Security Alliance Whitepaper over risico s in Cloudcomputing van de National Cyber Security Centerhttps://www.ncsc.nl/dienstverlening/expertiseadvies/kennisdeling/whitepapers/whitepaper-cloudcomputing.html Achtergrondinformatie mbt cloud-certificering vanuit de Cloud Security Alliance (CSA) en de Nederlands CSA Chapter website vind je hier: https://chapters.cloudsecurityalliance.org/netherlands/ CCSK staat voor Certificate of Cloud Security Knowledge. https://cloudsecurityalliance.org/education/certificate-of-cloud-security-knowledge/ Is een door CSA self-proclaimed certificering voor individuen op het gebied van cloud security. Examen is online en kan door iedereen op ieder moment afgenomen worden tegen een fee van US$295, bestaat uit 50 vragen in 60 minuten met open boek.gebaseerd op: CSA Guidance: ENISA: Info https://cloudsecurityalliance.org/education/certificate-of-cloud-securityknowledge/ccsk-faq/ STAR Staat voor Security, Trust & Assurance Register. Zie https://cloudsecurityalliance.org/star/ Het doel is om cloud service providers uit te nodigen om op vrijwillige basis een van de volgende twee rapporten (of beiden) in te vullen en te laten registeren op de STAR website. Deze site is dan toegankelijk voor iedereen die meer inzicht wil krijgen in hoe een cloud provider nu precies relevante cloud security zaken aanpakt. De achterliggende gedachte is meer transparantie aan eindgebruikers te bieden om zodoende meer vertrouwen in de cloud-dienstverlening van de desbetreffende cloud provider te kweken. A. The Consensus Assessments Initiative Questionnaire (CAIQ) (https://cloudsecurityalliance.org/research/cai). This which provides industry-accepted ways to document what security controls exist in IaaS, PaaS, and SaaS offerings. The questionnaire (CAIQ) provides a set of over 140 questions a cloud consumer and cloud auditor may wish to ask of a cloud provider. Providers may opt to submit a completed Consensus Assessments Initiative Questionnaire. B. The Cloud Controls Matrix (CCM) (https://cloudsecurityalliance.org/research/ccm) which provides a controls framework that gives detailed understanding of security concepts and principles that are aligned to the Cloud Security Alliance guidance in 13 domains. As a framework, the CSA CCM provides organizations with the needed structure, detail and clarity relating to information security tailored to the cloud industry. Providers may choose to submit a report documenting compliance with Cloud Controls Matrix STICHTING EUROCLOUD NEDERLAND, HAARLEM 18

19 Zie ook: https://cloudsecurityalliance.org/education/online-learning/star-registrybriefing/ Bron: Peter H.J. van Eijk Certificering van medewerkers in de Cloud door opleiding tot CompTIA Cloud Essentials Professional (http://www.cloudessentials.nl/ en Overzicht van certificeringen in de Cloud: Bron: Andre Kwakernaat, oprichter Twinfield Initiatief van SaaS leverancier voor samenvoeging van bestaande certificeringen en normen: Bron: Theo Loth, oprichter en bestuurslid EuroCloud Nederland Code of Conduct van de Cloud Computing Industrie in Nieuw Zeeland Bron: Ton van Bergeijk, standaardisatie consultant, NEN Normcommissie (NC) Distributed Application Platforms and Services Cloud Computing. De normcommissie is opgericht in 2011, volgt de internationale formele standaardisatieontwikkelingen bij ISO/IEC JTC 1/SC 38 Distributed Application Platforms and Services. Aan de hand van de ontwikkeling van de normenwegwijzer Cloud computing, en onderkende zorgpunten is elk half jaar een vergadering met officiële stemmingen. Tussendoor zijn er werkafspraken. De commissie is op 7 september 2012 formeel gestart met de ontwikkeling van een Nederlandse praktijkrichtlijn (NPR 5317) Cloud Computing. Het proces is te volgen via de bovenstaande koppeling. Relevante ISO en ISO/IEC normen zijn openbaar en kunnen nog in 2012, via een NEN Connect abonnement, online worden ingezien STICHTING EUROCLOUD NEDERLAND, HAARLEM 19

