cr1me : sa men tegen cyber- MR. C.M. GERRITSMA -BREUR EN MR. M.A.M. VERVELD -SUIJKERBUIJK 1
|
|
- Krista van de Brink
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1
2 : sa men tegen cyber- cr1me MR. C.M. GERRITSMA -BREUR EN MR. M.A.M. VERVELD -SUIJKERBUIJK 1 Met een voortdurend groeiende afhankelijkheid van technologie neemt de kwetsbaarheid van de Nederlandse samenleving elke dag toe. Digitale spionage, overname van ICT via malware-infecties en manipulatie van informatie vormen op dit moment de grootste dreiging. 1 ICT-aanvallen nemen niet aileen toe, maar worden ook professioneler en geavanceerder. Voorbeelden zijn distributed denial-of-sevice (DDoS) aanvallen die sterker en langduriger worden en Advanced Persistent Threats, volhardende pogingen om een ICT-infrastructuur binnen te dringen om vervolgens heimelijk aanwezig te blijven. 2 De overheid investeert flink in de strafrechtelijke aanpak van cybercrime, in het bijzonder van High Tech Crime (HTC). HTC betreft bijzondere vormen van cybercrime waarbij ICT het doelwit is, relatief nieuwe, geavanceerde technieken en middelen worden gebruikt, het functioneren van de Nederlandse staat of samenleving in het geding is, of sprake is van 'high impact'. 3 Zo zal het Team High Tech Crime (THTC) van de Dienst Landelijke Recherche van de Nationale Politie in 2014 onder Ieiding van het Landelijk Parket twintig HTC-zaken kunnen draaien (tegenover zes zaken in 2012). 4 Hiervoor zal het THTC binnen drie jaar worden verviervoudigd. Het aantal incidenten dat jaarlijks als gevolg van cybercrime plaatsvindt, ligt vanzelfsprekend Nationaal Cyber Security Centrum, Cybersecuritybeeld Nederland (CSBN 3), Den Haag: CSBN 2013, p CSBN-3, p F. Bernaards LL.M, E. Monsma Msc., P. Zinn Msc., High Tech Crime. Crimina/iteitsbeeldanalyse 2012, Woerden: KLPD 2012, p. 12. High impact kan bestaan uit financieel-economische schade, inbreuk op de continu"iteit van bedrijfsvoering of inbreuk op het vertrouwen van burgers of consumenten. 4 Ministerie van Veiligheid en Justitie, De Nationale Cyber Security Strategie (NCSS). 5/agkracht door samenwerking, Den Haag 2011, p. 9. vee! hoger dan het politieke getal 'twintig'. Niet elk incident zal strafrechtelijk kunnen worden aangepakt. Bovendien is een strafrechtelijke aanpak geen garantie voor succes. De huidige technieken maken het vrij eenvoudig voor een verdachte om identiteit en herkomst te verhullen. En als een spoor kan worden gevonden, leidt dit dikwijls naar verdachten die in Ianden verblijven waarmee internationale strafrechtelijke samenwerking niet mogelijk is. Mede om die reden zoeken het Openbaar Ministerie (OM) en de politie in toenemende mate contact met andere overheidsinstanties en de private sector. Het contact tussen overheid en private sector ter bestrijding van cybercrime valt op dit moment uiteen in (i) samenwerkingsverbanden waarbinnen informatie wordt gedeeld en (ii ) wettelijke informatieplichten. Beide worden hierna besproken. De ervaringen binnen de samenwerkingsverbanden zijn positief, maar evenwel zien instellingen in de private sector zich door de wildgroei aan informatieplichten vaak tegen wil en dank als verlengstuk van de overheid; van hen wordt verwacht dat ze toezichthouder of OM over allerhande onderwerpen informeren. Een specifieke terugkoppeling van wat er met een melding is gedaan en van de inzichten die dankzij de melding zijn opgedaan, blijft doorgaans achterwege. Daardoor zijn de informatieplichten een last voor de private sector, terwijl het hen beperkt nieuwe inzichten oplevert. Verdergaande informatiedeling dan in dit artikel beschreven, wordt vaak gehinderd door een gebrek aan vertrouwen. 5 5 Zie bijvoorbeeld European Commission, Commission Staff Working document Impact Assessment bij Proposal for a Directive of the European Parliament and of the Council Concerning measures to ensure a high level of network and information security across the Union, SWD(2013) 16 SOU UITGEVERS I NUMMER 1, SEPTEMBER loll TIJDSCHRIFT ONDERNEMING & STRAFRECHT IN PRAKTIJK
3 1 + 1 = 3: SAMEN TEGEN CYBERCRIME De reele kans dat bedrijfsgevoelige informatie die eerder aan de overheid is verstrekt, op grond van de Wet openbaar bestuur bekend wordt gemaakt, leidt eveneens tot terughoudendheid bij informatiedeling. 6 Om cybercrime effectief te bestrijden, kunnen de private en publieke sectoren echter niet zonder elkaar. De private sector beschikt als beheerder van een groot deel van de Nederlandse ICT-infrastructuur over relevante informatie, bijvoorbeeld over incidenten en techniek. De publieke sector kan op zijn beurt de private sector voorzien van informatie over actuele dreigingen, waargenomen trends en modi operandi. Het delen van deze informatie kan leiden tot een betere beveiliging van de ICTinfrastructuur en opsporing en vervolging van cybercrime. kan worden gecontroleerd of de politie meldingen heeft ontvangen over een bepaalde (ver)koper op een handelssite of webshop. Ook kunnen slachtoffers melding en aangifte doen bij het LMI0. 11 Het LMIO stuurt een deel van de informatie uit de meldingen door naar Marktplaats zodat het waar mogelijk maatregelen kan treffen, waaronder het verwijderen van advertenties en het blokkeren van accounts. De gedeelde verantwoordelijkheid bij de bestrijding van computercriminaliteit wordt breed onderstreept De gedeelde verantwoordelijkheid bij de bestrijding van cybercrime wordt breed onderstreept' en ook de private sector erkent deze verantwoordelijkheid in toenemende mate. 8 Vanzelfsprekend kan ook private-private en publieke-publieke samenwerking bijdragen aan een effectieve bestrijding van cybercrime. In dit artikel bespreken wij mogelijkheden om samenwerking en informatiedeling ter bestrijding van cybercrime 9 te verbeteren. Daarbij richten we ons met name op de relatie tussen de private sector en het OM. Voorafgaand aan de bespreking van deze mogelijkheden bespreken we bestaande samenwerkingsverbanden en informatieplichten10 en het juridische kader waaraan OM en private sector zijn gebonden bij informatiedeling. Bestaande samenwerkingsverbanden De afgelopen jaren zijn diverse samenwerkingsverbanden opgericht om cybercrime integraal aan te pakken. Het Landelijk Meldpunt Internetoplichting (LMIO) is bijvoorbeeld een samenwerkingsverband tussen Marktplaats, het OM en de politie ter bescherming van het vertrouwen in de handel via internet door het treffen van preventieve maatregelen, adequate voorlichting en snelle gegevensuitwisseling in gevallen van fraude. Een van deze maatregelen is de introductie van een functie waarmee 32final. 6 Nationaal Adviescentrum Vitale lnfrastructuur (NAVI), Toe/ichting op de Leidraad uitwisseling van gevoelige informatie, Den Haag: NAVI 2009, p. 21 e.v. 7 Zie bijvoorbeeld European Commission, Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, Brussels JOIN(2013) 1 final, p. 4, Ministerie van Buitenlandse Zaken, Kamerbrief lnternationale Veiligheidsstrategie, 21 juni 2013 DVBND Het is de verwachting dat de noodzaak tot publiek-private samenwerking bij de aanpak van cybercrime zal worden benadrukt in de Nederlandse Cybersecurity Strategie 2013, die eind ditjaar verschijnt. 