Privacy in complexe ecosystemen beheersbaar maken

Vergelijkbare documenten
Naar een nieuw Privacy Control Framework (PCF)

Data? Informatie? Kennis! Wijsheid!

Privacy & Data event 18 mei Privacy by Design. Jan Rochat, Chief Technology Officer

Privacy & Data event Johan Rambi 18 Mei 2017

Privacy in de zorg. Een primer over de wettelijke kaders rondom persoonsgegevens. Christiaan Hillen. Security consultant bij Madison Gurkha

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

Privacy by Design. De Toekomst. Jaap-Henk Hoepman. Privacy & Identity Lab Radboud University Tilburg University University of Groningen

PIA: niet omdat het moet, maar omdat het kan. Hoe kan de Privacy Impact Assessment ingepast worden in de onderzoeks data lifecycle?

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

EPD in the cloud. Workshop informatieveiligheidsconsulenten FOD VG 5/12/2013

GDPR voor KVK 6/03/2018

Privacy by Design in de praktijk!

Privacy Impact Assessment

Data Protection Impact Assessment (DPIA)

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

De Algemene Verordening Gegevensbescherming

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

Opleiding PECB IT Governance.

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

PRIVACY BY DESIGN IN DE ZORG. Congres Open en weerbaar Marc van Lieshout

De AVG, wat moet ik ermee?

Privacy & Cloud. een juridisch perspectief

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

GDPR (General Data Protection Regulation ) The journey we take together

GDPR. General Data Protection Regulation

FACTSHEET VERWERKINGSREGISTER

checklist in 10 stappen voorbereid op de AVG. human forward.

Europese Privacy Verordening (EPV) Een wet met Tanden

Stappenplan naar GDPR compliance

Sirius Legal. De impact van de GDPR op uw marketing en prospectie Business meets IT, Blue Point Antwerpen, 1 juni 2017

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

AVG / GDPR en Onderwijs Algemene verordening gegevensbescherming General Data Protection Regulation

Agenda. De AVG: wat nu?

Cursus privacyrecht Jeroen Naves 7 september 2017

EU Data Protection Wetgeving

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Algemene verordening gegevensbescherming

GET YOUR DATA PROTECTION RIGHT THE LEGAL PART Dirk Beeckman Questa Advocaten

Privacy Ad Boumans

Stappenplan naar GDPR compliance

Boels Zanders. De kracht Jean-Luc van ambitie. 24 mei Privacy op de werkvloer. Anouk Cordang en

kenmerk Error! Bookmark not defined. datum pagina 1/6 Commissieplan 2016 Normcommissie

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

Privacy Maturity Scan (PMS)

Gebruikersdag Vialis Digitale Veiligheid

Algemene Verordening Gegevensverwerking ( GDPR )

Privacy wetgeving: Wat verandert er in 2018?

GDPR, wat betekent deze nieuwe privacywet voor jou?'

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Informatiebeveiliging & Privacy - by Design

ArchiMate voor kennismodellen van NORA en haar dochters. Marc Lankhorst 16 oktober 2013

De AVG en de gevolgen voor de uitvoeringspraktijk

Versie januari Voor de digitale economie

Ontwikkelingen binnen Privacy Tony de Bos EMEIA Privacy leader EY

Auteurs: Edwin Adams Tangram

In 10 stappen voorbereid op de AVG

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Ontwikkelingen idin. Round Table Kennisgroep Betalingsverkeer: PSD2 en idin. online identificeren via uw bank. Allard Keuter idin

Toelichting op de Algemene Verordening Gegevensbescherming

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Uitdagingen voor Privacy Compliance

General Data Protection Policy Algemene verordening gegevensbescherming

De gevolgen van de AVG

kenmerk Error! Bookmark not defined. datum pagina 1/6 Commissieplan 2016 Normcommissie

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Virtual Research Environment van concept richting oplossingen

Partnering Trust in online services AVG. Vertrouwen in de keten

- in te stemmen de checklist voorbereiding AVG stavaza 1sep17 als bijlage mee te sturen bij RIB met de beantwoording van de art.40-vragen.

Het Internet der Dingen

REGLEMENT TAKEN EN BEVOEGDHEDEN FUNCTIONARIS GEGEVENSBESCHERMING

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Privacy en Security AVGewogen beleid 29 november 2017

Wat komt aan bod? Inleiding Wat is GDPR? En wat is ISO 27001? Full package om uw bedrijf voor te bereiden op de GDPR.

