Ontwikkelingen inzake Privacy-audits, keurmerken, eherkenning en DigiD-assessments 1
Privacy Audit Proof (NIVRA/NOREA keurmerk) 2
Privacy Audit Proof (NIVRA/NOREA keurmerk) Kenmerken: Assurance-rapport als basis voor keurmerk P-A-P Publicatie gecertificeerde verwerkingen op website Normenkader: WBP Achtergrondstudies en verkenningen (A&V-23) Raamwerk Privacy Audits Contouren voor Compliance (weging en beoordeling) 3
Privacy Audit Proof (NIVRA/NOREA keurmerk) A&V 23 en Contouren voor Compliance = Handreiking bij het Raamwerk Privacy Audit (14) aandachtsgebieden en 4 risicoklassen Veel/weinig gegevens + lag/hoge complexiteit vd verwerking Afwijkingen van de norm wordt onderscheid gemaakt in non-conformiteit, deficiëntie of incident Score gebaseerd op puntentabel per risicoklasse 4
Privacy Audit Proof (NIVRA/NOREA keurmerk) Bepalingen Gebruiksreglement Keurmerk: Publicatie assurance-rapport op website Heronderzoek binnen 12 maanden Actief melden van tekortkomingen en relevante wijzigingen m.b.t. stelsel van maatregelen en procedures. 5
Privacy Audit Proof (NIVRA/NOREA keurmerk) Ontwikkelingen 2013: NIVRA > NBA (officieel per 1 januari 2013) 3600 > 3000 (Richtlijn Assurance-opdrachten) A&V 23 > CBP Richtsnoeren beveiliging van persoonsgegevens Evaluatie/heroverweging gebruiksvoorwaarden keurmerk door Kennisgroep Privacy Audits > bestuur 6
Andere certificaten of keurmerken waarbij NOREA en/of RE s in beeld zijn Certificeringsschema TTP.nl (vertegenwoordigd in College van Belanghebbenden) Keurmerk Zeker Online (vertegenwoordigd in werkgroep normatiek) Keurmerk Betrouwbare afrekensystemen (adviesrol normenkader) Ondernemersdossier op grond van digitale agenda EL&I ( We worden genoemd ) 7
Wat is hier aan de hand????? Koenen en Co certificeert eerste IT-audit 04-12-2012 09:28 De auditors van Koenen en Co beoordelen niet alleen de jaarrekening, maar controleren nu ook bedrijfsprocessen en IT-omgevingen. Koenen en Co heeft inmiddels haar eerste IT-audit afgerond. Voor een klant werd de ITomgeving van AFAS beoordeeld en een assurancerapport afgegeven, een zogenaamde Third Party Mededeling. 8
Wat is hier aan de hand????? Koenen en Co certificeert eerste IT-audit 04-12-2012 09:28 De IT-audit geeft een onafhankelijk oordeel over de ITomgeving van een organisatie. Dit oordeel wordt bekrachtigd in een certificaat dat vervolgens bijdraagt aan de verbetering van de reputatie van een organisatie. Eveneens kan deze certificering tijdens eventuele commerciële trajecten voordeel opleveren 9
eherkenning en DigiD 10
voor bedrijven + door bedrijven innovatie betrouwbaarheid klantgerichtheid flexibiliteit G2B G2G B2B B2C
Wat krijgt de dienstverlener? Het bedrijf: KvK-nummer + Vestigingsnummer De persoon: Nummer Een bevestiging: Persoon is bevoegd namens bedrijf + juiste betrouwbaarheidsniveau
Verschillende betrouwbaarheidsniveaus in één stelsel User name / password 13
The STORK interoperable solution for electronic identity (eid) In Europees verband wordt via het STORK-project aan interoperabiliteit tussen vier niveaus van authenticatie gewerkt Secure identity across borders linked 2.0 will contribute to the realization of a single European electronic identification and authentication area. It does so by building on the results of STORK, establishing interoperability of different approaches at national and EU level, eid for persons, eid for legal entities and the facility to mandate. 14
NIEUWS over eherkenning Doorontwikkeling (2012-2013) Inhoudelijke uitbreidingen Machine to machine Ketenmachtigingen ehandtekeningen Attributen Beroepsregisters
Auditaanpak (i/o) (stelsel)audit Pentesten Steeds de 2 niveaus : partij zelf en het stelsel 16
Wat is het? Gemeenschappelijk authenticatiesysteem van en voor de overheid Eigen inlogcode voor de hele overheid Inlogcode bestaat uit een gebruikersnaam en een wachtwoord, eventueel aangevuld met een sms-code > 500 aangesloten organisaties > 600 DigiD aansluitingen > 8 miljoen gebruikers (burgers) 17
Wat kunnen we ermee? Inzage WOZ taxatie gegevens Belastingaangifte Afspraak maken bij bijv. ziekenhuis Uitreksels aanvragen bij gemeente Bezwaarschrift indienen bij gemeente Studiefinanciering aanvragen Vergunningen aanvragen Online aangifte doen bij de politie Etc. 18
Lektober Webwereld.nl en GeenStijl.nl melden beveiligingslekken Websites van 50 gemeenten en gemeentelijke diensten stonden volledig open Meerdere providers betrokken DigiD aansluiting betreffende gemeenten door Logius ontkoppeld Na herstelacties door betreffende gemeenten zijn binnen enkele weken weken de DigiD aansluitingen weer hersteld 19
maatregelen Minister Donner in oktober 2011: Brief betreffende Lekken in een aantal gemeentelijke websites alle organisaties waarvan blijkt dat de ICT gecompromitteerd is per direct afkoppelen van DigiD (11 oktober 2011); weer aansluiten nadat hun ICT beveiliging (voor zover die DigiD kan raken) weer op orde is; Alle DigiD gebruikende organisaties uiterlijk voor het einde van het eerste kwartaal van 2012 een ICT beveiligingsassessment. 20
maatregelen Minister Spies op 2 februari 2012: Brief betreffende ICT-beveiligingsassessments DigiD gebruikende organisaties Onder verantwoordelijkheid van RE s Gefaseerde aanpak, DigiD grootgebruikers in 2012, alle DigiD gebruikende organisaties in 2013. 21
beveiligings-assessments Afspraken tussen Logius en NOREA (november 2012): Norm = ICT-beveiligingsassessment DigiD, gebaseerd op een selectie van NCSC-beveiligingsrichtlijnen Opdracht overeenkomstig Assurance-Richtlijn 3000 Oordeel per beveiligingsrichtlijn (voldoet/voldoet niet) Dus, geen overall-oordeel over de beveiliging van de betreffende DigiD-aansluiting Rapport ten behoeve van de betreffende organisatie + Logius 22
Beveiligings-assessments Beschikbaar voor RE s (ASAP via NOREA-website): Modelrapport (Word-template), ook bruikbaar/geschikt in het geval gebruik wordt gemaakt van een service-organisatie Handreiking DIGID ICT-beveiligingsassessments voor RE s met suggesties en aanbevelingen, bedoeld om bij te dragen aan éénduidige en consistente interpretatie van de norm(en) Bijlage: tabel met beveiligingsrichtlijnen, type/scope maatregelen (Governance, Infrastructuur of Applicatie) en handreiking voor de auditor. 23