20 Conclusie Breed gedragen normering en certificering zijn belangrijk voor de verantwoorde en veilige toepassing van cloud computing. Gebruikers willen immers weten wat de kwaliteit is van de cloud dienstverlener. Die kwaliteit dient aan de hand van erkende normen en standaards getoetst te zijn door een onafhankelijke organisatie. Cloud computing heeft tal van dimensies en aspecten. Dat maakt het lastig om tot cloud-brede, generieke normen en daarmee samenhangende certificeringen te komen. Normen en certificeringen op deelgebieden zijn deels nog volop in ontwikkeling, deels voltooid. Er is nog geen toetsingsorganisatie naar voren gekomen die cloud breed wil dan wel kan certificeren. Evenmin bestaat er een accreditatieorganisatie voor cloud die op haar beurt certificeringsinstellingen beoordeelt en toetst. In specifieke deelgebieden van cloud, bijvoorbeeld met betrekking tot datacenters, ligt dat echter anders. Er wordt op meerdere fronten gewerkt aan verdere normering. Die fronten zijn: de (Europese) wet- en regelgeving; de techniek, en de kennisopbouw. Europese wet- en regelgeving raakt niet alleen de aanbieder, maar ook de gebruiker. Met name het verantwoord omgaan met persoonsgegevens stelt eisen aan de gebruiker. Voor verdere normering en certificering van de technische voorzieningen van cloud computing is in de ICT veel voorwerk gedaan. Bestaande ICT normeringen en certificeringen kunnen een basis zijn voor een meer op cloud gericht stelsel van normen en toetsingen. Certificering van cloud kennis is al ver gevorderd op de weg naar volwassenheid. Diverse organisaties zijn actief om de kennis van professionals te toetsen en te certificeren. Onderwijl speelt gezond verstand een belangrijke rol bij de keuze van de cloud service. Wat is de track record van de dienstverlener, hoe transparant 2013 STICHTING EUROCLOUD NEDERLAND, HAARLEM 20

Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen

Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen Public briefing Certificering van de Cloud Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen Nan Zevenhek Bestuurslid EuroCloud Nederland EDP-Auditor 25-11-11 Opzet

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013 Cloud & Privacy B2B Clouddiensten Robert Boekhorst Amsterdam 27 juni 2013 Inleiding Privacyrecht: in vogelvlucht Knelpunten Hoe hier mee om te gaan? toekomstige ontwikkelingen Privacyrecht in vogelvlucht

Nadere informatie

De ontwikkelingen rondom het certificeren van cloudproducten Jan Aleman, CEO Servoy

De ontwikkelingen rondom het certificeren van cloudproducten Jan Aleman, CEO Servoy De ontwikkelingen rondom het certificeren van cloudproducten Jan Aleman, CEO Servoy 1 Jan Aleman, CEO & co-founder Servoy, steering committee SaaS~Cloud, secretary of EuroCloud Servoy: Platform to build,

Nadere informatie

Security, Legal and Compliance

Security, Legal and Compliance SharePoint Online Security, Legal and Compliance Voorstellen Harald van Leeuwen IT Consultant EIC Verantwoordelijk voor SharePoint portfolio www.linkedin.com/in/haraldvanleeuwen Harald.van.leeuwen@eic.nl

Nadere informatie

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 - cloud computing: het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens. - cloud: een netwerk van computers, waarbij

Nadere informatie

Privacy Compliance in een Cloud Omgeving

Privacy Compliance in een Cloud Omgeving Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau

Nadere informatie

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011 Privacy en cloud computing OCLC Contactdag 4 oktober 2011 Agenda - Wat is cloud computing? - Gevolgen voor verwerking data - Juridische implicaties 1 Wat is cloud computing? - Kenmerken: - On-demand self-service

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Public Briefing / mei 2014

Public Briefing / mei 2014 Public Briefing / mei 2014 Zeven terugkerende rechtsvragen over clouddiensten Mr. V.A. de Pous 1 Cloud computing mag dan in het middelpunt van de belangstelling staan, maar het leveringsmodel roept telkens