Privacy en gegevensbescherming in relatie tot geo-informatie. Dr. Colette Cuijpers

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

De nieuwe privacywetgeving:

Privacyreglement Spoor3 BV

2 e webinar herziening ISO 14001

Informatiebeveiliging & ISO/IEC 27001:2013

Algemene Verordening Gegevensbescherming

Wat betekent de nieuwe privacywet voor uw organisatie?!! prof mr. Gerrit-Jan Zwenne

Onderzoek, profileren en

Juridische aspecten van Specialisatie in de Cloud. Silvia van Schaik - bureau Brandeis

FACTSHEET DATALEK. Inleiding

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

Whitepaper AVG Dyckhaven Verzekeringen

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

Privacy by Design bij Enexis

Informatieveiligheid, de praktische aanpak

ISO/IEC in een veranderende IT wereld

JURIDISCH KADER PERSONALISED FOOD EN DATA

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Transcriptie:

het nieuwe groen in complexe ecosystemen beheersbaar maken Euro Certificering by Design datalek datalek Ecosystems onvriendelijk Hoe privacy by design ervoor gaat zorgen dat organisaties en ketenpartners privacyvriendelijk en -compliant worden. Lezing van : Richard Claassens Tijdstip : Woensdag 22 Februari 2017-18.30 uur Inloop - 19.00 uur Lezing - 21.00 uur Borrel Locatie : TFG House, Rontgenlaan 27, Zoetermeer www.ngi-ngn.nl/afdelingen/architectuur/evenementen/het-nieuwe-groen.html KNVI-bijeenkomst

het nieuwe groen in complexe ecosystemen beheersbaar maken Euro Certificering datalek datalek Ecosystems by Design onvriendelijk Auteur : Richard Claassens Datum : 22-02-2017 Variant : KNVI Architectuur Versie : 1 Definitief Richard.Claassens@ygdra.com https://nl.linkedin.com/in/richardclaassens +31(0)626965796 CC BY 4.0 https://creativecommons.org/licenses/by/4.0/deed.nl richard.claassens@ygdra.com 20-12-2016 versie 1.0 2

het nieuwe groen Richard Claassens + ervaring met privacy Architectuuropdracht vanaf 1-10-2002 bij: Werkzaam vanaf 1-1-2006 bij: 2002 2014 2003 Technische Architectuur Polisadministratie Amalia krijgt een Sofinummer opleiding en certificering: 2015 Impact Assessment rapport Blauwdruk programma privacy Belastingdienst eist afscherming van haar (inkomens)gegevens PSA Project Start Architectuur Toestemming Administratie Systeem 2004 Verkenning naar -Enhancing Technologies (PET) opleiding: 2016 PSA Project Start Architectuur Schoning van persoonsgegevens 2005 zoals Oracle Label Security The Anonymization of Clinical Trial Data: Methodology Course by Khaled El Emam opleiding en certificering: Certified Information Professional/Europe (in uitvoering) Security opleiding en certificering: 2017 Verkenning by Design met behulp van Verkenning data masking PSA Project Start Architectuur De-indentificatie van testdata (in uitvoering) 3

in complexe ecosystemen waar gaat het over? Persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (betrokkene) Persoon Direct identificeerbaar Gegevens naam identificatienummer locatiegegevens online identificator... als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd Verwerking Indirect identificeerbaar......... één of meer elementen, kenmerkend voor de: fysieke fysiologische genetische psychische economische culturele sociale... Identiteit 4

in complexe ecosystemen opvattingen 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen datalek Ecosystems datalek onvriendelijk Nu 5

in complexe ecosystemen opvattingen 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Een strategische positionering vooraf is cruciaal 3) Zonder heldere visie op privacy is een strategische positionering zinloos 4) Bij de ontwikkeling van de visie moet het volgende worden meegenomen: Wet- en regelgeving die op de organisatie van toepassing is? Ethische opvatting ten aanzien privacy en privacy dilemma's? Risico s die de organisatie wil en kan accepteren? Ethics Law Risk datalek datalek Ecosystems onvriendelijk Ontwikkel een visie en strategie Nu 6

