Gemeentelijke Informatiebeveiliging & Privacybescherming: Een complexe uitdaging

Maat: px
Weergave met pagina beginnen:

Download "Gemeentelijke Informatiebeveiliging & Privacybescherming: Een complexe uitdaging"

Transcriptie

1 Gemeentelijke Informatiebeveiliging & Privacybescherming: Een complexe uitdaging Ronald Paans Stef Schinagl Edward van Egmond Noordbeek & vrije Universiteit amsterdam File: PaansR Gemeente BIG IB&P Risk workshop 2015, Version: juni Phone

2 Programma INFORMATIEF EN INTERACTIEF 1. De uitdagingen voor de Gemeente Wat vinden B&W belangrijk? Budget voor IB&P? 2. Wet bescherming persoonsgegevens (Wbp) 3. Privacy Impact Assessment (Toetsmodel PIA Rijksdienst) 4. Meldplicht datalekken 5. Risico-appreciatie vanuit het oogpunt van het College van B&W Tonen wij een herkenbare plaat voor risico-erkenning en zal deze plaat bijdragen aan draagvlak? Centraal staan Informatiebeveiliging & Privacybescherming (IB&P) Baseline Informatiebeveiliging Gemeente (BIG) 2

3 De Gemeentelijke Context 3

4 Maatschappelijke Context OPGAVE VOOR GEMEENTEN Decentralisaties: de gemeente is het beste in staat om de burger integraal te bedienen als de meest nabije overheidslaag Integraal is niet vanuit afzonderlijke kolommen, domeinen of sectoren, maar met samenhang tussen verschillende vraagstukken en levensdomeinen als vertrekpunt voor de dienstverlening. Regeerakkoord kabinet Rutte II Eén gezin, één plan, één regisseur Decentralisaties in het sociale domein» Wet werken naar vermogen (WWnV), toeleiding naar werk» Algemene wet bijzondere ziektekosten (AWBZ)» Wet maatschappelijke ondersteuning (Wmo 2015)» Jeugdhulpverlening Dit vergt één budget en één verantwoordelijke van overheidszijde Einde aan vele langs elkaar heen werkende hulpverleners bij de ondersteuning van één gezin Maar hoe vult de gemeente dit in, met compliance aan wet- en regelgeving? 4

5 Archetypen 1 t/m 5 voor Gemeentelijke Informatievoorziening (Model VNG en KING) 1. Transitieproof (zoals het was) Bijstand Participatie wet Wmo 2015 Sociale Dienst Minima Jeugdzorg 2. Totaal Integraal (één loket) Participatiewet Wmo 2015 Schuldhulpverlening Minimabeleid Jeugdzorg 3. Geclusterd Integraal Bijstand Participatiewet Sociale Dienst Minima Wmo 2015 Jeugdzorg 4. Integraal in 2 de Instantie: Eerst 1 en dan groeien naar 2 5. Geclusterde Integraliteit Elders: Archetype 2 met daarachter andere instanties IB&P zorgen, zoals Concentratie gegevens, ontsluiting, eigendom van gegevens Privacy issues, derden etc. 5

6 Juridische Context Wetten en regelingen die van toepassing zijn (niet limitatief) Wet Bescherming Persoonsgegevens en Vrijstellingsbesluit Wet Bescherming Persoonsgegevens (Wbp) Wet Openbaarheid van Bestuur (WOB) Wet Computercriminaliteit II Comptabiliteitswet Archiefwet Wet Particuliere Beveiligingsorganisaties en Recherchebureaus (WBPR) Wet Veiligheidsonderzoeken (WVO) Wet Politiegegevens (Wpg) Ambtenarenwet Voorschrift Informatiebeveiliging Rijksdienst Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIRBI 2012) Beveiligingsvoorschrift 2005 (BVR) CAR-UWO PUN Algemene Rijksvoorwaarden bij ITovereenkomsten (ARBIT 2010) Kader Rijkstoegangsbeleid Uitgangspunten online communicatie rijksambtenaren Programma van Eisen PKI Overheid Code voor Informatiebeveiliging (ISO 27001:2005 en ISO 27002:2007) Telecommunication Infrastructure Standard for Data Centers (TIA-942) Wet SUWI Wet op de identificatieplicht Wet Elektronisch Bestuurlijk Verkeer (WEBV) Wet GBA en wet BRP Wet Werk en Bijstand Registratiewet Algemene wet bestuursrecht Richtlijnen van het NCSC Meldplicht Datalekken Bron: BIG Tactische Baseline 6

7 Digitaal 2017 Generieke Digitale Infrastructuur van de overheid (GDI) Regeerakkoord: Burgers en ondernemers doen uiterlijk in 2017 digitaal zaken met overheidsinstanties (Digitaal 2017) Wetsvoorstellen in voorbereiding Plateau 1: Algemene informatie staat online die nodig is om zaken digitaal af te handelen Plateau 2: Uitbreiden van het interactief digitaal zaken doen, voorzieningen zoals DigiD / eherkenning (later eid) en berichtenboxen Plateau 3: Digitaal 2017 (eind 2017). Burgers en bedrijven kunnen eenvoudig digitaal hun zaken regelen met de overheid. Minimaal is het digitaal aanvragen mogelijk. Vooringevulde formulieren voor de meest gebruikte producten Gewenste situatie per 2020: Burgers en bedrijven voeren de regie over hun zaken met de digitale overheid Bron: juni

8 Digitaal 2017 Bestaande wetgeving voor papieren aanvragen en beschikkingen wordt aangepast aan digitalisering Algemene wet bestuursrecht: Burgers en bedrijven krijgen het recht op elektronisch zakendoen Bekendmakingswet: Burgers en bedrijven moeten alle relevante overheidsinformatie digitaal kunnen raadplegen Wet Generieke Digitale Infrastructuur (WGDI) Eerste tranche regulering voor Overheid.nl, MijnOverheid.nl, Berichtenbox voor burgers, Ondernemersplein, Berichtenbox voor bedrijven en DigiD De verplichting tot aansluiten en gebruik wordt gefaseerd ingevoerd Tweede tranche waarschijnlijk regulering voor publieke eid middelen zoals enik, erijbewijs en evreemdelingenpas enik = elektronische Nederlandse Identiteitskaart 8