8 Zie bijvoorbeeld het Partnership for Cyber Resilience van het World Economic Forum waarbij organisaties als TNO, KPN, Alliander, Unilever en Schiphol Group zich aansloten. 9 Een aantal van de mogelijkheden kan ook worden ingezet ter bestrijding van andere vormen van criminaliteit. 1 0 Voor een goed beg rip van de positie van de private sector worden ook informatieplichten a an de toezichthouder besproken. De Electronic Crimes Taskforce (ECTF) is een samenwerkingsverband dat in 2011 is aangegaan door onder andere de drie grote banken van Nederland (ABN AMRO, ING, Rabobank), het OM en de politie. Begin dit jaar is ook SNS Bank aangesloten. De ECTF is opgericht om 'electronic crimes', met name digitale bancaire fraude veroorzaakt door phishing en banking rna/ware, effectiever te kunnen voorkomen en op te sporen. Binnen het samenwetkingsverband worden unieke en specifieke kennis, informatie en expertise gedeeld. Sinds mei 2012 is de ECTF betrokken bij meer dan twintig onderzoeken en zijn er meer dan honderd verdachten aangehouden. Het Landelijk Skimmingpoint (LSP) is een samenwerking tussen het OM, de politie en Equens, dat namens de Betaalvereniging Nederland deelneemt. Het LSP verzamelt alle gerapporteerde skimmingincidenten in Nederland en analyseert en combineert deze met de centraal opgeslagen bancaire informatie bij Equens. 12 Alle deelnemers profiteren van het verbeterde zicht op verschijningsvormen van skimming, criminele samenwerkingsverbanden, nieuwe trends en effecten van genomen maatregelen. Zo is zichtbaar geworden dat waar dankzij eerdere maatregelen het skimmen in winkels enorm is afgenomen, het fenomeen zich verplaatst naar onbemande betaal- en geldautomaten in de parkeersector en de onbemande benzinebranche. Deelnemers van het LSP kunnen zich hierop inspannen voor nieuwe, aanvullende maatregelen, zoals de Betaalvereniging dit heeft benoemd in de strategische prioriteiten voor Naast het verbeteren van de kennispositie van de private sector en de overheid, ondersteunt het LSP opsporingsonderzoeken van de politie en bereidt het opsporingsvoorstellen voor. 14 Vanuit de bredere invalshoek cyber security, dat de bestrijding van cybercrime raakt, speelt het Nationaal Cyber 11 Zie Opportuun, 2013 nr. 6, p M. Grapendaal, Skimmen, Verslag van een onderzoek voor het Nationaa/ dreigingsbeeld 2072, Zoetermeer: Dienst I POL, p. 17; Maatschappelijk Overleg Betalingsverkeer, Rapportage Maatschappe/ijk Overleg Betalingsverkeer 207 7, p Zie rollen-taken/strategi sche-prioriteiten-2013/. 14 Zie Opportuun, 2012 nr. 4, p. 6. TIJDSCHRIFT ONDERNEMING & STRAFRECHT IN PRAKTIJK SOU UITGEVERS I NUMMER 1, SEPTEMBER lo ll 17
4 Security Centrum (NCSC) een belangrijke rol. Het NCSC is in januari 2012 opgericht en heeft ten doe! gezamenlijk de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten. Het NCSC valt onder de Nationaal Coordinator Terrorismebestrijding en Veiligheid van het ministerie van Veiligheid en Justitie en is gestoeld op publiek-private samenwerking. Het heeft geen toezichthoudende of opsporingsbevoegdheden. Diverse publieke partijen, waaronder het OM en de politie, zijn inmiddels aangesloten bij het NCSC en gaandeweg raken ook steeds meer private partijen betrokken. Zo zijn begin 2013 meerdere Information Sharing and Analysis Centers (ISACs ) aan het centrum gekoppeld: samenwerkingsverbanden waarbij deelnemers uit een bepaalde branche en bepaalde overheidspartijen een aantal keren per jaar bijeenkomen om in vertrouwen ervaringen en informatie uit te wisselen over cyber security. 15 Communicatie en vertrouwen vormen de basis van goede samenwerking. Daarvan is in de contacten tussen publieke en private sector nog niet altijd sprake Werkafspraken binnen samenwerkingsverbanden worden in het algemeen vastgelegd in de vorm van convenanten, reglementen of andere geheimhoudingsovereenkomsten. Deze afspraken zijn bindend tussen partijen, maar kunnen niet hoven de wet gaan. Bestaande informatieplichten private sector Naast de genoemde samenwerkingsverbanden geldt voor de private sector een aantal informatieplichten - dat in de nabije toekomst wordt uitgebreid - waardoor ogen en oren van de private sector kunnen worden ingezet voor de bestrijding van cybercrime en een adequate reactie op incidenten. a. Meldplichten vitale sectoren Voor een groot dee! van de sectoren die van essentieel belang zijn voor de Nederlandse infrastructuur gelden uiteenlopende meldplichten, zoals voor de financiele sector, de accountantssector, de elektriciteitssector, de gassector, de drinkwatersector, de sector waterkering, de sector beheersing van waterkwantiteit, de telecomsector, de luchtvaartsector, de havensector en de spoorsector. Zo geldt voor financiele ondernemingen, zoals banken, een verplichting incidenten die een ernstig gevaar vormen voor de integere bedrijfsvoering te melden aan de toezichthouder. 16 Een ander voorbeeld is de plicht die geldt voor netbeheerders binnen de elektriciteitssector om de veiligheid en betrouwbaarheid van het net te waarborgen. 17 De sectorale weten regelgeving kan veelal zowel strafrechtelijk als bestuursrechtelijk worden gehandhaafd. b. Aanglfteplicht Naast de meldplichten geldt in bepaalde situaties een aangifteplicht, bijvoorbeeld wanneer iemand kennis draagt van een door een ander veroorzaakte stoornis in een geautomatiseerd werk of enig werk voor telecommunicatie en daardoor levensgevaar is veroorzaakt (artikel 160 Wetboek van Strafvordering jo 161sexies lid 1 onder 3 Wetboek van Strafrecht). Ook wanneer een cyberincident een misdrijf tegen de veiligheid van de Staat oplevert, kan een aangifteplicht ontstaan. c. Toekomstige meldplichten Wetsvoorstellen die verband houden met cybercrime volgen elkaar in razend tempo op, zowel op nationaal als op Europees terrein. Op dit moment liggen voorstellen op tafel voor een meldplicht bij datalekken en bij ICTinbreuken. Meldplicht datalekken Het Nederlandse wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens (Wbp) bevat een meldplicht datalekken aan het College bescherming persoonsgegevens (CBP) in de situatie dat redelijkerwijs kan worden aangenomen dat een inbreuk op beveiligingsmaatregelen leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die worden verwerkt. De EU-conceptverordening bescherming persoonsgegevens bevat eveneens een meldplicht bij inbreuken in verband met persoonsgegevens. Deze laatste wijkt op diverse onderdelen af van het Nederlandse voorstel, onder meer wat betreft de termijn van melden en de situaties waarin moet worden gemeld. 1 s Meldplicht ICT-inbreuken Het conceptwetsvoorstel Wet melding inbreuken elektronische informatiesystemen verplicht vitale aanbieders van producten of diensten tot het melden aan het NCSC van daadwerkelijke inbreuken op de veiligheid of daadwerkelijk verlies van de integriteit van informatiesystemen waardoor de beschikbaarheid of betrouwbaarheid van het product of de dienst in belangrijke mate wordt of kan worden onderbroken. Het NCSC kan de verkregen informatie volgens het voorstel gebruiken om de door de inbreuk getroffen aanbieder bij te staan en informatie en advies te geven aan andere aanbieders, computercrisisteams of het publiek. Het NCSC kan volgens 15 Er zijn op dit moment elf 15ACs, waaronder een voor financiele instellingen, telecom, energie, zorg en multinationals. Zie / organisatie/samenwerkingspartners/isac/isacs.html. 16 Art. 12 lid 3 Besluit prudentiele regels Wet op het financieel toezicht en art. 19 lid 3, art. 2411d 3 en art. 291id 3 Besluit gedragstoezicht financiele ondernemingen Wet op het financieel toezicht. 17 Art. 16 Elektriciteitswet. 18 Zie voor een korte bespreking van de verschillen tussen de voorstellen M.A.M. Verveld-Suijkerbuijk, AJ.P. Tillema, 'Netwerk- en informatiebeveillging: ontwikkelingen in het regelgevende kader; Ondernemingsrecht 2013/ SDU UITGEVERS I HUMMER 1, SEPTEMBER 1013 T1JD5CHRIFT ONDERNEMING & STRAFRECHT IN PRAKTIJK