in complexe ecosystemen opvattingen 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Een strategische positionering vooraf is cruciaal 3) Zonder heldere visie op privacy is een strategische positionering zinloos 4) Bij de ontwikkeling van de visie moet het volgende worden meegenomen: Wet- en regelgeving die op de organisatie van toepassing is? Ethische opvatting ten aanzien privacy en privacy dilemma's? Risico s die de organisatie wil en kan accepteren? 5) Certificering wordt noodzakelijk Euro Certificering Ethics Risk Law datalek datalek Ecosystems onvriendelijk Nu Aantoonbaar in control en privacy-compliant Ontwikkel een visie en strategie 7

in complexe ecosystemen opvattingen 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Een strategische positionering vooraf is cruciaal 3) Zonder heldere visie op privacy is een strategische positionering zinloos 4) Bij de ontwikkeling van de visie moet het volgende worden meegenomen: Wet- en regelgeving die op de organisatie van toepassing is? Ethische opvatting ten aanzien privacy en privacy dilemma's? Risico s die de organisatie wil en kan accepteren? 5) Certificering wordt noodzakelijk 6) Zonder by Design gaat dit niet lukken Euro Certificering Ethics Risk Law by Design datalek datalek Ecosystems onvriendelijk Nu Pak dit op een gestructureerde manier aan Aantoonbaar in control en privacy-compliant Ontwikkel een visie en strategie 8

in complexe ecosystemen opvattingen 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Een strategische positionering vooraf is cruciaal 3) Zonder heldere visie op privacy is een strategische positionering zinloos 4) Bij de ontwikkeling van de visie moet het volgende worden meegenomen: Wet- en regelgeving die op de organisatie van toepassing is? Ethische opvatting ten aanzien privacy en privacy dilemma's? Risico s die de organisatie wil en kan accepteren? 5) Certificering wordt noodzakelijk 6) Zonder by Design gaat dit niet lukken 7) Start nu! Euro Certificering Ethics Risk Law by Design Start! datalek datalek Ecosystems onvriendelijk Nu Pak dit op een gestructureerde manier aan Aantoonbaar in control en privacy-compliant Ontwikkel een visie en strategie 9

in complexe ecosystemen De reden om nu te starten! De Europese Algemene Verordening Gegevensbescherming (AVG) = General Dataprotection Regulation (GDPR) Gepubliceerd op 4 mei 2016 Inwerkingtreding 24 mei 2016 Handhaving op 25 mei 2018 De GDPR vereist: Functionaris gegevensbescherming Alle overheidsinstanties en -organen Organisaties die stelselmatig en op grote schaal personen observeren of op grote schaal bepaalde categorieën persoonsgegevens verwerken Impact Assessment (PIA) -by-design (PbD) en by-default Sancties bij een datalek tot 20 000 000 Euro tot 4% van de wereldwijde jaaromzet van een concern CC BY 4.0 https://creativecommons.org/licenses/by/4.0/deed.nl richard.claassens@ygdra.com 20-12-2016 versie 1.0 10

Definities Impact Assessment: PIA Een proces dat de impact op privacy evalueert -by-design: PbD Institutionalisering van privacy management Integratie van privacy concerns in het ontwerp en de realisatie van systemen -by-default Het hoogste niveau van privacy is de standaardinstelling (by default) Voer een initiële impact assessment uit Verdiep je in wat by design en by default inhoudt Hint: GDPR gebruikt gegevensbescherming in plaats van privacy 11

in complexe ecosystemen Een organisatie met een complex ecosysteem: - Integreert business domeinen, zoals smart grid, gezondheid, transport - Integreert concerns, privacy, security en meer, bijvoorbeeld safety Organisatie + complex ecosysteem Big data IoT Smart Grids Transport Health Security Safety Voorbeelden van dergelijke organisaties: (Smart) cities Ziekenhuizen Luchthavens Zeehavens Winkelcentra Banken Verzekeraars Retailbedrijven Ecosystemen Domeinen Concerns 12