9 IB&P Context De IB&P onderwerpen, die op dit moment worden onderkend, zijn Inrichten Informatiebeveiliging Privacy Impact Assessment (PIA) Risicoanalyse (inclusief GAPanalyse) Dataclassificatie Beheer ICT-componenten Awareness informatiebeveiliging Meldplicht Datalekken en meldplicht Inbreuken op elektronische informatiesystemen Responsible Disclosure Authenticatie en Autorisatie (inclusief wachtwoorden, DigiD, eid) Inkopen / aanbesteden Secure Software Development Persoonsgegevens Medische gegevens Strafrechtelijke gegevens Testen met persoonsgegevens Delen gegevens met derden Tijdig verwijderen en vernietigen Mobiele apparaten waaronder Bring Your Own Device (BYOD) Communicatie & Opslag Telewerken Cloud Computing Big Data Bron: KING Handreiking Informatiebeveiliging 3D 9

10 IB&P ZORGEN (VNG en KING) Ieder cluster vergaart informatie per burger / huishouden, waardoor er meer privacygevoelige informatie op één (digitale) locatie komt Toegangsrechten binnen systemen en tot informatie: Wie (functie-type) mag waarom welke informatie zien? Auditlogging: Hoe controleren wij achteraf wie wat heeft ingezien, wanneer en voor welke taak? Welke informatieverwerking vindt plaats buiten de eigen organisatie? Hoe wisselen wij veilig informatie uit met derden? Welke informatie wordt opgeslagen bij derden? Hoe verwijdert en vernietigt men gecontroleerd na de vastgestelde tijd? Hoe wisselen diverse partijen verantwoordings-, stuur- en beleidsinformatie uit? Welke informatie anonimiseren? Zijn bestaande systemen hierop ingericht? Etc. 10

11 Oplossingen, voorbeelden Procedurele oplossingen De Nationale Politie kende 10 jaar geleden een soortgelijke problematiek Dit is opgelost met speciale wetgeving, de Wet politiegegevens (Wpg) Veel aandacht voor classificatie en isolatie: Art 8 info = blauw, Art 9 info = recherche, Art 10 info = CIE+RID, Art 12 info = informant Verplicht autorisatiebeheer met autorisatieloketten etc. Technische oplossingen UWV heeft Sluitend Autorisatiebeheer ingericht, met strikte procedures en interne controle Gebaseerd op een centrale oplossing met een Autorisatie Beheer Systeem en geautomatiseerde Autorisatie Verschillen Analyse Randvoorwaarden bij Gemeenten Veel diverse legacy systemen, ombouwen of vernieuwen is kostbaar Ga er vanuit dat de huidige systemen nog een tijd moeten meegaan 11

12 Stelling: Gemeentelijk budget voor IB&P STELLING Het College van B&W geeft op basis van bovenstaande uitdagingen spontaan voldoende budget voor het inrichten van IB&P, conform de Architectuur voor Informatie Voorziening Sociaal Domein van VNG en KING (Archetypen 1 t/m 5) PRO B&W vinden IB&P heel belangrijk en volgen spontaan VNG en KING CONTRA De Gemeente zet haar prioriteit bij het inrichten van de lokale processen om de Participatiewet, WWnV, Wmo, jeugdhulpzorg etc. uit te kunnen voeren De Gemeente is niet van plan de architectuur van de applicaties te wijzigen conform de Archetypen AFWEGING Waarom wel of niet? 12

13 Privacybescherming 13

14 Wet bescherming persoonsgegevens (Wbp) Persoonsgegevens De Wet bescherming persoonsgegevens (Wbp) is van toepassing op gegevens betreffende geïdentificeerde of identificeerbare natuurlijke personen Er wordt speciale aandacht gegeven aan bijzondere persoonsgegevens, waarvoor verzwaarde regimes gelden Zorgen van de wetgever Datamining in privacygevoelige informatie Profiling: conclusies trekken over personen op basis van algoritmen en computerberekeningen Informatie komt in verkeerde handen of belandt op straat etc. Regel: Waardevoller, minder personen met toegang INFORMATIE Klasse 3: Vertrouwelijk Klasse 2: Privacy Klasse 1: Intern Klasse 0: Openbaar Medische dossiers, keuringen, strafrechtelijke informatie Persoonsgegevens en gevoelige informatie Niet bedoeld voor verspreiding Bedoeld voor het publieke domein 14

15 Wet bescherming persoonsgegevens (Wbp) Wbp Art 16. Bijzondere persoonsgegevens De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijk verleden en onrechtmatig of hinderlijk gedrag is verboden Behoudens voor zover de Gemeente zich bij de uitoefening van haar taken kan beroepen op een algemene of specifieke ontheffing op het verbod Wbp Art Vertrouwelijke gegevens Wettekst: De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat De verwerking van gegevens welke plaatsvinden onder bijzondere geheimhoudingsplichten, zoals het medisch beroepsgeheim of bij het gebruik van bijzondere opsporingsmiddelen, legt aan de Gemeente extra eisen op ten aanzien van de beveiliging Bijvoorbeeld op het gebied van isolatie en strikt autorisatiebeheer 15

16 Proportionaliteit en Subsidiariteit Bij het identificeren van de te verwerken persoonsgegevens dient rekening te worden gehouden met Proportionaliteit De inbreuk op privacy moet in balans moet zijn met het te behalen doel De vraag: is verwerking van deze persoonsgegevens nodig voor alle aspecten van het beleidsvoorstel? De oplossingen mogen niet verder gaan dan wat absoluut nodig is om het gewenste resultaat te bereiken Subsidiariteit Men zoekt de voor de betrokkene minst belastende weg om het te behalen doel te bereiken De vragen: is het alleen door middel van verwerking van deze persoonsgegevens mogelijk het gewenste beleidsmatige resultaat te bereiken? Zijn er alternatieven die niet of minder ingrijpend zijn voor de privacy? Indien alternatieven voor de verwerking van persoonsgegevens met hetzelfde beleidsmatige resultaat voorhanden zijn, moet daarvoor worden gekozen 16