5 1 + 1 = 3: samen tegen cybercrime het voorstel geen sancties opleggen bij niet-naleving van de meldplicht. De meldplicht zal bestaan naast de meldplichten die binnen diverse vitale sectoren a! gelden (zie hiervoor). Op Europees terrein wordt op dit moment onderhandeld over de inhoud van een Europese conceptrichtlijn netwerk- en informatiebeveiliging. De conceptrichtlijn bevat eveneens een meldplicht bij inbreuken op informatiebeveiliging bij een 'bevoegde autoriteit' en staat de bevoegde autoriteit toe het publiek te informeren over een melding, of een meldingplichtige instellingen daartoe te verplichten. Het Nederlandse conceptwetsvoorstel en de conceptrichtlijn wijken van elkaar af, bijvoorbeeld wat betreft de bevoegdheden van de 'bevoegde autoriteit'/het NCSC en de instellingen die onder de meldplicht vallen. Voornoemde meldplichten zijn in elk geval in theorie een stap in de richting van publiek-private samenwerking. Juridisch kader informatiedeling a. Private sector De private sector client bij informatiedeling onder meer de Wbp, sectorspecifieke en/of beroepsmatige geheimhoudingsbepalingen en contractuele afspraken na te Ieven. Ook kunnen andere overwegingen een rol spelen bij het a! dan niet delen van informatie, zoals commerciele belangen of het gebrek van vertrouwen in de partij aan wie de informatie wordt verstrekt. Wbp De Wbp bepaalt dat een private partij slechts persoonsgegevens mag verwerken als daarvoor een wettelijke grondslag bestaat. Naast een wettelijke plicht kan ook de behartiging van het gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt als wettelijke grondslag dienen, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Persoonsgegevens mogen in elk geval slechts worden verwerkt voor zover ze accuraat, toereikend, ter zake dienend en niet bovenmatig zijn. Verwerking van bijzondere persoonsgegevens mag slechts plaatsvinden in de gevallen bij wet bepaald. Zo is uitgangspunt dat strafrechtelijke gegevens niet mogen worden verwerkt, maar is bijvoorbeeld sprake van een uitzondering op dit verbod voor vergunninghoudende particuliere beveiligingsorganisaties en recherchebureaus. 19 Private partijen mogen persoonsgegevens niet verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Bijvoorbeeld, een bank mag persoonsgegevens uit bankafschriften niet gebruiken voor commerciele doeleinden. Dit zogeheten 'beginsel van verenigbaar gebruik' kent een uitzondering in artikel 43 Wbp, dat bepaalt dat dit onder meer niet van toepassing 19 Art. 221id 4 sub a Wbp. is voor zover verwerking noodzakelijk is ter voorkoming, opsporing en vervolging van strafbare feiten, gewichtige economische en financiele belangen van de Staat en andere openbare lichamen, of de bescherming van de betrokkene of van de rechten en vrijheden van anderen. Van geval tot geval moet worden bekeken of artikel 43 Wbp van toepassing is; dit artikel mag niet worden gebruikt als grondslag voor permanente of anderszins structurele overdracht van gegevens.2o Gezocht zou moeten worden naar mogelijkheden om vaker en sneller kennis en inzichten met de private sector te delen Binnen een aantal sectoren is een door het CBP goedgekeurde gedragscode van toepassing die sectorspecifiek uitwerking geeft aan de Wbp. Sectoren waarbinnen een dergelijke gedragscode geldt, zijn de financiele sector en de sector voor particuliere recherchebureaus. In de Privacygedragscode Sector Particuliere Onderzoeksbureaus is bijvoorbeeld beschreven in welke situaties gebruik mag worden gemaakt van observatie of heimelijke observatie door camera's. Geheimhoudingsplicht Een wettelijke geheimhoudingsplicht kan de private sector weerhouden van het delen van informatie. Te denken valt aan een medisch beroepsgeheim en de geheimhoudingsplicht voor accountants, accountantsorganisaties, belastingadviseurs en notarissen. Wettelijke geheimhoudingsplichten kennen in sommige gevallen uitzonderingsmogelijkheden, zoals verkregen toestemming of het voldoen aan een wettelijke plicht. Een geheimhoudingsplicht kan tevens voortvloeien uit algemene voorwaarden of andere contractuele afspraken. In de praktijk is ook bij contractuele geheimhoudingsplichten vaak sprake van overeengekomen uitzonderingssituaties. b. Openbaar Ministerie In aanvulling op de literatuur over de mogelijkheden van het delen van informatie, 21 beschrijven we hierna kort waarom het OM bij het delen van gegevens met derden terughoudend is. De huidige wet- en regelgeving dwingen hier toe. OM en politie beschikken veelal over gevoelige en vaak nog 'zachte' informatie. Het delen van deze gegevens 20 M.E. Koning, 'Publiek private samenwerking in cyberspace - de gegevensvergaring: Computerrecht 2013/6, p Zie onder meer M.E. Koning, 'Publiek private samenwerking in cyberspace- de gegevensvergaring: Computerrecht 2013/ 6, p ; P J.DJ. Muijen, Politie, informatie en privacy: de Wet politiegegevens toegelicht, Zutphen: Paris 2012; D. van der Bel, A.M. van Hoorn & JJ.T.M. Pieters, lnformatie en opsporing: handboek informatieverwerving, -verwerking en -verstrekking ten behoeve van de opsporing, Zutphen: Studiecentrum rechtspleging TIJDsCHRIFT ONDERNEMING & STRAFRECHT IN PRAKTIJK SOU UITGEVERS I NUMMER 1, SEPTEMBER lo ll 19
6 kan een onevenredige inbreuk maken op de privacy van betrokkenen, waardoor de Wet politiegegevens (Wpg) en de Wet justitiele en strafvorderlijke gegevens (Wjsg) hiervoor strenge regels stellen. Persoonsgegevens die worden verwerkt in het kader van de uitoefening van de politietaak, kunnen op basis van de Wpg incidenteel, structured of structured voor samenwerkingsverbanden worden verstrekt aan derden. 