Stakeholders in een complex ecosystem Verplichtingen van de stakeholders moeten bekend zijn Organisatie + complex ecosysteem Inkoopcontract(en) Leverancier Overige Leverancier Integrator Operator Data controller verwerkingsverantwoordelijken Operator Data processor = verwerker Service verzoek Interacteert met Voldoen aan Toepassen Toepassen Wettelijke Vereisten PIA PbD Doel is gespecificeerd PIA PbD Doel is niet gespecificeerd Is geïnformeerd ` Breng stakeholders en hun verplichtingen in beeld Betrokkene Doel Toestemming Vertrouwen Empowerment Application operators die tijdens de operatie persoonsgegevens verzamelen en verwerken Leveranciers naar applicatie operators, twee types: - Integrators - Leveranciers aan de integrators (overige) 13

concerns van stakeholders Stakeholder Vraag zijde Beleidsmaker Legal Compliance niveau Compliance Management niveau System Lifecycle niveau + Compliance Check Breng stakeholders en hun concerns in beeld Operator Data Controller Operator Data Processor Compliance requirements Regels GDPR Compliance Requirements Impact Assessment PIA Compliance Requirements -by-design PbD Aanbod zijde Leverancier Operators requirements Het concern van de beleidsmaker is om overall compliant te zijn De concerns van de operators zijn (1) voldoen aan regels, (2) het juist uitvoeren van een PIA proces vanuit management perspectief, en (3) het juist uitvoeren PbD proces vanuit een systeem lifecycle perspectief. Het concern van de leverancier is het voldoen aan de operators requirements 14

Operators versus leveranciers Leveranciersketen GDPR PIA Product Operator Concerns van de operator Data controller en data processor verplichtingen in gegevensverwerkingsketen PbD Product Product Leveranciers Concerns van een leverancier? Voldoen aan de eisen in markt 15

Concerns van de leverancier Leveranciersketen Sensor Electronics Device Secure modules Smart Device OS Cloud Solution Middle ware GDPR PIA PbD Doel onbekend Kleine operator vs Grote operator Er is een breed spectrum van leveranciers Eindproducten als sensoren, devices, smart devices, cloud oplossingen Componenten als electronica, security modules, operating systems, middleware Het doel om gegevens te verzamelen en te verwerken is niet bij de leverancier bekend, tenzij het een maatsysteem wordt geleverd. GDPR? PIA? PbD? In potentie is er onbalans tussen Grote leveranciers en kleine leveranciers. 16

in gegevensverwerking keten Concerns aan de vraagzijde Keten van data controllers / data processors Breng ketens in beeld Data collecting Data storage Data transformation Data exchange Data analytics GDPR GDPR GDPR GDPR GDPR PIA PIA PIA PIA PIA PbD PbD PbD PbD PbD Ketenverantwoordelijk Een organisatie zal een keten van verantwoordelijkheden moeten beheren, van individuele operator naar zichzelf, als de uiteindelijk verantwoordelijke stakeholder 17

Normen, standaarden en referentiemodellen Principes Ann Cavoukian seven s principles ISO 29100 privacy framework PRIPARE Principles Impact assessment ISO 29134 privacy impact assessment (in ontwikkeling) Data Protection Authority richtlijnen (Verenigd Koninkrijk., Frankrijk, Spanje, ) Domein specifieke richtlijnen (Smart grid, Biometrics, Rfid, Cloud ) Engineering De hele lifecycle PRIPARE methodology handbook Input voor ISO 27550 Engineering (een nieuw ISO work item) Risk management CNIL PIA methodology NISTIR 8062 Risk Management Framework for Federal Information Systems From requirements to privacy controls ISO 29151 personally identifiable information privacy control (in progress) OASIS management reference model Verdiep je in de beschikbare normen standaarden en referentiemodellen Bepaal wat relevant en bruikbaar is voor jouw organisatie De PRIPARE methodologie helpt een organisatie bij de inrichting van een by design practice 18

and security by design Methodology Het PRIPARE Handbook harmoniseert en integreert de bestaande normen, praktijken en onderzoeksvoorstellen ten aanzien privacy-engineering concern D. Verification E. Release concern concern C. Implementation H. Environment & Infrastructure F. Maintenance Decommission G. concern concern B. Design A. Analyses concern Het kan worden vergeleken met een bedelarmband Per schakel kan voor een eigen invulling worden gekozen. PRIPARE is gestructureerd in zeven verschillende fasen die overeenkomen met veel toegepaste en ook klassieke systeemontwikkelfaseringen, waardoor eenvoudig te combineren is met de meest toegepaste systeemontwikkelaanpakken of aan normen zoals ISO 15288 19