17 Privacy Impact Analyse (Toetsmodel PIA Rijksdienst) De PIA wordt uitgevoerd bij de beoordeling van de effecten van nieuwe wet- en regelgeving en bij majeure wijzigingen op bestaande informatiesystemen, gegevensverzamelingen en de infrastructuur De PIA kent de volgende stappen 1. Stel de scope vast voor de analyse. De scope omvat a. De informatiesystemen, namelijk de functionaliteit b. De (deel)verzamelingen van de gegevens c. De relevante rollen binnen de informatiesystemen, namelijk hoe wordt de functionaliteit gebruikt d. De eigenaren 2. Definieer de basisinformatie, namelijk het type persoonsgegevens, het type verwerking, de noodzaak en de mogelijkheid tot gegevensminimalisering 3. Stel de doelbinding, koppeling aan andere systemen en gegevens, kwaliteit en profiling vast 4. Identificeer de betrokken instanties, informatiesystemen en verantwoordelijkheden 5. Beschrijft de vereisten voor beveiliging, bewaring en vernietiging 6. Beschrijf de processen voor transparantie en rechten van betrokkenen 17

18 Voorbeeld: Architectuur plattegrond voor een PIA SCOPE Melders en Aanvragers Ondersteuning en planning controles Webformulieren 1. Klachten 2. Meldingen 3. Verzoeken Invullen of aanvullen Database Opslag en gebruik Controleurs Call Center medewerkers Digitale formulieren? In kaart brengen Scope en decompositie Type en gevoeligheid van informatie Informatiestromen Gebruik van informatie Verspreiding naar andere partijen etc. Functioneel en Technisch Beheer Externe Partners 18

19 Wbp wordt AVG ROLLEN BIJ Wbp Functionaris voor de Gegevensbescherming (FG) is optioneel FG heeft directe lijn met een bestuurder FG mag contact opnemen met de Autoriteit Persoonsgegevens - AP (voorheen College Bescherming Persoonsgegevens CBP) Verandering door komende Europese ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Privacy Officer (PO) of FG wordt verplicht Gesprekken met de bestuurder moeten worden genotuleerd Notulen moeten worden geaudit Boetes mogelijk tot 100 miljoen of 5% van de omzet AFHANDELEN INCIDENTEN MET PRIVACY Formeel proces nodig Nieuwe aanpassing Wbp: Meldplicht Datalekken 19

20 Samenvatting wijzigingen door AVG Behalve de hoge boetes brengt de Europese AVG de volgende veranderingen Een intern privacybeleid is verplicht Een PO of FG is verplicht Privacy moet worden geïntegreerd als vast onderwerp binnen de bedrijfsvoering De werking van de maatregelen voor privacybescherming moet jaarlijks worden gecontroleerd De toepassing van Privacy Impact Assessments (PIA) wordt verplicht bij veranderingen in diensten en producten, processen en systemen Bij veranderingen moet worden voldaan aan de principes van Privacy by Design en Privacy by Default Gezien de implicaties van de verordening is een goede voorbereiding nodig PIA s helpen om de consequenties en risico s gestructureerd in beeld te brengen en vormen een goede start voor de voorbereiding 20

21 Meldplicht Datalekken 21

22 Meldplicht datalekken Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP Aangenomen door de Tweede Kamer op 10 februari 2015 Aangenomen door de Eerste Kamer op 26 mei 2015 (nog niet van kracht) Het voorstel betreft een wijziging van de Wbp en andere wetten in verband met de invoering van Een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens Uitbreiding van de bevoegdheid van het CBP om bij overtreding een bestuurlijke boete op te leggen» voor doorgifte aan niet-eu land» voor andere overtredingen, inclusief Meldplicht De onderstaande tabel is vooralsnog gebaseerd op het wetsvoorstel 22

23 Nr. Doel Normenkader voor de Meldplicht Norm Meldplicht datalekken De meldplicht betreft inbreuken op beveiligingsmaatregelen voor persoonsgegevens. De regering wil de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Wettelijke basis. Wbp, wijzigingen op de Artikelen 14, 34a, 51a en 66. MD.1. Informeren CBP De Gemeente stelt het CBP onverwijld in kennis van een inbreuk op de beveiliging, die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. MD.2. Informeren betrokkene De Gemeente stelt de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 23

24 Nr. Normenkader voor de Meldplicht Norm MD.3. Informeren over de aard van de inbreuk De kennisgeving aan het CBP en de betrokkene omvat de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de maatregelen om de negatieve gevolgen van de inbreuk te beperken. MD.4. Informeren over de gevolgen De kennisgeving aan het CBP omvat een beschrijving van geconstateerde en vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de Gemeente heeft getroffen om deze gevolgen te verhelpen. MD.5. Zorgvuldige informatievoorziening De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd over de geconstateerde en de feitelijke gevolgen voor de verwerking van persoonsgegevens en de betrokkenen. MD.6. Registratie De Gemeente houdt een overzicht bij van iedere ernstige inbreuk, de feiten omtrent de aard van de inbreuk, en de tekst van de kennisgeving aan de betrokkene. 24

25 DISCUSSIE De Telegraaf, maandag 8 juni 2015, 17:57 Mijnpgb toont privégegevens AMSTERDAM - Pgb-houders kunnen soms persoonlijke gegevens inzien van zorgverleners die voor anderen werken. De Sociale Verzekeringsbank (SVB) heeft dossiers per ongeluk verkeerd gekoppeld, heeft de instantie bevestigd aan de NOS. De getoonde gegevens zijn adresgegevens, BSN-nummer, bankrekening, uurtarieven, betalingen en het type verleende zorg. Soms zijn ook zorgovereenkomsten in te zien. Het lek is de zoveelste smet op de toch al niet vlekkeloze reputatie van het persoonsgebonden budget. VRAAG Zou deze casus onder de Meldplicht Datalekken vallen? Zo ja, welke acties dient de organisatie uit te voeren? 25

26 Hoe om te gaan met de Wbp en Meldplicht, plus voorsorteren op de AVG? PREVENTIEVE ACTIES Organisatorische aspecten in kaart brengen, zoals PO en FG Uitvoeren PIA s voor de bestaande verwerkingen van persoonsgegevens Inrichten van een PIA-proces voor toekomstige veranderingen Zorgen voor een goede IB&P, conform de BIG Nulmeting via de Business IB&P Requirements Analyse (BIRA), gericht op informatiesystemen en gegevensverzamelingen Inrichten van een BIRA-proces voor toekomstige veranderingen Zorgen voor veilige websites Zorgen voor goed leveranciersmanagement, met Beveiliging Overeenkomst en Secure Software Development (SSD) REACTIEVE MAATREGELEN In feite, dat is wachten op de klap. Waar en wanneer die komt valt niet te voorspellen, hopelijk nooit Daarna snelle reactie conform de bovenstaande regels (de normen) En aantoonbaar maken dat de preventieve acties zijn uitgevoerd 26

27 Aandacht van Bestuurders voor IB&P 27

28 Waarde van Informatie Digitale informatie wordt binnen en buiten de overheid steeds waardevoller Dit zijn de Te Beschermen Belangen, oftewel Value at Risk De dreigingen nemen snel toe, zowel in omvang als in ernst Er zijn budgetten Informatiebeveiliging en Privacybescherming (IB&P), maar deze budgetten zijn eindig Veelal richt men alleen de brede minimale beveiliging in (conform BIG) Maar in feite moet men weten wat de Te Beschermen Belangen zijn en vaststellen waar de echte waarde zich bevindt Aan de hand van de echte waarde kunnen de juiste prioriteiten worden gezet bij het selecteren van de benodigde maatregelen Het motto van deze aanpak is Men kan geld voor IB&P-maatregelen maar één keer uitgeven. Daarom is het van belang dat geld te spenderen aan de meest effectieve maatregelen, namelijk de maatregelen die de echte waarde (TBB) echt beveiligen 28

29 Risicomanagement PROBLEEM De BIG stelt: werk vanuit een risicobenadering Maar geeft geen methode voor risicoanalyse Er zijn vele methoden, die op zich goed zijn, maar bottom-up werken en niet tot het gewenste effect leiden Wij presenteren een top-down benadering, plus een visueel middel om structuur aan te brengen 29

30 RISICOANALYSEMETHODE GESCHIEDENIS Er is een moderne classificatiemethode nodig om inzicht geven in de werkelijke waarde. Vervolgens wordt het risico bepaald Jaren 60, 70 en 80 Toonaangevende ontwikkelingen op wetenschappelijk gebied» De Bell-LaPadula, Biba en Clark-Wilson modellen» Vooral militair gericht, en gebaseerd op de toenmalige informatie Jaren 90 tot op heden Er is vooral voortgebouwd op de goede ideeën uit de jaren 70 en 80» ISO = BIG (best practice vanuit 80 )» US NIST SP en , en FIPS 199 en 200 (vooral gebaseerd op 80 ) Echter weinig principiële verbeteringen Jaren 2000 en verder De methodes geven nu onvoldoende inzicht in de risico s voor de moderne informatiewereld De informatie van nu is niet meer de informatie van toen Doel: Ontwikkel een moderne en herhaalbare methode, voortbouwend op het goede werk uit het verleden 30

31 Het model voor IT Audit van prof.drs. H.C. Kocks RA Requirements Systeemontwikkeling (SO) Specificeren, bouwen en testen van informatiesystemen OTAP-straat Gebruikersorganisatie (GO) Administratieve Organisatie en Interne Controle (AO/IC) Service Level Agreements Informatiesystemen Dienstverlening Verwerking- en Transportorganisatie (VTO) Productie-omgeving, datacenter Datacommunicatie 31

32 IT Services and their context User population (GO) Development Process (SO) Supplier Management Service Development & Maintenance Arch Reqs D-T-A-P Users and their processes FD TD Build Test Accep VALUE at RISK Web Applications Human Info Financial Info Things Info Functionality Applications INFORMATION Users and their processes Systems, sensors, machines etc. Our society Internet of Things Network Operating Centre Functional & Technical Support AV Infrastructure (VTO) Office Automation & Mobile Data DMZ Network (WAN and LAN s) IDS & IPS Application Middleware Access Control Operating System Hardware Data centres Internet Outer World Storage Storage Connections Partners 32

33 Drie Informatiestromen Waarom onderscheid tussen drie stromen van informatie? Voor iedere stroom zijn speciale maatregelen, geredeneerd vanuit het werkproces (Groepen van maatregelen zijn gereedschapskisten : Men laat geen loodgieter met een waterpomptang komen als de video-intercom defect is) HUMAN INFORMATION Gegenereerd door mensen en bedoeld om te worden begrepen door mensen Alles uit GBA, BAG, B dienst dossiers etc., bedoeld om de burger te helpen Maatregelen: Autorisatiebeheer, isolatie, versleutelen etc. FINANCIAL INFORMATION Financiële transacties, die men kan controleren met rekenformules Maatregelen: Functiescheiding, dubbele accordering, AO/IC, boekhoudregels etc. THINGS INFORMATION Verkeerslichten, elektronische publicatieborden, bruggen, sluizen, openbaar vervoer, nutsvoorzieningen, infrastructuur etc. Maatregelen: Real-time beschermen tegen hackers en digitale dreigingen etc. 33

34 NCSC: Actoren en dreigingen Actors (NCSC) Dreigingen Incidenten OWASP Fraude User population Development Process Supplier Management Service Development & Maintenance Arch Reqs D-T-A-P Users and their processes FD TD Build Test Accep VALUE at RISK Web Applications Human Info Financial Info Things Info Functionality Applications INFORMATION Users and their processes Systems, sensors, machines etc. Internet of Things Our society Dreigingen DDoS Buitenwereld Wantrouwen Misbruik Wijzigingen Fouten Storingen Network Operating Centre Functional & Technical Support AV Infrastructure Office Automation & Mobile Data DMZ Network (WAN and LAN s) IDS & IPS Application Middleware Access Control Operating System Hardware Data centres Internet Outer World Storage Storage Connections Partners Lekkage Etc. Slordigheid Wraak Actors (NCSC) 34

35 IB&P maatregelen STANDAARDEN Vele standaarden voor IB&P Deze bevatten vrijwel dezelfde maatregelen HET PROBLEEM Welke IB&P maatregel is in welke situatie van belang? Hoe herkent en erkent senior management dit belang? OPLOSSING Redeneer vanuit de risico s die herkenbaar zijn voor bestuurders De Kubus is alleen een denkmodel voor het aanbrengen van structuur, van boven naar beneden Wij lichten nu eerst de denkwerelden toe 35