22 Deze verstrekking moet noodzakelijk zijn met het oog op een zwaarwegend algemeen belang en bijdragen aan een van de volgende doeleinden: het voorkomen en opsporen van strafbare feiten, het handhaven van de openbare orde, het verlenen van hulp aan hen die deze behoeven of het uitoefenen van toezicht op naleving van regelgeving. Bovendien moet de officier van justitie hiervoor toestemming geven. Cybercrime is een risico voor de hele maatschappij; het zorgen voor netwerk- en informatiebeveiliging een verantwoordelijkheid van iedereen Op persoonsgegevens die zijn verkregen in het kader van een strafvorderlijk onderzoek, die het OM in een strafdossier of langs geautomatiseerde weg verwerkt, is de Wjsg van toepassing. Verstrekking voor buiten de strafrechtspleging gelegen doeleinden is op basis van de Wjsg mogelijk voor zover dit past binnen de taakuitoefening van de officier van justitie en voor zover dit noodzakelijk is met het oog op een zwaarwegend algemeen belang. De gegevens worden in beginsel aileen verstrekt indien er een vonnis is van de strafrechter of indien er spoedeisende belangen zijn en de zaak zelf a! wei strafvorderlijk is beoordeeld door het OM. Private organisaties die voor bepaalde doelen gegevens mogen ontvangen, zijn opgesomd in de Aanwijzing Wjsg. Voor organisaties die niet met naam zijn genoemd in de Aanwijzing Wjsg, geldt een andere procedure waarbij de betrokkene waar mogelijk wordt gehoord. Enige mate van terughoudendheid bij het delen van gegevens die geen persoonsgegevens zijn, zoals kennis over trends, ontwikkelingen en modi operandi, of inzichten die via meldplichten zijn verkregen, kan niet worden 'verweten' aan wetten of regels. Dit soort gegevens kan voor derden echter eveneens relevant zijn. Op het gebied van HTC gebeurt deling van deze informatie dan ook al. 23 Maar, omdat cybercrime zich in een razend tempo ontwikkelt, zijn deze gegevens tegen de tijd dat ze in een afgewogen rapport worden gedeeld vaak a! weer achterhaald. Gezocht zou moeten worden naar mogelijkheden om vaker en vooral ook sneller deze kennis en inzichten met de private sector te delen. Nieuwe mogelijkheden tot samenwerking en informatiedeling Cybercrime is een risico voor de hele maatschappij, het zorgen voor netwerk- en informatiebeveiliging een verantwoordelijkheid van iedereen. Het bundelen van krachten door de publieke sector en de private sector is voor dat laatste als gezegd essentieel. Hoewel hier en daar a! goed wordt samengewerkt, kan dit meer structureel en effectiever. Naar onze mening ligt aan de basis van deze samenwerking het vergroten van wederzijds vertrouwen. 24 Zolang dat vertrouwen er niet is, is het lastig, zo niet onmogelijk, om daadwerkelijk gezamenlijk cybercrime te bestrijden. Potentieel krachtige initiatieven zijn daardoor voor sommige partijen nog een brug te ver, ook vanuit juridisch oogpunt. Een voorbeeld hiervan is het werken met multidisciplinaire interventieteams, waar het Landelijk Parket graag ervaring mee zou opdoen. In zo'n team werken publieke en/of private partijen vanuit hun eigen rol en bevoegdheden samen aan een integrale strategie en aanpak van een bepaald fenomeen, waarbij de maatregelen strafrechtelijk, bestuursrechtelijk, civielrechtelijk of zelfs helemaal niet juridisch ingegeven zuflen zijn. De hierna genoemde initiatieven zijn naar onze mening echter een goede en realistische weg naar een verbetering van de samenwerking tussen OM en private sector ter bestrijding van cybercrime; ervaring hiermee zal bijdragen aan een groei van dat belangrijke, wederzijdse vertrouwen. a. Communicatie Een basis van goede samenwerking is communicatie. Daarvan is in de contacten tussen publieke en private sector nog niet altijd sprake. Een goed voorbeeld is de wijze waarop een private partij soms zonder aankondiging wordt geconfronteerd met een vorderingvanhet 0 M. Deze partij is zich nietaltij d bewustvan het feit dat een vordering wettelijk verplicht is, ook wanneer gegevenseerderzij n verstrekt;politieen 0 Mdienengegevenste vorderenenniettevragen.l.sdeconfrontatiemetzo'nvordering kan dan een verlammende werking hebben op de wens om op gelijke voet samen te werken. Een mondelinge aankondiging en toelichting van een vordering kan dit voorkomen. Dit voorbeeldstaatnietopzichengeldtnietalleen voordepublieke sector. Ook een private partij kan met bijvoorbeeld een aankondiging een aangifte of melding bij een toezichthouder of het OM beter terecht Iaten komen. Waar schriftelijke communicatie in contact tussen publieke en private sector nu nog de overhand heeft, zou meer ruimte moeten ontstaan voor fysieke ontmoetingen tussen partijen. Menselijk contact kan zo ook bijdragenaan de samenwerkingen ertoe leiden dat partijen beterweten vanelkaarwaarzemee bezigzijn,zodatze elkaarwaarnodigkunnenendurventevinden. 22 Art Wpg. 23 Voorbeelden hiervan zijn de Criminaliteltsbeeldanalyse en het Cybersecuritybeeld Nederland. 24 Zle bijvoorbeeld het rapport Cooperative Models far Effective Public Private Partnerships, Good Practice Guide (2011) van het European Network and Information Security Agency, 25 Zie ter toelichting de memorie van toelichting bij de Wet vorderen gegevens, Kamerstukken 2003/2004, , nr IOU UITGEVERI I NUMMER 1, SEPTEMBER loll TIJDSCHRIFT ONDERNEMING & STRAFRECHT IN PRAKTIJK
7 1 + 1 = 3: samen tegen cybercrlme b. Traffic Light Protocol Bij samenwerking wordt gevoelige informatie uitgewisseld. Aile partijen hebben er baat bij dat informatie die zij delen vertrouwelijk wordt behandeld. Het Traffic Light Protocol (TLP) kan daarbij naar internationaal voorbeeld 26 helpen. Gebruik van het TLP wordt geadviseerd bij multisectorale en publiek-private informatie-uitwisseling waarbij de vertrouwelijkheid van informatieverstrekking moet worden geborgdy Degene die informatie deelt, bepaalt of deze informatie het label rood, gee!, groen of wit draagt, waarmee de vertrouwelijkheid van informatie wordt geindiceerd. Dit systeem geeft partijen meer vertrouwen bij het delen van informatie. Het systeem kent echter ook beperkingen: het eerdergenoemde juridisch kader staat aan volledige informatiedeling in de weg. Voor private partijen geldt dat informatie die onder een geheimhoudingsplicht valt of op basis van de Wbp of een andere contractuele afspraak geheim client te worden gehouden, strikt genomen ook niet mag worden verstrekt met een rood label. De hiervoor besproken geheimhoudingsplichten kennen geen uitzondering voor dergelijke 'verspreiding in vertrouwelijkheid', voor zover die verspreiding niet te passen is in een bestaande uitzonderingsgrond. De overheid is voor bijvoorbeeld het delen van gerubriceerde informatie, zoals staatsgeheimen, gebonden aan specifieke regelgeving die niet door het TLP opzij kan worden gezet. 28 Door die informatie toch te verspreiden, ontstaat derhalve voor betrokken partijen een theoretische mogelijkheid op aansprakelijkheidstelling. Desondanks kan het TLP een zeer passend instrument bieden om in vertrouwen gevoelige gegevens met elkaar te kunnen delen, zoals concurrentiegevoelige informatie, informatie die de reputatie kan raken, of informatie over de beveiliging van IT-systemen. Wat partijen zich vaak niet realiseren, is dat het samenbrengen van puzzelstukken aile betrokken partijen een helderder zicht kan geven op een fenomeen of gebeurtenis. Voor zover de afspraken met betrekking tot het TLP zijn vastgelegd in een overeenkomst, kan naleving daarvan in beginsel worden afgedwongen. c. Non Disclosure Agreements Waar gevoelige informatie wordt gedeeld, kan gebruik worden gemaakt van Non Disclosure Agreements (NDA's): afspraken over de vertrouwelijke behandeling van te delen informatie. Binnen bestaande samenwerkingsverbanden wordt van vergelijkbare geheimhoudingsovereenkomsten gebruikgemaakt. Het gebruik van NDA's hoeft echter niet beperkt te blijven tot structurele samenwerkingsverbanden, maar kan ook in concrete situaties worden ingezet. Een goed voorbeeld hiervan is het volgende. 26 Het TLP wordt gehanteerd in onder meer de VS, Australie, Canada, Finland, Frankrijk, Duitsland, Hongarije, Ita lie, Japan, Nieuw-Zeeland, Noorwegen, Zwitserland en het Verenigd Koninkrijk. 27 Natlonaal Adviescentrum Vitale lnfrastructuur (NAVI), Toe/ichting op de Leidroad uitwisseling van gevoe/ige informatie, Den Haag: NAVI Zie Beveiligingsvoorschrift Rijk 2013, Voorschrift lnformatiebeveiliging rijksdienst 2007 en Voorschrift informatiebeveiliging rijksdienst- bijzondere informatie Cyberincidenten komen niet altijd ter ore van de politie of het OM. Zeker als aan het incident geen ruchtbaarheid is gegeven in de media of anderszins, kan een betrokken private partij er de voorkeur aan geven geen aangifte te doen - voor zover ook geen aangifteplicht geldt. Met het doen van aangifte riskeert zij immers dat het OM overgaat tot vervolging en dat haar betrokkenheid bij een incident op die wijze alsnog in de openbaarheid komt, met mogelijke reputatieschade. Het gegeven dat een eenmaal gedane aangifte niet meer kan worden ingetrokken, leidt tot meer terughoudendheid. Het Traffic Light Protocol is een zeer passend instrument om in vertrouwen gevoelige gegevens met elkaar te del en Hoewel begrijpelijk, is deze houding voor de overheid potentieel een gemiste kans om verdachten op te sporen en te vervolgen; een aangifte is niet noodzakelijk om tot opsporing of vervolging over te gaan, maar wei een zeer waardevolle en soms noodzakelijke informatiebron voor politie en justitie. Om een private partij te stimuleren aangifte te doen en haar bezwaren daartegen weg te nemen, kan het instrument van de NDA faciliteren dat een private partij, alvorens aangifte te doen, inzage biedt in beschikbare gegevens, opdat politie en OM een juiste afweging kunnen maken of een opsporingsonderzoek opportuun is. Van geval tot geval moet worden bekeken of de Wbp en andere eerdergenoemde geheirnhoudingsbepalingen aan deze informatiedeling door een private partij in de weg staan. Is er geen opsporingsbelang of besluit de private partij van aangifte af te zien, dan vernietigen politie en OM aile eventueel vastgelegde gegevens over de zaak. Daarbij leggen OM en politie zich vast om niet ambtshalve een opsporingsonderzoek te starten, tenzij de nationale veiligheid in het geding is of het slachtoffer eigenlijk verdachte blijkt te zijn. Het werken met een NDA is op deze wijze een win-winsituatie: de private partij kan een goede afweging maken over een aangifte en de daarbij horende mogelijke afbreukrisico's en uiteindelijk kan het voor OM en politie tot meer aangiften leiden. Juist op het terrein van cybercrime kan de NDA een passend instrument zijn, omdat slachtoffers zich, terecht of onterecht, verantwoordelijk voelen voor een incident en de angst voor reputatieschade reeel is. Ook vanwege het hoog technische karakter van incidenten op het gebied van cybercrime kan vertrouwelijk overleg wenselijk zijn. d. Kwantitatieve afspraken strafrechtelijke aanpak Uit Kamerstukken blijkt dat het OM in fraudezaken met de politie kwantitatieve afspraken maakt. 29 Deze afspraken tasten het opportuniteitsbeginsel niet aan, maar richten zich op een gerichte inzet van bestaande capaciteit. Ook 29 Kamerstukken //2012/2013, , nr. 7, p. 11. TIJOSCHRIFT ONOERNEMIN6 & STRAFRECHT IN PRAKTIJK SOU UIIGEVERI I NUMMER 1. SEPTEMBER 10 1l 21
8 de aanpak van cybercrime zou bij zulke afspraken zijn gebaat. Gecombineerd met een goede communicatiestrategie en daadwerkelijke resultaten kan dit bovendien de private sector stimuleren de overheid beter te voorzien van informatie, a! dan niet in het kader van een wettelijke meldplicht. De aanpak van cybercrime zou gebaat zijn bij kwantitatieve afspraken over de inzet van bestaande capaciteit e. Evaluaties Bij wijze van voorverkenning van eerdergenoemde multidisciplinaire interventieteams, maar ook ter lering met het oog op de toekomst, kan de overheid bij een reeds afgerond opsporingsonderzoek betrokken (rechts)personen uitnodigen het onderzoek kritisch en vrijelijk met de overheid te evalueren. Hoe is het onderzoek verricht, wat had anders kunnen worden aangepakt, en misschien nog belangrijker: hoe kan een herhaling van het cyberincident in kwestie worden voorkomen? En welke partijen hebben en nemen daarbij een rol? Hierbij kan een voorbeeld worden genomen aan de praktijk van toezichthouders, die dergelijke evaluaties na grotere toezichtonderzoeken plegen te verrichten. f. Oefening baart kunst Een laatste manier om de samenwerking te verbeteren, is door met grotere regelmaat dan thans gebeurt, cyberoefeningen te houden voor publieke en private partijen. Een bekende cyberoefening is Cyberstorm, georganiseerd door het International Watch and Warning Network, een samenwerkingsverband van 15 Ianden inclusief Nederland. De meest recente duurde 36 uur, waarbij een hackersgroep met politieke motieven wereldwijd aanvallen uitvoerde op websites van media en overheidsorganisaties. Getest werd hoe effectief de internationale (overheids)samenwerking in reactie op deze cyberaanvallen verliep binnen het samenwerkingsverband.30 Bij cyberoefeningen worden steeds vaker private partijen betrokken. Zo waren in Europa en de VS financiele instellingen nauw betrokken bij Cyber Europe 2012 en Quantum Dawn 2 in juli Juist omdat oefeningen betrekking hebben op fictieve situaties en fictieve gegevens, zijn er vanuit juridisch oogpunt m principe geen belemmeringen hieraan mee te werken. Afronding De publieke en private sector zijn niet aileen in toenemende mate afhankelijk van de techniek, maar ook van elkaar. De zes besproken mogelijkheden zijn in dat verband quick wins; juridisch haalbaar, passend in de bestaande structuren en met voordeel voor betrokken partijen. Laat ervaringen hiermee duidelijk maken dat publiek en privaat elkaar wederzijds kunnen aanvullen. Over de auteurs Mr. C.M. Gerritsma-Breur is Beleidsmedewerker High Tech Crime bij het Landelijk Parket en mr. M.A.M. Verveld-Suijkerbuijk is advocaat bij NautaDutilh in Amsterdam. Het Landelijk Parket is onderdeel van het Openbaar Ministerie en bestrijdt (inter)nationaal georganiseerde misdaad. 30 Zie cyberoefening-bevestigt-belang-internationale-samenwerking.html. 31 Zie and-ciip I cyber-crisis cooperation/cyber-europe/cyber-europe-2012/eni SA_2012_ _NL_ TRA.pdf; / business/banking/big banks girding-for elaborate-cyber-attack-drill-on thursday/article_a0a4c37e 2f25 512Q-a403 2b750fc72a04.html. 22 SOU UITGEVERS I HUMMER 1. SEPTEMBER loll TIJDSCHRlFT DNDERNEMING & STRAFRECHT IN PRAKTIJK
Wet gegevensverwerking. en meldplicht cybersecurity
Wet gegevensverwerking en meldplicht cybersecurity De Wet gegevensverwerking en meldplicht cybersecurity (hierna: Wgmc) treedt 1 oktober 2017 voor een belangrijk deel in werking. De Wgmc regelt het volgende:
Nadere informatiePOLITIE DCMR. nrrna. Rijnmond. milieudienst. Convenant gegevensuitwisseling tussen de politie Rotterdam-Rijnmond en de DCMR Milieudienst Rijnmond
POLITIE nrrna DCMR milieudienst Rijnmond Convenant gegevensuitwisseling tussen de politie Rotterdam-Rijnmond en de DCMR Milieudienst Rijnmond DMS 21007606 Rotterdam, 14 januari 2010 De politie Rotterdam-Rijnmond,
Nadere informatieVraag: Welke risico's brengt deze verstrekking met zich mee?