Nadere informatie

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken. Cloud computing Kennismaking Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken. Onze kennis, ervaring, methodieken en ons netwerk levert aantoonbare toegevoegde waarde en

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Gegevensbescherming & IT

Gegevensbescherming & IT Gegevensbescherming & IT Sil Kingma 2 november 2011 Gustav Mahlerplein 2 1082 MA Amsterdam Postbus 75510 1070 AM Amsterdam The Netherlands 36-38 Cornhill 6th Floor London EC3V 3ND United Kingdom T +31

Nadere informatie

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015. Opvallend betrokken, ongewoon goed

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015. Opvallend betrokken, ongewoon goed Cloud Computing -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015 Opvallend betrokken, ongewoon goed Agenda Inleiding Mijn achtergrond Over Innvolve Cloud Computing Overwegingen Afsluiting

Nadere informatie

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Wat en wie is Andarr? Wij zijn dé partner voor waardevaste ICT transities / migraties. Wij helpen organisaties om blijvend

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus

Nadere informatie

Het Europese privacyrecht in beweging

Het Europese privacyrecht in beweging Presentatie van de NOREA-publicatie Het Europese privacyrecht in beweging Opsteller: Mr. dr. A.W. (Anne-Wil) Duthler NOREA, Duthler Associates Amsterdam, 13 december 2012 Agenda Inhoud Europese privacyverordening

Nadere informatie

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin www.pwc.nl Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin Even voorstellen Maurice Steffin Maurice is Manager Privacy binnen het Privacy team. Hij combineert zijn privacy kennis

Nadere informatie

Uitgangspunten voor een Nationale Cloud Agenda

Uitgangspunten voor een Nationale Cloud Agenda Uitgangspunten voor een Nationale Cloud Agenda 2011 Stichting EuroCloud Nederland, Haarlem Op dit document is een Creative Common License van toepassing, de CC BY-NC-ND 3.0 licentie (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.nl).

Nadere informatie

onderzoek en privacy WAT ZEGT DE WET

onderzoek en privacy WAT ZEGT DE WET onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving

Nadere informatie

BCM en de Cloud. CSA-nl 10 april 2012 André Koot

BCM en de Cloud. CSA-nl 10 april 2012 André Koot BCM en de Cloud CSA-nl 10 april 2012 André Koot info@i3advies.nl Twitter: @meneer Agenda Cloud Risico's Maatregelen 1. Cloud Cloud omnipresent Wereldwijd alle grote aanbieders Volop management aandacht

Nadere informatie

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY Hans Breukhoven BlinkLane Consulting 18 September 2012 2 Wie ben ik? Partner bij BlinkLane Consulting Interim IT-manager & adviseur

Nadere informatie

PRIVACY WET (WBP) EN DE CLOUD. Juridische aspecten van de cloud. Auteur: Wiebe Zijlstra (16 January 2015)

PRIVACY WET (WBP) EN DE CLOUD. Juridische aspecten van de cloud. Auteur: Wiebe Zijlstra (16 January 2015) PRIVACY WET (WBP) EN DE CLOUD Auteur: Wiebe Zijlstra (16 January 2015) Steeds meer organisaties maken voor een deel van hun informatieverwerking gebruik van de cloud, soms ter vervanging van hun eigen

Nadere informatie

Privacy aspecten van apps

Privacy aspecten van apps Privacy aspecten van apps mr. Peter van der Veen Senior juridisch adviseur e: vanderveen@considerati.com t : @pvdveee Over Considerati Considerati is een juridisch adviesbureau gespecialiseerd in ICT-recht

Nadere informatie

Wet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken. Safe Harbor Ø. Binding Corporate Rules

Wet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken. Safe Harbor Ø. Binding Corporate Rules Dataprivacy Wet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken Safe Harbor Ø Binding Corporate Rules Wbp Neerslag EU-regelgeving (rl. 95/46/EG), in hele EU De titel van de wet zegt het