36 Analyse Fotofinish 36

37 Verdraaide Organisaties en de Mythe van Beheersbaarheid De Systeemwereld De Leefwereld De Bedoeling Bron: Wouter Hart 37

38 De Gewenste Denkrichting De Systeemwereld De Leefwereld De Bedoeling Strategische risico s Tactische en operationele risico s Denkrichting BIG Waarom werkt dit zo niet? 38

39 1 De klassieke IT-Audit De Systeemwereld De Leefwereld De Bedoeling Begrijpbare taal voor elkaar Standaard werk voor de IT-auditor Een expert spreekt met een expert Audit 39

40 2 Een Nieuw Werkproces De Systeemwereld De Leefwereld De Bedoeling Denkrichting The Management System The director The manager The user The customer etc. Risicoparagraaf Hoe koppel je de boodschap terug aan de bestuurder binnen de context van de bedoeling? 40

41 3 De Huidige situatie De Bedoeling Denkrichting De Systeemwereld De Leefwereld The Management System The director The manager The user The customer etc. Dit is de klassieke fout van de beveiliger en IT-auditor De boodschap is niet in context van de Bedoeling Het landt niet bij de echte wereld Verkeerde risico s en verkeerde assen (vanuit Systeemwereld) 41

42 4 De Gewenste Audit in 2020 De Systeemwereld De Leefwereld Randvoorwaardelijk De Bedoeling Denkrichting The Management System The director The manager The user The customer etc. Dit is gewenst, maar dit lukt niet De groene mensen kunnen niet op papier zetten welke nonfunc zij nodig hebben De beveiliger kan dit niet zelf bedenken (begrijpt de bedoeling niet) Hiervoor is een middel nodig 42

43 5 Redeneren vanuit de Bedoeling De Systeemwereld De Leefwereld Randvoorwaardelijk Faciliterend De Bedoeling Denkrichting Dit is gewenst De lijnen moeten kloppen! Vanuit het denkpatroon van de bestuurder bepaalt men de risico s en de aanpak voor de maatregelen Voorstel VNG en KING: Chief Information Security Officer (CISO) 43

44 Stelling: Gemeentelijke Bedoeling STELLING Het College van B&W redeneert vanuit de Bedoeling van de Gemeente, namelijk Openbare Orde en Veiligheid, en het zorgen voor de burgers, zoals gezondheid en sociale zekerheid. PRO B&W willen rust en welzijn binnen de Gemeente MOGELIJKE RISICO S VANUIT DE BEDOELING Fraude en gesjoemel Schending van wet- en regelgeving, zoals de privacy VERTALEN NAAR IB&P MAATREGELEN Gegevensclassificatie, AO/IC, functiescheiding, autorisatiebeheer, veilige webportal, leveranciersmanagement etc. VRAAG Is dit een logische analyse vanuit de Bedoeling? 44

45 Risicoanalyse voor de BIG 45

46 De BIRA Business IB&P Impact Analyse (BIRA) Ontwikkeld bij het UWV De BIR / BIG vereist Scoping en decompositie Identificatie van de kroonjuwelen Vaststellen van de classificatie voor CIA Top-down definiëren of controleren van de IB&P maatregelen Vaststellen van het netto risico (namelijk nà het treffen van de IB&P maatregelen) Eventueel extra maatregelen voorstellen N.B. Bottom-up werken leidt niet tot begrip bij de bestuurders 46

47 Te Beschermen Belang De Leefwereld De Bedoeling 2. Classificatie van informatie en functionaliteit 1. Scope en decompositie (Te Beschermen Belang, Bruto risico) De Systeemwereld Output: Classificatie 47

48 De 27 gereedschapskisten met IB&P maatregelen A AU D A AU D Toolbox Human, Conf en Dispose : IB&P maatregelen (bijv. ISO 27001, BIG) voor afdanken media en vernietigen van informatie, conform de classificatie Toolbox Financial, Integrity en Acquire : IB&P maatregelen voor het verifiëren van de bron en authenticiteit van een transactie, conform de classificatie A AU D Dispose Access & Use (incl. Disseminate) Acquire 48

49 Risicoanalyse Kwetsbaarheden Dreigingen 3de dimensie. Analyse van dreigingen, onder de conditie van de maatregelen (voor 27 cellen) A AU D A A AU AU D D Netto risico voor informatie Dispose Access & Use (incl. Disseminate) Acquire 49

50 The Information Assurance Cube 2. Classificatie van informatie en functionaliteit 1. Scope en decompositie Te Beschermen Belang = Bruto risico 3. Toolkits: 27 dozen met IB&P maatregelen, gebaseerd op het type informatie en CIA Netto risico 50

51 Vertrouwelijkheid CLASSIFICATIE VOOR VERTROUWELIJKHEID Alle informatie in de dossiers en systemen moet zijn geclassificeerd Klasse 0: Publieke informatie Klasse 1: Interne informatie Klasse 2 Privacy gevoelig, men wil niet dat dit ongeautoriseerd wordt onthuld Wbp Art. 16: Ras, religie, geaardheid etc. Financiële transacties aan burgers ( hoeft de buurvrouw niet te weten ) Klasse 3: Wbp Art. 9.4: Medische informatie, bijv. van keuringsarts Strafrechtelijke informatie Bulkinformatie voor profiling Regel: Naarmate informatie waardevoller is, hebben minder personen toegang (isolatie, autorisatiebeheer, versleutelen) 51

52 Borgen van Vertrouwelijkheid Hoogwaardige en accurate informatie in een veilige omgeving Regels Niet naar boven lezen Niet naar beneden schrijven Isolatie tussen niveaus Combineer en valideer informatie, verrijken, verhogen van de waarde Veel laagwaardige informatie, soms niet accuraat, in een onveilige omgeving Dept of Defence Geen declassificatie van hoogwaardige informatie Verstrek alleen beperkte informatie die echt nodig is, zoals commando s (met gezond verstand) Bell LaPadula model: Verrijken van militaire informatie (Dit is de basis voor dataclassificatie volgens ISO 27001, BIG, VIR-BI etc.) 52