Waarom moet de informatie al in dit stadium worden uitgewisseld? Waarom wordt niet gewacht met de informatie-uitwisseling tot nadat een persoon is veroordeeld? De uitwisseling van dit soort informatie
Nadere informatieStichting RDC. Informatieverplichting
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Stichting RDC DATUM 8 september 2004 CONTACTPERSOON
Nadere informatiePrivacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:
Privacyreglement Spoor 3 BV Artikel 1. Begripsbepalingen Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: de wet: de Wet bescherming persoonsgegevens (Wbp) het reglement:
Nadere informatiePrivacyreglement Bureau Beckers
Privacyreglement Bureau Beckers Bureau Beckers houdt zich aan het privacyreglement zoals dat door de Branchevereniging wordt aangegeven en in het vervolg van dit document is opgenomen. De nu volgende aandachtspunten
Nadere informatieZienswijze ronde tafel wetsvoorstel brede meldplicht. 24 februari Inleiding
Zienswijze ronde tafel wetsvoorstel brede meldplicht 24 februari 2012 Inleiding 1. De deelnemers aan de ronde tafel voor consumentenzaken (hierna: Partijen) hebben kennisgenomen van de consultatieversie
Nadere informatieWet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken
Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken De Wbp is al sinds 1 september 2001 van kracht en bevat bepalingen omtrent het rechtmatig omgaan met persoonsgegevens. Op 1 januari
Nadere informatieKLACHTEN- EN PRIVACYREGLEMENT NEW TARGET VISION BV (met betrekking tot verwerking persoonsgegevens)
KLACHTEN- EN PRIVACYREGLEMENT NEW TARGET VISION BV (met betrekking tot verwerking persoonsgegevens) Artikel 1 - Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet Bescherming
Nadere informatiePrivacyreglement Medewerkers Welzijn Stede Broec
Privacyreglement Medewerkers Welzijn Stede Broec 1 Inhoudsopgave Inhoudsopgave... 2 Algemene bepalingen... 3 Artikel 1 Begripsbepalingen... 3 Artikel 2 Reikwijdte en doel van het reglement... 4 Artikel
Nadere informatieBeheer Team Veiligheid. Reglement cameratoezicht Zadkine
Beheer Team Veiligheid Reglement cameratoezicht Zadkine Inhoud Inleiding... 3 Reglement cameratoezicht... 4 Artikel 1 Begripsbepaling... 4 Artikel 2 Werkingssfeer en doelstellingen cameratoezicht... 5
Nadere informatieverklaring omtrent rechtmatigheid
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Raad Nederlandse Detailhandel DATUM 17 juni
Nadere informatieRapport. Een onderzoek naar een klacht over informatieverstrekking aan derden. Oordeel
Rapport Een onderzoek naar een klacht over informatieverstrekking aan derden. Oordeel Op basis van het onderzoek vindt de Nationale ombudsman de klacht over het Openbaar Ministerie gedeeltelijk gegrond.
Nadere informatieStichting Bedrijfstakpensioenfonds voor de Houthandel;
Stichting Bedrijfstakpensioenfonds voor de Houthandel Reglement incidentenregeling Artikel 1 Pensioenfonds: Incident: Definities Stichting Bedrijfstakpensioenfonds voor de Houthandel; een gedraging, datalek
Nadere informatiec) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
Privacyreglement ArboVitale ArboVitale vindt het belangrijk dat u uitleg krijgt over hoe ArboVitale persoonsgegevens beschermt en hoe onze medewerkers om gaan met privacygevoelige informatie. Paragraaf
Nadere informatieOfficiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit
STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 21460 29 juli 2014 Reglement bescherming persoonsgegevens Kansspelautoriteit De raad van bestuur van de Kansspelautoriteit,
Nadere informatiePRIVACYREGLEMENT BEST
PRIVACYREGLEMENT BEST BURGEMEESTER EN WETHOUDERS VAN BEST; gelet op de bepalingen van de Wet bescherming persoonsgegevens en artikel 4 van de Verordening verwerking persoonsgegevens gemeente Best; B E
Nadere informatieProtocol meldplicht datalekken
160235/1180 Protocol meldplicht datalekken Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij de
Nadere informatieIvo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG
Post Bits of Freedom Bank 55 47 06 512 M +31 (0)6 13 38 00 36 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie
Nadere informatieTweede Kamer der Staten-Generaal
Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2013 2014 26 643 Informatie- en communicatietechnologie (ICT) Nr. 297 BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE Aan de Voorzitter van de Tweede Kamer
Nadere informatieConvenant voor gegevensuitwisseling tussen Politie en beveiligingsorganisaties en organisatoren van evenementen
Convenant voor gegevensuitwisseling tussen Politie en beveiligingsorganisaties en organisatoren van evenementen Partijen: A. De politie, het district., hierna te noemen "politie"; B..., hierna te noemen
Nadere informatieNederlandse Vereniging van Banken
Ministerie van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Datum 16 september 2013 Referentie BR1986 Betreft: Reactie op wetsvoorstel melding inbreuken elektronische intormatiesystemen Geachte
Nadere informatiePrivacyreglement OCA(Zorg)
Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens
Nadere informatieIvo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG
Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus
Nadere informatieProtocol datalekken Samenwerkingsverband ROOS VO
1 Protocol datalekken Samenwerkingsverband ROOS VO. 3.02 Protocol datalekken is onderdeel van Handboek Informatie Beveiliging en Privacy SWV ROOS VO 2 Inhoud Inleiding... 3 Begrippenlijst... 4 1. Is de
Nadere informatiePrivacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6
Privacyreglement 1. Begripsbepalingen In dit reglement wordt verstaan onder: - de wet: de Algemene Verordening Gegevensbescherming; - persoonsgegeven: elk gegeven over een herkenbaar persoon; - verwerking
Nadere informatieVerwerkersovereenkomst
Verwerkersovereenkomst STKKR verwerkt in sommige gevallen persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst (abonnement) met STKKR heeft. STKKR en de
Nadere informatieDe Minister van Veiligheid en Justitie. Postbus EH DEN HAAG
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN De Minister van Veiligheid en Justitie
Nadere informatiePrivacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.
Algemene bepalingen Artikel 1 Begripsbepalingen a) Autoriteit Persoonsgegevens ( AP ): de toezichthoudende autoriteit. b) Betrokkene: degene op wie een persoonsgegeven betrekking heeft. In dit geval kandidaten,
Nadere informatiePrivacy protocol Sociaal domein gemeente Waterland 2015
GEMEENTEBLAD Officiële uitgave van gemeente Waterland. Nr. 6717 29 januari 2015 Privacy protocol Sociaal domein gemeente Waterland 2015 Het college van burgemeester en wethouders van Waterland, overwegende
Nadere informatiePrivacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)
Onderdeel van Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door
Nadere informatieAVG Algemeen PRIVACYREGLEMENT
AVG Algemeen PRIVACYREGLEMENT Autoriteit Persoonsgegevens ( AP ): de toezichthoudende autoriteit. Betrokkene: degene op wie een persoonsgegeven betrekking heeft. In dit geval personeel-(sleden) Welzijn
Nadere informatieDATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar
DATALEK PROTOCOL Versie 1.0. /08.2017. I.D. Wagenaar Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij
Nadere informatiePrivacyreglement. Artikel 1. Bereik
Privacyreglement Privacyreglement Artikel 1. Bereik 1.1 Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Het is eveneens van toepassing op
Nadere informatieGedragscode Persoonlijk Onderzoek
Gedragscode Persoonlijk Onderzoek Bijlage 1.C Januari 2004 Deze gedragscode is opgesteld door het Verbond van Verzekeraars en is bestemd voor verzekeraars, lid van het Verbond, onderzoeksbureaus die werken
Nadere informatieGedragscode Persoonlijk Onderzoek. 21 december 2011
Gedragscode Persoonlijk Onderzoek 21 december 2011 Inleiding Verzekeraars leggen gegevens vast die nodig zijn voor het sluiten van de verzekeringsovereenkomst en die van belang zijn voor het nakomen van
Nadere informatieDe Staatssecretaris van Veiligheid en Justitie Advies wetsvoorstel gebruik camerabeelden en meldplicht datalekken.
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl AAN De Staatssecretaris van Veiligheid
Nadere informatie8.50 Privacyreglement
1.0 Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; 2. Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben
Nadere informatiePrivacyreglement. 1. Begripsbepalingen
Privacyreglement Inleiding en doel Iedereen heeft recht op de bescherming van zijn of haar persoonlijke gegevens. Dit privacyreglement is opgesteld op basis van de Wet Bescherming Persoonsgegevens en beschrijft
Nadere informatieImpuls Kindercampus PRIVACYREGLEMENT
1 Impuls Kindercampus PRIVACYREGLEMENT VOOR DE VERWERKING VAN KLANTGEGEVENS Treedt in werking: d.d. 1 maart 2017 2 1. Begripsbepalingen 1. Impuls Kindercampus: de stichting Welzijn Westelijke Tuinsteden
Nadere informatieBestuurlijke Netwerkkaarten Crisisbeheersing. Netwerkkaart 21 Telecommunicatie & cybersecurity
Bestuurlijke Netwerkkaarten Crisisbeheersing Netwerkkaart 21 Telecommunicatie & cybersecurity 21 Telecommunicatie en cybersecurity Voor media/omroepen, zie Bestuurlijke Netwerkkaart media versie 2018 Crisistypen
Nadere informatiePrivacyreglement. WerkPro privacyreglement pagina: 1 van 5 Versiedatum: Eigenaar: Bedrijfsjurist
Privacyreglement 1. Begripsbepalingen In dit reglement wordt verstaan onder: de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een herkenbaar persoon; verwerking van persoonsgegevens:
Nadere informatieIn dit reglement zullen we vastleggen hoe bij SPEL de privacy van persoonsgegevens is vastgesteld.
Privacyreglement Inleiding: Ouders en kinderen van SPEL moeten er van op aan kunnen dat er zorgvuldig wordt omgegaan met wat hij/zij aan een professional vertelt en dat er niets buiten hem/haar om gebeurt.
Nadere informatiePrivacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3
PRIVACYREGLEMENT Inhoudsopgave Voorwoord... 2 Privacybepalingen... 3 1. Begripsbepalingen... 3 2. Toepassingsgebied... 3 3. Doel van de verwerking van persoonsgegevens... 4 4. Verwerking van Persoonsgegevens...
Nadere informatieComsave Privacy voorwaarden. Laatste update: 16 mei 2018
Comsave Privacy voorwaarden Laatste update: 16 mei 2018 Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Comsave B.V. Persoonsgegevens Persoonsgegevens
Nadere informatieEerste Kamer der Staten-Generaal
Eerste Kamer der Staten-Generaal 1 Vergaderjaar 2014 2015 33 662 Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking
Nadere informatieIntroductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).
Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ). zijn alle gegevens over een geïdentificeerd of identificeerbaar
Nadere informatiePrivacyverklaring Meldpunt Kinderporno op Internet
Privacyverklaring Meldpunt Kinderporno op Internet Laatste update: 17 mei 2018 1 Introductie 2 Verwerking van persoonsgegevens 3 Doeleinden 4 Verstrekking aan derden 5 Beveiligingsmaatregelen 6 Bewaartermijn
Nadere informatiePrivacyreglement. Stichting Rapucation Postbus NL Amsterdam
Stichting Rapucation Postbus 15989 1001 NL Amsterdam www.rapucation.eu info@rapucation.eu 088-3777700 Privacyreglement 1. Begripsbepalingen In dit reglement wordt verstaan onder: de wet: de Wet bescherming
Nadere informatiePrivacyreglement. AM Advies & Begeleiding. Mei 2018
Privacyreglement AM Advies & Begeleiding Privacyreglement 2018 AM Advies & Begeleiding Pagina 1 van 10 Privacyreglement AM Advies & Begeleiding Inhoudsopgave Voorwoord...3 1. Kenmerken van de verwerking
Nadere informatieWet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ:
AANGESLOTEN BIJ: Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht Wet Bescherming Persoonsgegevens : WBP Kwaliteit Per 1 september 2001 is de Wet Persoonsregistraties vervangen door de Wet Bescherming
Nadere informatieBestuurlijke Netwerkkaarten Crisisbeheersing
Bestuurlijke Netwerkkaarten Crisisbeheersing Kaart 21 - Telecommunicatie 21 Telecommunicatie Voor media/omroepen, zie bestuurlijke netwerkkaart media Versie april 2012 crisistypen (dreigende) uitval van
Nadere informatiePrivacy en gegevensdeling binnen samenwerkingsverbanden. mr. Iris Koetsenruijter
Privacy en gegevensdeling binnen samenwerkingsverbanden mr. Iris Koetsenruijter koetsenruijter@considerati.com De speciale rol van de overheid De overheid is monopolist op veel (beleids)terreinen Verwerkingen
Nadere informatieVerwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER
Verwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER Deze verwerkersovereenkomst maakt integraal onderdeel uit van het [contract] tussen opdrachtgever en opdrachtnemer.
Nadere informatiePrivacyreglement Triage Medisch Adviesbureau
Privacyreglement Triage Medisch Adviesbureau In dit reglement wordt verstaan onder: 1. AVG: Algemene Verordening Gegevensbescherming: De AVG moet worden gezien als een aanscherping van de thans al geldende
Nadere informatiePersoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.
Privacyreglement Intermedica Kliniek Geldermalsen Versie 2, 4 juli 2012 ALGEMENE BEPALINGEN Artikel 1. Begripsbepalingen Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare
Nadere informatieCameratoezicht. De Nieuwe Kring. Reglement cameratoezicht
Cameratoezicht De Nieuwe Kring Reglement cameratoezicht Reglement cameratoezicht Reglement cameratoezicht onderwijsinstelling De Nieuwe Kring Dit reglement cameratoezicht heeft betrekking op alle locaties
Nadere informatieROC Rivor 23 mei Privacyreglement
ROC Rivor 23 mei 2018 Privacyreglement Artikel 1. Algemene en begripsbepalingen Tenzij hieronder uitdrukkelijk anders is bepaald, worden termen in dit reglement gebruikt in de betekenis die de Algemene
Nadere informatieEerste Kamer der Staten-Generaal
Eerste Kamer der Staten-Generaal 1 Vergaderjaar 2016 2017 34 388 Regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatieVerwerkingsstatuut AVG
Verwerkingsstatuut AVG Dit Verwerkersstatuut maakt - evenals de algemene voorwaarden - integraal onderdeel uit van iedere overeenkomst inzake diensten tussen Volkshuisvestingsraad Zuidwest en haar wederpartij.
Nadere informatiePRIVACYREGLEMENT LETSELCARE versie
PRIVACYREGLEMENT LETSELCARE versie 08-06-2018 1 Inhoudsopgave LetselCare en uw privacy 3 Artikel 1: Begripsomschrijving 4 Artikel 2: Reikwijdte 4 Artikel 3: Doel 4 Artikel 4: Te verzamelen gegevens 4 Artikel
Nadere informatieHandreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018
Handreiking Protocol informatiebeveiligingsincidenten en datalekken Stichting KBO Haarlem-Schoten Versie: 27 mei 2018 Bron: Dit document is gebaseerd op het Protocol informatiebeveiligingsincidenten en
Nadere informatiePrivacy reglement Geluk in werken
Privacy reglement Geluk in werken Privacy reglement Pagina 1 van 6 Versie mei 2016 1 Algemene en begripsbepalingen Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt
Nadere informatieReglement cameratoezicht
Dit reglement cameratoezicht heeft betrekking op alle locaties van Stichting ROC West-Brabant (hierna: ROC West-Brabant ) waar toezicht door middel van camerasystemen wordt ingezet. Het geeft een beschrijving
Nadere informatiede wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke
Privacyreglement 1. Begripsbepalingen In dit reglement wordt verstaan onder: de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke
Nadere informatieZorgPlus V.O.F. Privacyreglement 2018
ZorgPlus V.O.F. Privacyreglement 2018 ZorgPlus Privacyreglement 2018 Pagina 1 Inhoudsopgave ZorgPlus en uw privacy Artikel 1: Begripsomschrijving Artikel 2: Reikwijdte Artikel 3: Doel Artikel 4: Te verzamelen
Nadere informatiePRIVACYREGLEMENT IN ZORG EN ADVIES B.V.
