Gegevensbescherming & IT Sil Kingma 2 november 2011 Gustav Mahlerplein 2 1082 MA Amsterdam Postbus 75510 1070 AM Amsterdam The Netherlands 36-38 Cornhill 6th Floor London EC3V 3ND United Kingdom T +31 20 795 39 53 www.boekel.com T +44 207 337 25 00 www.boekel.com 1
Agenda Onderwerpen 1. Belang gegevensbescherming 2. Huidige mogelijkheden gegevensbescherming 3. Gegevensbescherming in de Cloud - Wat is de Cloud - Voor en nadelen - Aandachtspunten 4. Conclusie 2
Actueel onderwerp 3
DigiNotar Uitspraak Hierbij deel ik u mede dat bij vonnis van de Rechtbank Haarlem van 20 september 2011 de besloten vennootschap DigiNotar B.V. failliet is verklaard, met aanstelling van ondergetekende tot curator. Het faillissement heeft tot gevolg dat de activiteiten van DigiNotar binnenkort zullen eindigen. Hoogachtend, Mr. R. Mulder, curator 4
Beveiliging netwerkomgeving 3 manieren Preventieve maatregelen - Technische bescherming Repressieve maatregelen - Strafrechtelijke wettelijk bescherming Positieve (pro-actieve) maatregelen - Contractuele bescherming 5
Ad 2. Wettelijke bescherming De Wet Computercriminaliteit Strafbaar is : Opzettelijk en wederrechtelijk binnendringen in computersystemen (computervredebreuk) Het vernielen van gegevens, verstikkingsaanvallen en andere vormen van cybercrime 6
Ad 3. Contractuele bescherming Onderlinge afspraken Wat geldt tussen de leverancier en de afnemer van een ICT services is in veel gevallen contractueel bepaalt voor wat betreft: De beveiligingsverplichtingen leverancier De consequenties van niet nakoming 7
Cloud Computing A NEW KID IN TOWN 8
Wat is Cloud Computing? Mistig begrip 1. Geen eenduidige wettelijke definitie 2. Kent verschillende verschijningsvormen 9
Definities Pogingen een vorm van computergebruik waarbij schaalbare en flexibele ITfaciliteiten als dienst worden aangeboden aan grote aantallen klanten die internettechnologie gebruiken (Artikel 29 Werkgroep) Een model dat het mogelijk maakt om door middel van een computernetwerk gedeelde configureerbare computermiddelen (zoals netwerken, servers, opslag, applicaties, en diensten) op aanvraag beschikbaar te stellen op een snelle, gemakkelijke en alomtegenwoordige manier met minimale beheermoeite of interactie van een service provider (Wikipedia 2011) 10
Verschijningsvormen 3 vormen Software as a Service ( SaaS ) - Denk aan diensten als Hotmail, Facebook, Google docs Platform as a Service ( PaaS ) - Amazon AWS, Google Aps Infrastructure as a Service ( IaaS ) 11
Voordelen & nadelen Voordelen Kostenbesparing Eenvoudiger beheer van software en data Schaalbaarheid (mate waarin het systeem is voorbereid op een toename van intensiever of breder gebruik ) en flexibiliteit 12
Voordelen & nadelen Nadelen Afhankelijkheid CSP ( de zogeheten Vendor lock-in) Privacy-problematiek 13
Dus niet doen? 14
Afhankelijkheid inperken Praktische Oplossingen Door helder te krijgen: Welke gegevens zich in de cloud gaan begeven Waar deze gegevens terecht komen Welk recht daar van toepassing is Welke bevoegdheden de lokale overheid heeft Risico op datalekken 15
Afhankelijkheid inperken Juridische Oplossingen Contractueel vastleggen van de: verplichtingen van de CSP alsmede de rechten van de afnemer Cloud dienst 16
Contractueel regelen Onderwerpen Aansprakelijkheid en vrijwaring Kwaliteit en continuïteit Onafhankelijkheid Regionalisatie of lokalisatie Beveiliging van de gegevens 17
Aansprakelijkheid Schade Leveranciersovereenkomsten eenzijdig - Uitsluiting indirecte schade - beperking directe schade - korte verjaringstermijnen Toepasselijk recht en jurisdictie - praktisch probleem bij evaluatie rechten - praktisch probleem bij afdwingbaarheid van rechten 18
Kwaliteit en continuïteit 3 aandacht punten Service Level Agreement (SLA) Schaalbaarheid/Flexibiliteit Faillissement dienstverlener 19
Onafhankelijkheid Van belang Cloud Computing = controleverlies - Data is een waardevol bestanddeel van een onderneming - Beschikbaarheid van data is essentieel Einde overeenkomst - Beschikbaarheid data in herbruikbare vorm - Contractuele retransitiemaatregelen zijn essentieel - Escrow 20
Beveiligingsniveau Van gegevens Wettelijke plicht om gegevens te beveiligen en het beveiligingsniveau te controleren - Code Tabaksblat - Sarbanes Oxley Act - Wet bescherming perssongegevens Audit Certificatie en kwaliteitsgaranties CSP 21 -
Verwerking van persoonsgegevens Wettelijke verplichtingen EU richtlijn 1995/46/EG Wet bescherming persoonsgegevens 22
Verplichtingen Wbp Opletten Bekendheid met locatie persoonsgegevens regionalisatie/lokalisatie Technische en organisatorische beschermingsmaatregelen (art 13 Wbp) Maximale bewaartermijnen Uitvoering controle- en correctierechten betrokkenen 23
Verwerking van persoonsgegevens Belangrijkste aandachtspunten Begrippen Belang onderscheid Beperking bij doorgifte van persoonsgegevens aan derde landen Beveiligingsplicht 24
Begrippen Wbp Verantwoordelijke bepaalt het doel en de middelen van de verwerking (afnemer cloud diensten) Bewerker (data processor) verwerkt gegevens ten behoeve van de Verantwoordelijke (CSP) Betrokkene De natuurlijke persoon wier gegevens verwerkt worden 25
Belang onderscheid Geldt Wbp? Toewijzing verantwoordelijkheid Bepaling toepasselijk recht Sterke beveiligingsplicht (verplicht contractueel door te schuiven bij uitbesteding aan een bewerker) 26
Doorgifte persoonsgegevens Wbp Doorgifte aan landen buiten de EU; dit is niet toegestaan, tenzij een adequaat beschermingsniveau wordt geboden Uitzonderingen Lijst Europese Commissie (beperkt aantal landen) Safe Harbor gecertificeerde ondernemingen (VS) Binding corporate rules Toestemming betrokkene Noodzakelijk voor de uitvoering van een overeenkomst 27
Beveiligingsplicht Volgens Wbp Verplichting tot vertrouwelijkheid en doelgebonden gebruik Verplichting tot adequaat beveiligen (technisch & organisatorisch) Cloud: hogere risico s omwille van zakenmodel in principe een zwaardere beveiligingsplicht bij bewerker 28
Conclusie Belangrijk Regel de locatie waar de data wordt vastgelegd Regel de beveiligingsverplichtingen en controle mogelijkheden (compliance verplichtingen) Vermijd voorlopig de opslag van gevoelige gegevens in de Cloud Zorg voor een goed contract! 29
Vragen? Mail: sil.kingma@boekel.com http://nl.linkedin.com/in/silkingma Tel: +31207953310 30