Nadere informatie

Digitale Infrastructuur Nederland

Digitale Infrastructuur Nederland Digitale Infrastructuur Nederland ?? Thema s Voorlichting Uitleg en duiding van thema s naar politiek, overheid, bedrijfsleven en publiek. Versterken van de positie van Nederland als vestigingsplaats voor

Nadere informatie

Datum 8 november 2012 Onderwerp Beantwoording kamervragen over de toegang van de VS tot data in de cloud

Datum 8 november 2012 Onderwerp Beantwoording kamervragen over de toegang van de VS tot data in de cloud 1 > Retouradres Postbus 20301 2500 EH Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Schedeldoekshaven 100 2511 EX Den Haag Postbus 20301 2500 EH Den

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

De as a Service dienstverlening in het Nederlandse ICT landschap in kaart gebracht.

De as a Service dienstverlening in het Nederlandse ICT landschap in kaart gebracht. De as a Service dienstverlening in het Nederlandse ICT landschap in kaart gebracht. VOORLOPIGE RESULTATEN VOISS RESEARCH VOISS research richt zich sinds begin 2013 op het in kaart brengen van ICT bedrijven

Nadere informatie

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy

Nadere informatie

De Staatssecretaris van Veiligheid en Justitie Advies wetsvoorstel gebruik camerabeelden en meldplicht datalekken.

De Staatssecretaris van Veiligheid en Justitie Advies wetsvoorstel gebruik camerabeelden en meldplicht datalekken. POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl AAN De Staatssecretaris van Veiligheid

Nadere informatie

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: Privacyreglement Spoor 3 BV Artikel 1. Begripsbepalingen Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: de wet: de Wet bescherming persoonsgegevens (Wbp) het reglement:

Nadere informatie

Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten.

Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten. Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten. Paul Harmzen ControlSolutions Peter Potters - Informer 16 juni 2016 1. Actuele stand van zaken 2. Datalekken en Privacy Shield

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Mogen advocaten hun data in de Cloud bewaren?

Mogen advocaten hun data in de Cloud bewaren? Cloud Computing Traditioneel staat/stond de software waar kantoren gebruik van maken voor hun dossier en/of financiële administratie, op een server die zich fysiek op het advocatenkantoor bevond. Steeds

Nadere informatie

Van perceptie naar werkelijkheid

Van perceptie naar werkelijkheid White Paper 6 juni 2013 Juridische aandachtspunten ten aanzien van Cloud Computing Van perceptie naar werkelijkheid Bij aanbieders van Cloud Computing gaat het vaak om grote buitenlandse spelers, waardoor

Nadere informatie

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Uw tandartspraktijk. Een goudmijn voor internetcriminelen Uw tandartspraktijk Een goudmijn voor internetcriminelen Wat gaan we doen? De digitale data-explosie Nieuwe privacywetgeving (a giant leap for mankind) Wat wilt u onze hacker vragen? Help! Uw praktijk

Nadere informatie

PRIVACY EN CLOUD. Knelpunten:

PRIVACY EN CLOUD. Knelpunten: PRIVACY EN CLOUD Knelpunten: Wat is cloud? Soorten clouddiensten en de verschillen Wie is de verantwoordelijke? Wie heeft de beveiligingsverplichting? Is een bewerkersovereenkomst nodig? Waar staan de

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Framework Secure Software Secure software in de strijd tegen cybercrime

Framework Secure Software Secure software in de strijd tegen cybercrime Framework Secure Software Secure software in de strijd tegen cybercrime Woensdag 8 oktober 2014 Postillion Hotel Utrecht Bunnik Fred Hendriks (directeur a.i. Secure Software Foundation) Tim Hemel (CTO

Nadere informatie

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; Privacyreglement ArboVitale ArboVitale vindt het belangrijk dat u uitleg krijgt over hoe ArboVitale persoonsgegevens beschermt en hoe onze medewerkers om gaan met privacygevoelige informatie. Paragraaf

Nadere informatie

PLATFORM IZO 21 OKTOBER 2016

PLATFORM IZO 21 OKTOBER 2016 PLATFORM IZO 21 OKTOBER 2016 Wat is er aan de hand? Actualiteit, media, politiek Calamiteiten Te weinig samenwerking en informatiedeling door professionals roep om meer regie (Heerlen) Juridische kritiek

Nadere informatie

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010 SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010 We staan aan de vooravond van de volgende Internetrevolutie De klassieke werkwijze van organisaties zal

Nadere informatie

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens 2015

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens 2015 Post doctorale Specialisatiecursus Privacy en Persoonsgegevens 2015 Docenten: Corien Prins (Tilburg University), Lokke Moerel (Morrison Foerster/Tilburg University), Peter van Schelven (voormalig hoofd

Nadere informatie

Meldplicht datalekken

Meldplicht datalekken Meldplicht datalekken Peter Westerveld Directeur en principal security consultant Sincerus consultancy Sincerus Cybermonitor Opgericht in 2004 20 medewerkers Informatiebeveiliging Zwolle en Enschede 15-02-16

Nadere informatie

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6 Inhoud Uitbesteden ICT: Wat, waarom, aan wie en hoe? 3 Relatie tussen ICT en 3 Outsourcen ICT: Wat? 3 Cloud Services 3 Service Level Agreement 3 Software

Nadere informatie

SURF Juridisch normenkader cloudservices

SURF Juridisch normenkader cloudservices SURF Juridisch normenkader cloudservices The ICT marketplace by SURF for Dutch Higher Education & Research Olga Scholcz Juridisch Adviseur Relationships & Transactions in SURFmarket Agreements SURFmarket

Nadere informatie

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

Trends in de Campusinfrastuctuur. In samenwerking met Stratix Trends in de Campusinfrastuctuur In samenwerking met Stratix Agenda Workshop Trends in Campusinfrastructuur 30-4-2015 Agenda Introductie: SURFnet Automated Networks IaaS en SaaS Wireless Privacy en Security

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

To cloud or not to cloud

To cloud or not to cloud Stad & OCMW Sint-Niklaas To cloud or not to cloud gebruik bij lokale besturen Ivan Stuer 25 juni 2015 Wat is cloud eigenlijk? Wat is cloud eigenlijk? Voordelen echte realisatie van 'on-demand' computing

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST BEWERKERSOVEREENKOMST 1. [ORGANISATIE], statutair gevestigd te [PLAATS], kantoor houdende [ADRES], ingeschreven in het handelsregister onder nummer [KVKNR], hierbij vertegenwoordigd door [DHR/MEVR] [NAAM],

Nadere informatie

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene

Nadere informatie

ECIB/U201501573 Lbr. 15/079

ECIB/U201501573 Lbr. 15/079 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Privacy: de Europese Algemene Verordening Gegevensbescherming & de Meldplicht Datalekken

Nadere informatie

Datalekken: preventie & privacy

Datalekken: preventie & privacy Datalekken: preventie & privacy Platform voor Informatiebeveiliging 25 april 2013 Mirjam Elferink Onderwerpen 1. Inleiding 2. Casus datalek 3. Huidige en toekomstige wetgeving datalek meldplichten 4. Casus

Nadere informatie

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz Informatiebeveiliging: de juridische aspecten Anton Ekker juridisch adviseur Nictiz 20 september 2012 Onderwerpen beveiligingsplicht Wbp aandachtspunten implementatie IAM en BYOD wat te doen bij een datalek?

Nadere informatie

In vier stappen voldoen aan de meldplicht datalekken

In vier stappen voldoen aan de meldplicht datalekken In vier stappen voldoen aan de meldplicht datalekken dfg WHITEPAPER Datum ID Nummer 20 september 2012 12015 Auteur(s) mr. dr. A.H. (Anton) Ekker Samenvatting De Nederlandse overheid en de Europese Commissie

Nadere informatie

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ```` Naar aanleiding van de recente onthullingen rondom de NSA, de Patriot act en PRISM is er veel onduidelijkheid voor organisaties of hun gegevens wel veilig en voldoende beschermd zijn. Op 1 januari 2016

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Wat is de cloud? Cloud computing Cloud

Wat is de cloud? Cloud computing Cloud The Cloud Agenda Wat is de cloud? Ontwikkelingen en trends in de markt Bedrijfsstrategie Voordelen en vraagtekens Werken in de cloud: Hoe? Veiligheid & privacy Toepasbaarheid in breder verband Demo Borrel

Nadere informatie

Dé cloud bestaat niet. maakt cloud concreet

Dé cloud bestaat niet. maakt cloud concreet Dé cloud bestaat niet. maakt cloud concreet 1 Wilbert Teunissen wilbert.teunissen@sogeti.nl Cloud Cases Strategie De rol van Functioneel Beheer 2 Onderwerpen 1. Context? Hug 3. the Impact cloud! FB 2.

Nadere informatie

Whitepaper. Cloudarchitectuur Meer grip op cloud computing door inzet referentiearchitectuur. Auteur: Klaas Heek, Solutions Architect

Whitepaper. Cloudarchitectuur Meer grip op cloud computing door inzet referentiearchitectuur. Auteur: Klaas Heek, Solutions Architect Whitepaper Cloudarchitectuur Meer grip op cloud computing door inzet referentiearchitectuur Auteur: Klaas Heek, Solutions Architect Inhoudsopgave Inleiding 3 1 De hype overstijgen 3 2 De referentiearchitectuur

Nadere informatie

INFORMATIEBIJEENKOMST 20 september 2016

INFORMATIEBIJEENKOMST 20 september 2016 INFORMATIEBIJEENKOMST 20 september 2016 Programma 19.00 uur Ontvangst en welkom 19.15 uur Welkomstwoord - Arjen Buit 19.30 uur Wet bescherming persoonsgegevens en meldplicht datalekken - Lucas Vousten

Nadere informatie

Mirabeau Academy LEGAL COMPLIANCE & SECURITY Training

Mirabeau Academy LEGAL COMPLIANCE & SECURITY Training Mirabeau Academy LEGAL COMPLIANCE & SECURITY Training LEGAL COMPLIANCE & SECURITY Wet- en regelgeving bepaalt steeds nadrukkelijker de grenzen waarbinnen digitale dienstverlening zich mag bewegen. De regels

Nadere informatie

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Waarom privacy een relevant thema is En wat u morgen kunt doen

Waarom privacy een relevant thema is En wat u morgen kunt doen Waarom privacy een relevant thema is En wat u morgen kunt doen Voorstellen Frank van Vonderen audit, informatiebeveiliging & privacy Management Consultant Adviseur én in de modder 20 jaar in 5 stappen:

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Hoe belangrijk is het verschil tussen public en private cloud in de praktijk?

Hoe belangrijk is het verschil tussen public en private cloud in de praktijk? 1 Hoe belangrijk is het verschil tussen public en private cloud in de praktijk? De verschillende soorten cloud INHOUD Inleiding Public cloud Private cloud Community cloud Hybrid cloud In de praktijk Conclussie

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Juridische uitdagingen van CC

Juridische uitdagingen van CC Juridische uitdagingen van Cloud Computing IIR Cloud Computing 2010 Louis Jonker 17 november 2010 Juridische uitdagingen van CC Gebruikelijke aandachtspunten bij uitbestedingsrelatie Transitie Service

Nadere informatie

Juridische valkuilen bij cloud computing

Juridische valkuilen bij cloud computing Juridische valkuilen bij cloud computing De drie belangrijkste juridische risico s bij cloud computing Cloud computing is geen zelfstandige nieuwe technologie, maar eerder een service delivery framework

Nadere informatie

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden; Cloud Computing Cloud computing, waarschijnlijk bent u de term de afgelopen jaren veelvuldig tegengekomen. De voor- en nadelen van cloud computing worden met enige regelmaat in de juridische literatuur

Nadere informatie

Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ

Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ Platform IZO 20 september 2013 Mr. P.L. Coté MBA Wie zijn wij? > Adviseurs voor bestuur, recht en ICT: privacybescherming identitymanagement taxonomieën

Nadere informatie

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016 Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016 Privacyrecht Wetgeving: Wet bescherming persoonsgegevens (Eur. Richtlijn 95/46/EG)