53 Het Bell LaPadula Model en privacy wetgeving A AU D Voorbeelden in de Wet politiegegevens (Wpg) A AU D A A AU AU D D Acquire, bijv.: Bronvermelding Valideren informatie of vernietigen Access and use, bijv.: 5 niveaus van vertrouwelijkheid Strikte regels voor eigenaarschap, toegang, isolatie, verspreiding etc. per niveau Disposal, bijv.: Na 5 jaar, de informatie wordt vergrendeld 5 jaar later, de informatie wordt op een gecontroleerde wijze vernietigd 53

54 Voorbeeld van een toolkit H, C, D A AU D Disposal, bijv.: Na 5 jaar, de informatie wordt vergrendeld 5 jaar later, de informatie wordt op een gecontroleerde wijze vernietigd D BIG maatregelen, bijv.: Veilig verwijderen van apparatuur 10.7 Behandeling van media (Geen maatregel voor tijdige vernietiging, die eis moet komen uit het werkproces) 54

55 Financiële integriteit De Gemeente heeft inkomsten en uitgaven Hoe voorkomt men fraude met transacties? SCHEIDING VAN HANDELINGEN De medewerker die een dossier of claim afhandelt, mag niet betrokken zijn bij de financiële transactie De medewerker die transacties klaarzet, mag niet betrokken zijn bij het accorderen De medewerker die accordeert, mag niet betrokken zijn bij het controleren of alle transacties goed en conform de regels zijn verlopen Etc. AUTORISATIEBEHEER Een medewerker mag alleen toegang hebben tot de functionaliteit en informatie die nodig is voor het uitvoeren van de functie Een leidinggevende accordeert de autorisaties en controleert die Een medewerker mag niet de eigen autorisaties kunnen veranderen 55

56 De originele tekening van het Clark-Wilson Integrity model (1987) Samenvatting van System Integrity Rules USERS E3: Authenticatie van gebruiker C1: IVP valideert CDI IVP Integrity Verification Procedure C5: TP valideert UDI Controlled Transaction CDI CDI LOG Uncontrolled Transaction UDI Systeem in bepaalde toestand TP Transaction Processor E2: Gebruiker is bevoegd voor TP C3: Scheiding van handelingen C2: TP zorgt voor veilige toestand CDI CDI LOG C4: TP schrijft log E4: Wijzigen van autorisatielijst alleen door Security Officer E1: CDIs alleen bewerken door bevoegde TP Clark-Wilson Model: Borgen integriteit van financiële transacties 56

57 Het Clark-Wilson Model en Financiële Transacties A AU D A AU D Clark-Wilson Integrity model A AU D C1 C5 USERS C2 E2 C3 E3 A AU D IVP CDI CDI LOG UDI TP CDI CDI LOG E4 System in some state E1 C4 57

Security Operations Centre (SOC) for Information Assurance

Security Operations Centre (SOC) for Information Assurance Security Operations Centre () for Information Assurance Modelleren en meten van de effectiviteit Stef Schinagl vrije Universiteit amsterdam 10 december 2014 File: Vurore Presentatie Seminar 2014 12 10

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016 Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

onderzoek en privacy WAT ZEGT DE WET

onderzoek en privacy WAT ZEGT DE WET onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

ECIB/U201501573 Lbr. 15/079

ECIB/U201501573 Lbr. 15/079 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Privacy: de Europese Algemene Verordening Gegevensbescherming & de Meldplicht Datalekken

Nadere informatie

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

IMMA special Privacy. Amersfoort, 20 april 2016

IMMA special Privacy. Amersfoort, 20 april 2016 IMMA special Privacy Amersfoort, 20 april 2016 Iris Koetsenruijter: koetsenruijter@considerati.com, 06-28613217 Rob Mouris: rob.mouris@minienm.nl, 06-27061622 1 Opzet Special 09.30-09.45 Voorstelronde

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Nieuwe privacyregels: Eitje of zwarte zwaan?

Nieuwe privacyregels: Eitje of zwarte zwaan? 1 Nieuwe privacyregels: Eitje of zwarte zwaan? Jaarvergadering Ledengroep Intern en Overheidsaccountants Nederlandse Beroepsorganisatie van Accountants Donderdag 14 september 2013 Wolter Karssenberg RE

Nadere informatie

Privacy Scan VISD juni 2014. Antwoordcategorie Ja/Nee/ Onbekend

Privacy Scan VISD juni 2014. Antwoordcategorie Ja/Nee/ Onbekend 1 Governance Deze vragen geven inzicht in de te ondernemen acties met betrekking tot de governance en organisatie van privacy. Dit is afhankelijk van de lokale situatie vanaf 2015. Elke gemeente moet nadenken

Nadere informatie

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Inhoudsopgave 1. Wet Bescherming Persoonsgegevens 2. Wat is een datalek? 3. Wanneer moet

Nadere informatie

Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ

Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ Platform IZO 20 september 2013 Mr. P.L. Coté MBA Wie zijn wij? > Adviseurs voor bestuur, recht en ICT: privacybescherming identitymanagement taxonomieën

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

MELDPLICHT DATALEKKEN

MELDPLICHT DATALEKKEN MELDPLICHT DATALEKKEN 2 WETSWIJZIGING Op 26 mei 2015 heeft EK wetsvoorstel voor de Wet meldplicht datalekken aangenomen. Sinds 1 januari 2016 in werking getreden: Nieuw in Wet bescherming persoonsgegevens

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

BEANTWOORDING SCHRIFTELIJKE VRAGEN. Svr/006/03-11-2014/antwoord. 24 november 2014. Aan de voorzitter van de raad

BEANTWOORDING SCHRIFTELIJKE VRAGEN. Svr/006/03-11-2014/antwoord. 24 november 2014. Aan de voorzitter van de raad BEANTWOORDING SCHRIFTELIJKE VRAGEN REGISTRATIENUMMER Datum Aan Onderwerp Svr/006/03-11-2014/antwoord 24 november 2014 Aan de voorzitter van de raad Privacy, Beveiliging en Datakwaliteit bij de decentralisaties.

Nadere informatie

Meldplicht datalekken

Meldplicht datalekken Meldplicht datalekken Peter Westerveld Directeur en principal security consultant Sincerus consultancy Sincerus Cybermonitor Opgericht in 2004 20 medewerkers Informatiebeveiliging Zwolle en Enschede 15-02-16

Nadere informatie

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

Het Europese privacyrecht in beweging

Het Europese privacyrecht in beweging Presentatie van de NOREA-publicatie Het Europese privacyrecht in beweging Opsteller: Mr. dr. A.W. (Anne-Wil) Duthler NOREA, Duthler Associates Amsterdam, 13 december 2012 Agenda Inhoud Europese privacyverordening

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Europese Privacy Verordening (EPV) Een wet met Tanden

Europese Privacy Verordening (EPV) Een wet met Tanden Europese Privacy Verordening (EPV) Een wet met Tanden WBP en EPV grote verschillen? WBP Transparantie X X Proportionaliteit X X Doelbinding X X Subsidiariteit X X Accountability en auditability Boetes

Nadere informatie

Sta eens stil bij de Wet Meldplicht Datalekken

Sta eens stil bij de Wet Meldplicht Datalekken Sta eens stil bij de Wet Meldplicht Datalekken Wet Meldplicht Datalekken Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden)

Nadere informatie

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016 Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016 Privacyrecht Wetgeving: Wet bescherming persoonsgegevens (Eur. Richtlijn 95/46/EG)

Nadere informatie

Wet meldplicht datalekken

Wet meldplicht datalekken Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor

Nadere informatie

WET MELDPLICHT DATALEKKEN FACTSHEET

WET MELDPLICHT DATALEKKEN FACTSHEET WET MELDPLICHT DATALEKKEN FACTSHEET Wettekst De Wet Meldplicht Datalekken introduceert onder andere een meldplicht. Dit wordt geregeld in een nieuw artikel, artikel 34a Wbp dat uit 11 leden (onderdelen)

Nadere informatie

ICT in de zorg. Over de impact van wet- en regelgeving

ICT in de zorg. Over de impact van wet- en regelgeving ICT in de zorg Over de impact van wet- en regelgeving Impact van weten regelgeving op ICT in de zorg Voldoen aan wet- en regelgeving is voor ICT-afdelingen in de zorgsector een steeds vaker terugkerend

Nadere informatie

Bescherming persoonsgegevens

Bescherming persoonsgegevens Bescherming persoonsgegevens VNG Juridische 2-daagse 2014 Hester de Vries 27 oktober 2014 Privacy & bescherming persoonsgegevens is hot! Programma 1. Toepassing Wbp in de praktijk 2. (Voorstel) Algemene

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering Informatiebeveiliging gemeenten KPN logische partner bij invoering en uitvoering 2 Informatiebeveiliging is en blijft een hot issue, want de digitalisering neemt nog steeds toe. Ook binnen gemeenten. Sinds

Nadere informatie

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst!

Juridische blik op: hacking en bescherming van persoonsgevens. Nieuwe wetgeving op komst! Juridische blik op: hacking en bescherming van persoonsgevens Nieuwe wetgeving op komst! Het kan de beste overkomen In het nieuws: database piloten EASA wil database gegevens gezondheid van piloten 20

Nadere informatie

Dienst Uitvoering Onderwijs (DUO)

Dienst Uitvoering Onderwijs (DUO) Dienst Uitvoering Onderwijs (DUO) Privacytoezicht in de praktijk Aramis Jean Pierre Functionaris gegevensbescherming (FG) DUO/OCW Aramis.jeanpierre@duo.nl Functionaris voor de gegevensbescherming (FG)

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz Informatiebeveiliging: de juridische aspecten Anton Ekker juridisch adviseur Nictiz 20 september 2012 Onderwerpen beveiligingsplicht Wbp aandachtspunten implementatie IAM en BYOD wat te doen bij een datalek?

Nadere informatie

12 mei 2016. www.infotraining.nl. ééndaagse workshop. Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop

12 mei 2016. www.infotraining.nl. ééndaagse workshop. Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop ééndaagse workshop 12 mei 2016 POSTILLION HOTEL BUNNIK Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop www.infotraining.nl Is uw databeleid gereed voor 2016?

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst Security, Continuïty & Privacy by design Jaap van der Veen CIO-office DG Belastingdienst Even voorstellen: Jaap van der Veen Strategisch architect Ministerie van Financiën CIO-office 06-5151 0702 je.van.der.veen@belastingdienst.nl

Nadere informatie

Advocatuur en informatie beveiliging Een hot topic

Advocatuur en informatie beveiliging Een hot topic Advocatuur en informatie beveiliging Een hot topic René van den Assem Partner @ Verdonck, Klooster & Associates eherkenning adviseur @ ICTU Rene.vandenassem@vka.nl De achterstandspositie PwC en IronMountain

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ:

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ: AANGESLOTEN BIJ: Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht Wet Bescherming Persoonsgegevens : WBP Kwaliteit Per 1 september 2001 is de Wet Persoonsregistraties vervangen door de Wet Bescherming

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

Wet Meldplicht Datalekken. Jeroen Terstegge

Wet Meldplicht Datalekken. Jeroen Terstegge Wet Meldplicht Datalekken Jeroen Terstegge Introduction Jeroen Terstegge, CIPP E/US Partner, Privacy Management Partners Voorzitter Privacy Commissie, VNO-NCW / MKB Nederland Bestuurslid, Vereniging Privacy

Nadere informatie

In vier stappen voldoen aan de meldplicht datalekken

In vier stappen voldoen aan de meldplicht datalekken In vier stappen voldoen aan de meldplicht datalekken dfg WHITEPAPER Datum ID Nummer 20 september 2012 12015 Auteur(s) mr. dr. A.H. (Anton) Ekker Samenvatting De Nederlandse overheid en de Europese Commissie

Nadere informatie

Meldplicht Datalekken

Meldplicht Datalekken Meldplicht Datalekken Wolter Karssenberg RE, CIPP/E, CIPM drs. Erik König EMITA 10 december 2015 Agenda Datalekken Meldplicht Beleidsregels Beheersen So what! We ll just pay the fine! 2 Agenda Datalekken

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016 PRIVACY SIDN fonds Menno Weij 3 februari 2016 AGENDA Privacy Privacywetgeving van toepassing Plichten voor bedrijven Rechten betrokkenen Toezichthouder Ruimte voor vragen en discussie TERMINOLOGIE Belangrijkste

Nadere informatie

In control op privacy en beveiliging? Instituut voor business research 22 maart 2016

In control op privacy en beveiliging? Instituut voor business research 22 maart 2016 In control op privacy en beveiliging? Instituut voor business research 22 maart 2016 Agenda Persoonsinformatie en wettelijke kaders Actuele ontwikkelingen in wetgeving en praktijk De risico s: juridisch

Nadere informatie

Kwaliteit boek 1 - Beleid : 101 Privacyreglement Proceseigenaar : Bestuurder/Directeur Datum : 01-08-2013 Pagina 1 van 6 PRIVACYREGLEMENT

Kwaliteit boek 1 - Beleid : 101 Privacyreglement Proceseigenaar : Bestuurder/Directeur Datum : 01-08-2013 Pagina 1 van 6 PRIVACYREGLEMENT Pagina 1 van 6 PRIVACYREGLEMENT Persoonsgegevens Persoonsgegevens geven, direct of indirect, informatie over een persoon, bijvoorbeeld een geboortedatum, adres of geslacht zegt iets over een persoon. Deze

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties www.pwc.nl/privacy Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland januari 2016 Introductie Management Samenvatting Resultaten Inhoudsopgave

Nadere informatie

Workshop Privacy en Triage

Workshop Privacy en Triage Workshop Privacy en Triage Programma 1. Over de streep 2. Introductie Privacy & Triage 3. Triage in casus Privacy staat integraal werken in sociaal domein in de weg Gemeenten krijgen een grotere verantwoordelijkheid

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox A Algemeen 1. Gegevens aanvrager Naam: Adres: Dochter- Bedrijven 50% aandel of meer: Heeft u een vestiging in de VS/ Canada Graag een opgave van uw activiteiten: Graag een opgave van uw website(s) : 2.

Nadere informatie

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl Aanscherping WBP Meldplicht datalekken Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl PMP in het kort Privacy Management Partners Het eerste DPO-bureau van Nederland Data Protection

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Eerste Kamer der Staten-Generaal

Eerste Kamer der Staten-Generaal Eerste Kamer der Staten-Generaal 1 Vergaderjaar 2014 2015 33 662 Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

informatiebeveiliging

informatiebeveiliging informatiebeveiliging mei 2016 1 inleiding aanleiding In februari 2016 werd de gemeente Rotterdam geconfronteerd met een datalek waarbij namen, adresgegevens en burgerservicenummers (BSN) uit belastingbestanden

Nadere informatie

Gemeente Delft. Bijgaand sturen wij U ter kennisneming de nota lmplementatie Wet Meldplicht Datalekken.

Gemeente Delft. Bijgaand sturen wij U ter kennisneming de nota lmplementatie Wet Meldplicht Datalekken. Gemeente Delft Retouradres : Aan de raadscommissie voor Rekening en Audit VERZONDEN 17 DEC. 2015 Datum 15-12-2015 Ons kenmerk 2668829 Uw brief van Onderwerp nota Implementatie Meldplicht Datalekken Uw

Nadere informatie

ICT in het Sociaal Domein

ICT in het Sociaal Domein ICT in het Sociaal Domein Eerst transitieproof en dan verder Rolf Meursing Directeur Odinfo Agenda 1. Inleiding 2. Odinfo voorstellen Video decentralisaties 3. 3D s in het nieuws 4. Status per 1 januari

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Privacy Impact Assessment

Privacy Impact Assessment Privacy Impact Assessment Privacy risico s en inschattingen Privacybescherming staat in toenemende mate in de belangstelling. Voor een groeiend aantal bedrijven is het zorgvuldig omgaan met persoonsgegevens

Nadere informatie

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ```` Naar aanleiding van de recente onthullingen rondom de NSA, de Patriot act en PRISM is er veel onduidelijkheid voor organisaties of hun gegevens wel veilig en voldoende beschermd zijn. Op 1 januari 2016

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Dit is een voorbeeld van een Bewerkersovereenkomst zoals gegenereerd met de Bewerkersovereenkomst generator van ICTRecht: https://ictrecht.nl/diensten/juridische-generatoren/bewerkersovereenkomstgenerator/

Nadere informatie

Beleid Gegevensbescherming. Privacy en veiligheid verwerking persoonsgegevens Gemeente Leiden, Leiderdorp, Oegstgeest & Zoeterwoude

Beleid Gegevensbescherming. Privacy en veiligheid verwerking persoonsgegevens Gemeente Leiden, Leiderdorp, Oegstgeest & Zoeterwoude Beleid Gegevensbescherming Privacy en veiligheid verwerking persoonsgegevens Gemeente Leiden, Leiderdorp, Oegstgeest & Zoeterwoude Versie 1.1 20-8-2015 Versiebeheer Datum: 17-9-2015 Tekstuele aanpassingen:

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

Privacy-AO voor een beveiliger Martin Romijn

Privacy-AO voor een beveiliger Martin Romijn Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de gegevensbescherming Security Officer Onderwerpen AO van Security Officer (SO) Kader Incidenten en vragen AO Functionaris Gegevensbescherming

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

De bestuurder van de Stichting Advies en Klachtenbureau Jeugdzorg te Amsterdam;

De bestuurder van de Stichting Advies en Klachtenbureau Jeugdzorg te Amsterdam; Privacyreglement Stichting Advies en Klachtenbureau Jeugdzorg De bestuurder van de Stichting Advies en Klachtenbureau Jeugdzorg te Amsterdam; Overwegende Dat het Advies en Klachtenbureau Jeugdzorg tot

Nadere informatie

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014 Dienstverlening Procesmanagement Informatiemanagement 18 september 2014 Veel vragen gesteld en beantwoord, zoals: Wat draagt informatiemanagement bij aan dienstverlening? Visie dienstverlening en digitaal

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Actualiteiten Privacy. NGB Extra

Actualiteiten Privacy. NGB Extra Actualiteiten Privacy NGB Extra April 2015 Wat heeft het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP voor implicaties voor de praktijk? Wat is er recent veranderd

Nadere informatie

Privacyverklaring Amsio BV

Privacyverklaring Amsio BV Privacyverklaring Amsio BV Via de website en de diensten van hostingbedrijf Amsio BV (www.amsio.com en www.netwerkstatus.nl) worden privacygevoelige gegevens oftewel persoonsgegevens verwerkt. Amsio bv

Nadere informatie