and security by design Methodology toelichting PIA Pia proces PIA Fase 1 PIA Fase 2 Principles A. Analyses Requirements B. Design Controls Architecture PETs Enhancing Technologies PbD by Design Lifecyle Proces Integratie van het Impact Assessment proces in het by Design proces 20

and security by design Methodology toelichting Kies voor een standaard principeverzameling Seven principles from Ann Cavoukian 1. Proactive not reactive 2. as default setting 3. -by-design 4. Positive sum 5. Security 6. Transparency 7. User-centric Principles A. Analyses Requirements ISO 29100 privacy framework 1. Consent and choice 2. Purpose 3. Collection limitation 4. Data minimization 5. Use limitation 6. Accuracy and quality 7. Openness/transparency/notice 8. Individual participation and access 9. Accountability 10.Security B. Design Controls Architecture PETs Enhancing Technologies PRIPARE Principles 1. Data quality 2. Data minimisation / proportionality 3. Purpose specification and limitation 4. Purpose specification and limitation for sensitive data 5. Transparency principle / openness principle 6. Right of access 7. Right to object 8. Safeguarding confidentiality and security of processing 9. Compliance with notification requirements 10. Conservation or retention principle 11.Accountability 12.Right to erasure 13. by default / data protection by default 14. by design / Data protection by design Afgeleid uit de GDPR 21

and security by design Methodology toelichting Identificeer privacyregels en privacy management requirements PMRM Management Reference Model and Methodology Service Agreement Usage Validation Certification Enforcement Security Interaction Access Purpose Management of permissions and rules Controlling personal data usage Checking personal data Checking stakeholders credentials Monitor operations and react to exceptions / accountability Safeguard privacy information and operations Information presentation and communication Data subject access to their personal data Principles A. Analyses Requirements B. Design Controls Architecture PETs Enhancing Technologies 22

Design Strategies and security by design Methodology toelichting Jaap Henk Hoepman Design strategies 1 Minimization Select collecting, anonymisation / pseudonyms 2 Hide Encryption of data, mix networks, hide traffic patterns, attribute based credentials, anonymisation / pseudonyms 3 Separate Partitioning 4 Aggregate Aggregation over time, dynamic location granularity, k-anonymity, differential privacy 5 Inform Platform for privacy preferences, Data breach notification 6 Control User centric identity management, end-to-end encryption support control 7 Enforce Access control, Sticky policies and privacy rights management 8 Demonstrate management systems, use of logging and auditing attribute based credentials uitgewerkt in voorbeeld Principles A. Analyses Requirements B. Design Controls Architecture PETs Enhancing Technologies 23

and security by design Methodology toelichting Design strategieën kunnen aanpassingen op requirements tot gevolg hebben Principe = Dataminimalisatie Oorspronkelijke requirement Verzamel geboortedatum B. Design Controls Attribute-based credentials Verzamel geen geboortedatum Voer een toets : > 18 jaar oud Principles A. Analyses Requirements B. Design Controls Architecture PETs Enhancing Technologies 24

and security by design Methodology toelichting Risk analysis (voorbeeld : CNIL risk analysis) 1. Context 2. Controls Maximum Severity Significant Severity Must be Avoided or reduces Absolutely Avoided or reduces 3. Decision 3.Risks Limited Severity Negligible Severity These risks may be taken Must Be reduced Negligible Likelihood Limited Likelihood Significant Likelihood Maximum Likelihood Brute risico Netto risico Principles A. Analyses Requirements B. Design Controls Architecture PETs Enhancing Technologies 25

and security by design Methodology wat te doen Wat te doen? Methodology Bestaande maatregelen in de organisatie Bestaande Normen, standaarden en referentiemodellen 26

and security by design Methodology wat te doen Wat te doen? Voorbeeld: Nederlandse banken zijn verplicht een self-assessment op basis van het NIST Cybersecurity raamwerk uit te voeren Cybersecurity Framework Methodology Bestaande maatregelen in de organisatie Bestaande Normen, standaarden en referentiemodellen 27

and security by design Methodology wat te doen Volg de methode en kies bouwstenen die reeds bij de organisatie in gebruik zijn en vul deze aan met die standaarden en best practices, die het beste bij de organisatie passen. ISO 29100 privacy framework Methodology raamwerk Bestaande maatregelen Binnen de organisatie Bestaande Normen, standaarden en referentiemodellen Methodology bouwen 28

and security by design Methodology wat te doen by Design ISO 29151 personally identifiable information privacy control ISO 29134 privacy impact assessment ISO 29100 privacy framework Methodology raamwerk Bestaande maatregelen Binnen de organisatie Bestaande Normen, standaarden en referentiemodellen Methodology gebouwd 29