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Een juridische vooruitblik: vertrouwen in de informatiemaatschappij centraal. Wetgeving, wetgeving en nog eens wetgeving

Een juridische vooruitblik: vertrouwen in de informatiemaatschappij centraal. Wetgeving, wetgeving en nog eens wetgeving Public Briefing / januari 2015 Een juridische vooruitblik: vertrouwen in de informatiemaatschappij centraal Mr. V.A. de Pous 1 Cloud computing inmiddels de hype voorbij vormt de drijvende kracht achter

Nadere informatie

Presentatie Jaarcongres ICT Accountancy Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 2 november 2016

Presentatie Jaarcongres ICT Accountancy Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 2 november 2016 Presentatie Jaarcongres ICT Accountancy Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 2 november 2016 Programma Korte introductie privacyrecht Rol accountant: verantwoordelijke of

Nadere informatie

Template voor bewerkersovereenkomst

Template voor bewerkersovereenkomst B Template voor bewerkersovereenkomst Dit is een modelovereenkomst die dient als voorbeeld. BEDRIJF en SAAS-leveranciers kunnen met dit model zelf nadere afspraken maken naar aanleiding van iedere specifieke

Nadere informatie

Cloud adoptie in Europa:

Cloud adoptie in Europa: Public Briefing / Maart 2015 Cloud adoptie in Europa: Angst voor onveiligheid en gebrek aan kennis temperen implementaties Door: Maurice van der Woude 1 In december 2014 heeft EuroStat, een orgaan van

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie CIBER Nederland BV Agenda SURF 1. Introductie CIBER 2. Visie Cloud Services 3. Visiei Position Paper Beliefs 4. Hoe kan CIBER hepen 2 Titel van de presentatie 1. Introductie CIBER Nederland? Feiten en

Nadere informatie

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens Post doctorale Specialisatiecursus Privacy en Persoonsgegevens Docenten: Corien Prins (Tilburg University), Lokke Moerel (De Brauw Blackstone Westbroek/Tilburg University), Peter van Schelven (Nederland

Nadere informatie

GDPR: Ontwikkelingen in privacy en de impact op de overheid

GDPR: Ontwikkelingen in privacy en de impact op de overheid GDPR: Ontwikkelingen in privacy en de impact op de overheid Prof. Dr. Frankie Schram, KU Leuven geeft sinds 2003 les aan het KU Leuven en is ook professor Bestuursrecht aan de Antwerp Management School.

Nadere informatie

Cloud computing: het juridisch kader

Cloud computing: het juridisch kader Cloud computing: het juridisch kader Auteur: Willem-Jan van Elk en Miranda van Elswijk Steeds meer softwarediensten zijn altijd en overal beschikbaar via internet. Deze diensten worden cloud services genoemd.

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Vertrouwen in ketens. Jean-Paul Bakkers

Vertrouwen in ketens. Jean-Paul Bakkers Vertrouwen in ketens Jean-Paul Bakkers 9 april 2013 Inhoud Het probleem Onderlinge verbondenheid De toekomstige oplossing TTISC project Discussie Stelling Wat doet Logius al Business Continuity Management

Nadere informatie

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Goedgekeurd op 11 februari 2011

Goedgekeurd op 11 februari 2011 GROEP GEGEVENSBESCHERMING ARTIKEL 29 00327/11/NL WP 180 Advies 9/2011 betreffende het herziene voorstel van de industrie voor een effectbeoordelingskader wat betreft de bescherming van de persoonlijke

Nadere informatie

Resultaten 2 e Cloud Computing onderzoek in Nederland. Alfred de Jong Principal Consultant Manager Architectuur & Innovatie Practice

Resultaten 2 e Cloud Computing onderzoek in Nederland. Alfred de Jong Principal Consultant Manager Architectuur & Innovatie Practice Resultaten 2 e Cloud Computing onderzoek in Nederland Alfred de Jong Principal Consultant Manager Architectuur & Innovatie Practice De thema voor deze presentatie: Onderzoeksresultaten betreffende het

Nadere informatie