PRIVACYREGLEMENT IN ZORG EN ADVIES B.V. Inhoudsopgave IN Zorg en Advies B.V. en uw privacy 3 Artikel 1: Begripsomschrijving 4 Artikel 2: Reikwijdte 4 Artikel 3: Doel 4 Artikel 4: Te verzamelen gegevens
Nadere informatieDatum 16 april 2013 Betreft Brief op verzoek van het lid Van Hijum (CDA) over de ICT-problemen bij banken als gevolg van cyberaanvallen
> Retouradres Postbus 20201 2500 EE Den Haag Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA 's-gravenhage Korte Voorhout 7 2511 CW Den Haag Postbus 20201 2500 EE Den Haag www.rijksoverheid.nl
Nadere informatiePRIVACYPROTOCOL SAMEN TEGEN IDENTITEITSFRAUDE HET TEGENGAAN VAN IDENTITEITSFRAUDE EN DOCUMENTFRAUDE OOST-NEDERLAND. Versie: 1.0
SAMEN TEGEN IDENTITEITSFRAUDE PRIVACYPROTOCOL HET TEGENGAAN VAN IDENTITEITSFRAUDE EN DOCUMENTFRAUDE OOST-NEDERLAND Versie: 1.0 Privacyprotocol Het tegengaan van identiteitsfraude en documentenfraude Oost
Nadere informatiePersoonsgegeven: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Begrippenlijst Persoonsgegeven: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Gezondheidsgegevens: Persoonsgegevens die direct of indirect betrekking hebben op de
Nadere informatiePersoonsgegevens worden binnen Generali verwerkt in overeenstemming met de Wet bescherming persoonsgegevens en de
Privacy statement Generali Nederland N.V. (verder: Generali), vindt uw privacy heel belangrijk en heeft daarom de bescherming van uw persoonsgegevens hoog in het vaandel staan. Via dit privacybeleid informeren
Nadere informatiePrivacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon
Privacyreglement Drive The Care Company b.v. Sint Martinusstraat 70 5911 CK Venlo Telefoon 077 467 40 33 E-mail: info@mentaalspecialist.nl Privacyreglement Versie : 1.1 Versiedatum: 04-06-2008 Inleiding
Nadere informatieBijlage: Verwerkersovereenkomst
Bijlage: Verwerkersovereenkomst Deze verwerkersovereenkomst is een bijlage bij "Algemene voorwaarden inzake Bothoff Media B.V." (hierna: de Hoofdovereenkomst) tussen Verwerkingsverantwoordelijke (hierna:
Nadere informatiePrivacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)
Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) 1. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare
Nadere informatieVerwerkersovereenkomst
Verwerkersovereenkomst De Verwerkersovereenkomst. in aanmerking nemende dat Verwerkingsverantwoordelijke met zijn klanten een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke voor de uitvoering
Nadere informatieSeminar: Big Data en privacy
Seminar: Big Data en privacy Sprekers: - mr. Marten van Hasselt Big Data in de praktijk: lust of last? - mr. Vincent Rutgers Big Data en privacy: bescherming persoonsgegevens in kort bestek mr. Marten
Nadere informatierechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Koninklijk Horeca Nederland DATUM 5 februari
Nadere informatieReglement cameratoezicht
Reglement cameratoezicht Inleiding In verschillende situaties worden incidenteel camera s gebruikt, bijvoorbeeld om personen en eigendommen te beschermen. Het is hierbij van groot belang dat organisaties
Nadere informatieGastouderbureau Alles Kids Zoetermeer Privacyreglement
Privacyreglement Inhoudsopgave 1. Begripsbepaling... 1 1.1 Persoonsgegevens... 1 1.2 Persoonsregistratie... 1 1.4 Verwerking van persoonsgegevens... 1 1.5 Verstrekken van persoonsgegevens... 1 1.6 Bestand...
Nadere informatiePrivacyprotocol Sociaal Domein regio Utrecht Zuidoost
Privacyprotocol Sociaal Domein regio Utrecht Zuidoost Aanleiding voor dit protocol De gemeente werkt met andere publieke en private organisaties (hierna aan te duiden met: partner) samen om aan inwoners
Nadere informatieAan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag
>Retouradres Postbus 20010, 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag Bijlagen 0 1 van 5 Betreft Beantwoording vragen Tweede Kamer over het
Nadere informatieStichting Bedrijfstakpensioenfonds voor de Reisbranche
Stichting Bedrijfstakpensioenfonds voor de Reisbranche Reglement incidenten- en klokkenluidersregeling Administrateur Centric Pension and Insurance Solutions B.V Versie 2.0 Ingangsdatum 19 april 2018 Pagina
Nadere informatieVerwerkersovereenkomst
Verwerkersovereenkomst Verwerking van persoonsgegevens: toepassing GDPR Dit document maakt integraal deel uit van de overeenkomst, afgesloten tussen A&M nv ( de verwerker ) Raghenoplein 17/19 2800 Mechelen
Nadere informatieVoorstel Koepelbesluit Oost-Nederland
Voorstel Koepelbesluit Oost-Nederland Auteurs Mayke te Wierike Privacyfunctionaris Wim de Vries Beleidsadviseur Leonie Hamming Coördinator Beleidszaken Eenheidsstaf 10 oktober 2014 1. Aanleiding Bij het
Nadere informatiePRIVACYREGLEMENT Network Netherlands B.V. Versie: juni 2018
PRIVACYREGLEMENT Network Netherlands B.V. Versie: juni 2018 Reglement inzake de bescherming van persoonsgegevens door Network Netherlands B.V. In het kader van haar dienstverlening verwerkt Network Netherlands
Nadere informatieBijlage 2 Beveiligingsplan. Informatiebeveiliging
Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal
Nadere informatiePRIVACY REGLEMENT - 2015
PRIVACY REGLEMENT - 2015 Jasnante re-integratie onderdeel van Jasnante Holding B.V. (kvk nr. 52123669 ) gevestigd aan de Jacob van Lennepkade 32-s, 1053 MK te Amsterdam draagt zorg voor de geheimhoudingsverplichting
Nadere informatieOns kenmerk z Onderwerp Wetgevingsadvies Tijdelijk besluit experiment vervroegde inzet no-risk polis
Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Prins Clauslaan 60, 2595 AJ Den Haag T 070 8888 500 - F 070 8888 501 autoriteitpersoonsgegevens.nl De Minister van Sociale Zaken en Werkgelegenheid
Nadere informatieWat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015
Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen
Nadere informatiePrivacy beleid Semaku B.V.
Privacy beleid Semaku B.V. Hier vind je de privacy verklaring van Semaku B.V. In deze verklaring wordt omschreven hoe er met jouw persoonlijke gegevens om word gegaan die verzameld worden door Semaku.
Nadere informatieAan de minister van Justitie Ontwerpbesluit bloedtest in strafzaken in geval van een ernstige besmettelijke ziekte
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Aan de minister van Justitie DATUM
Nadere informatieInformatie over privacywetgeving en het omgaan met persoonsgegevens
Informatie over privacywetgeving en het omgaan met persoonsgegevens Inleiding Op 1 september 2001 is de Wet Bescherming Persoonsgegevens (WBP) in werking getreden. Hiermee werd de Europese Richtlijn over
Nadere informatieDe Minister van Veiligheid en Justitie. Postbus 20301 2500 EH Den Haag. Advies wetsvoorstel toevoegen gegevens aan procesdossier minderjarige
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl AAN De Minister van Veiligheid en Justitie
Nadere informatieVerwerkersovereenkomst
Verwerkersovereenkomst 1. ingeschreven bij de Kamer van Koophandel onder nummer (hierna: Verwerkingsverantwoordelijke), en 2. Unidis b.v., ingeschreven bij de Kamer van Koophandel onder nummer 13038947
Nadere informatiePrivacy Statement Nederlands Migratie Instituut (NMI)
Privacy Statement Nederlands Migratie Instituut (NMI) Dit is het Privacy Statement van het NMI. Om u goed van dienst te zijn en om ons werk zo efficiënt en effectief mogelijk uit te voeren, verwerkt het
Nadere informatieProtocol meldplicht datalekken Voor financiële ondernemingen
Protocol meldplicht datalekken Voor financiële ondernemingen Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht is ook van toepassing op de financiële sector. Maar wanneer spreekt men
Nadere informatieCompany statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7
Company statement Algemene verordening gegevensbescherming AVG Informatie voor professionele relaties (v2018.02) 1 / 7 Algemene verordening gegevensbescherming Inleiding Op 25 mei 2018 treedt de Algemene
Nadere informatieReglement cameratoezicht
Inhoud 1. Inleiding... 3 2. Begripsbepalingen... 3 3. Werkingssfeer en doelstellingen cameratoezicht... 4 4. Taken en verantwoordelijkheden... 4 5. Inrichten camerasysteem en beveiliging... 4 6. Inzage
Nadere informatie