Euro Certificering by Design by Design Wat ontbreekt voor ISO 29151 personally identifiable information privacy control ISO 29151 personally identifiable information privacy control ISO 29134 privacy impact assessment ISO 29134 privacy impact assessment ISO 29100 privacy framework ISO 29100 privacy framework Methodology gebouwd Methodology gebouwd 30

Euro Certificering van privacy processen by Design ISO 29151 personally identifiable information privacy control ISO 29134 privacy impact assessment Bestaat nog niet ISO 29100 privacy framework Methodology gebouwd ISO 27550 Engineering Normen.. als basis voor proces certificering 31

Euro Certificering van IT producten of IT gebaseerde services The European Seal By the EuroPriSe Certification Authority Hoe certificeer ik mijn product of service? Als voorbeeld wordt de werkwijze van de European Seal toegelicht Product of service certificering 32

Euro Certificering van IT producten of IT gebaseerde services Legal expert IT product of IT gebaseerde service Erkende experts evalueren Product of service Technical expert Een onpartijdige autoriteit controleert de evaluatie IT Toekenning van de European Seal 2 jaar geldig Voorbeelden: European Seal for Siemens Healthcare GmbH European Seal for Lidl's Central Cash Auditing (ZKP) Product of service certificering 33

Euro Certificering van IT producten of of IT gebaseerde services by Design helpt: om aan de normen van een euro certificering te gaan voldoen efficiënte assessments mogelijk te maken by Design ISO 29151 personally identifiable information privacy control ISO 29134 privacy impact assessment ISO 29100 privacy framework Methodology gebouwd ISO 21879 Engineering Normen. Product of service certificering 34

het nieuwe groen Samenvatting Euro Certificering by Design datalek datalek Ecosystems onvriendelijk Nu Start nu met een gestructureerde invoering van by Design Kies daarbij voor normen, standaarden en referentiemodellen, die bij de organisatie passen, en de ecosystemen waar de organisatie deel van uitmaakt Bepaal welke certificeringen relevant (kunnen) zijn voor de organisatie en de partners en leveranciers in de ecosystemen Zorg voor een administratieve vastlegging waarmee kan worden aangetoond dat de privacy maatregelen op orde zijn, en die tevens de basis vormen om op een efficiënte wijze assessments te kunnen uitvoeren. 35

het nieuwe groen Bronnen: # 1 2 Slide 10 t/m 25 zijn gebaseerd op: Addressing in Smart Cities (First Webinar), georganiseerd door EIP-SCC Citizen Focus https://eu-smartcities.eu/sites/all/files/addressing%20%20in%20smart%20cities%20-%20antonio%20kung%20-%20master.pdf PRIPARE Management in Smart cities and Communities Version: v0.20 Date: 01/9/2016 Confidentiality: Public Auteurs: Antonio Kung Antonio Skarmeta Chris Cooper Antonio Kung 3 https://eu-smartcities.eu/sites/all/files/pripare%20recommendations%20for%20smart%20cities.pdf PRIPARE - and Security-by-Design Methodology Handbook Version: V1.00 Date: 31 December 2015 http://pripareproject.eu/wp-content/uploads/2013/11/pripare-methodology-handbook-final-feb-24-2016.pdf Alberto Crespo García (ATOS) Nicolás Notario McDonnell (ATOS) Carmela Troncoso (Gradiant) Daniel Le Métayer (Inria) Inga Kroener (Trilateral) David Wright (Trilateral) José María del Álamo (UPM) Yod Samuel Martín (UPM) CC BY 4.0 https://creativecommons.org/licenses/by/4.0/deed.nl richard.claassens@ygdra.com 20-12-2016 versie 1.0 36

het nieuwe groen Neem voor vragen en informatie contact op met: Richard Claassens Richard.Claassens@ygdra.com https://nl.linkedin.com/in/richardclaassens +31(0)626965796 CC BY 4.0 https://creativecommons.org/licenses/by/4.0/deed.nl richard.claassens@ygdra.com 20-12-2016 versie 1.0 37

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback