Privacy Compliance in een Cloud Omgeving



Vergelijkbare documenten
Uitdagingen voor Privacy Compliance

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Wet Meldplicht Datalekken. Jeroen Terstegge

Gegevensbescherming & IT

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

Juridische uitdagingen van CC

Cloud computing Helena Verhagen & Gert-Jan Kroese

PRIVACY WET (WBP) EN DE CLOUD. Juridische aspecten van de cloud. Auteur: Wiebe Zijlstra (16 January 2015)

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Cursus privacyrecht Jeroen Naves 7 september 2017

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

Security, Legal and Compliance

Toespraak Paul Frencken voor PON 16 juni 2011 v3 14 juni Goeiemiddag,

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACY EN CLOUD. Knelpunten:

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Internationale Privacy. Leonie H.M. Amende

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Plan

Wettelijke kaders voor de omgang met gegevens

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Cloudsourcing & Forensic Readiness. Over verwachtingen, transparantie en samenwerking. Platform voor Informatiebeveiliging! Uit de serie in the cloud!

Mogen advocaten hun data in de Cloud bewaren?

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Stappenplan naar GDPR compliance

onderzoek en privacy WAT ZEGT DE WET

Juridische valkuilen bij cloud computing

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Meldplicht Datalekken

(Door)ontwikkeling van de applicatie en functionaliteiten

De Cloud: een zegen voor security en privacy of juist een donderwolk? Willem Voogt, Principal Consultant Security Advisory Quint

Cloud adoptie in Europa:

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Beveiligingsbeleid Stichting Kennisnet

To cloud or not to cloud

Stappenplan naar GDPR compliance

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Privacy wetgeving: Wat verandert er in 2018?

Nationale IT Security Monitor Peter Vermeulen Pb7 Research

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens 2015

PRIVACY REGLEMENT ORIONIS WALCHEREN

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Formulier verwerking persoonsgegevens

Borging privacy op P4 data ODA zomersessie 7 juli 2017

EXIN Cloud Computing Foundation

Wet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken. Safe Harbor Ø. Binding Corporate Rules

Privacy en Innovatie in Balans

Data en Applicatie Migratie naar de Cloud

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

gewoondoenreintegratie

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Transcriptie:

Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010

Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau Strategie en beleid Compliance Risk Management Stakeholder Communication CPO / FG Consultancy Interim CPO / FG Services Privacy training Nevenwerkzaamheden Voorzitter Commissie Privacy RCO (VNO-NCW / MKB Nederland) Greep uit het verleden: Corporate Privacy Officer, Philips International Deelnemer Privacy Round Table OESO Voorzitter Privacycommissie DigitalEurope Lid Privacycommissie Internationale Kamer van Koophandel (ICC) Voorzitter Expertgroep Privacy en Nieuwe Technologieën ECP.NL Beleidsmedewerker Registratiekamer

Inleiding Probleemstelling Vormt de privacywetgeving een probleem voor outsourcing van IT diensten naar een cloud omgeving? Voor de goede orde : Wat is Cloud Computing? Type diensten: Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Type Cloud Omgevingen Public cloud Community cloud / Partner cloud Virtual Private cloud Private cloud Hybrid cloud

OESO Privacy Principes Doelbinding Limitering van data collectie Limitering van gebruik van data Data kwaliteit Beveiliging Transparantie Rechten van betrokkenen Verantwoording

OESO Privacy Principes in de Cloud De Cloud lijkt risico s in te houden voor de realisatie van alle Privacy Principes! Risico s m.b.t. service design en delivery Doelbinding à Systeemdwang Limitering datacollectie à Meer gegevens verzameld dan nodig Data kwaliteit à Onduidelijkheid integriteit gegevens Transparantie à Onduidelijkheid wat er precies gebeurt Beveiliging à Onvoldoende beveiliging Risico s m.b.t. service provider Limitering gebruik à Diefstal / Misbruik gegevens Rechten van betrokkenen à Onvoldoende mogelijkheden om rechten uit te oefenen of te effectueren Verantwoording à Onvoldoende mogelijkheden voor aansprakelijkheidsstelling

EU privacyrecht OESO Privacy principes zijn overgenomen in Richtlijn 95/46/EG In Nederland geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP) Naleving is een verplichting van de verantwoordelijke Bewerker is verantwoordelijk voor beveiliging van gegevens NB. De Data Controller is ook verantwoordelijk als de verwerking plaatsvindt bij/door een service provider ( bewerker ) Bewerkerscontract Instructies, toezicht De mogelijkheden voor doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte ( EER ) zijn beperkt Reden: Bescherming van persoonsgegevens is Europees grondrecht Doorgifte is OK als derde-land een adequaat beschermingsniveau garandeert NB. Doorgifte is zowel opslag in het buitenland als toegang vanuit het buitenland EER = EU + Noorwegen, IJsland en Liechtenstein

Compliance risico s (1) Is de privacywetgeving van toepassing? Verwerking persoonsgegevens? Infrastructuurdiensten: verwerking persoonsgegevens moet worden verondersteld SaaS: alleen als persoonsgegevens onderdeel zijn van de service MAAR ALTIJD: verwerking van persoonsgegevens van gebruikers! Welke wetgeving is van toepassing? Welke EU lidstaat? Soms ook andere wetgeving, bijv. VS Bewaartermijnen Ongelimiteerde opslagcapaciteit door schaalbaarheid Risico op onvolledige verwijdering Juistheid / Nauwkeurigheid gegevens In hoeverre is de integriteit van de gegevens gewaarborgd? Resource pooling? Kunnen wijzigingen worden aangebracht in de software?

Compliance risico s (2) Beveiligingsmaatregelen De voorkant : Toegangsbeveiliging Identificatie- / authenticatie methoden Single Sign-on: ID-as-a-Service (bijv. Open ID) Spoofing Verbindingen Betrouwbaarheid verbindingen Betrouwbaarheid betrokken partijen De achterkant Betrouwbaar personeel? Beveiligde omgeving? Resource pooling? Integriteit van de service delivery? Beschikbaarheid gegevens? Wat gebeurt er met de back-ups? Hoe is de support geregeld?

Compliance risico s (3) Informatie aan betrokkenen alle nadere informatie om zorgvuldige gegevensverwerking jegens de betrokkene te waarborgen, maar wat is dat dan? Bijv. Export van bijzondere data naar buitenland? Rechten van betrokkenen Inzagerecht: Alle relevante informatie? Correctierecht: Systeemdwang? Blokkering: Systeemdwang? Toestemming / Opt-out: Systeemdwang? Locatie v.d. verwerkingen Onzichtbaarheid locatie (opslag en support!) Naleving regels internationaal gegevensverkeer NB. Ook andere wetgeving kan invloed hebben op de aanvaardbaarheid vd locatie Bijv. Export Controle wetgeving.

Compliance risico s (4) Bewerkerscontract Bewerkerscontract is wettelijk verplicht Mogelijkheid tot onderhandelingen? Hangt mede af van het type cloud Zo nee, voldoen Terms & Conditions van de service provider aan de wettelijke eisen? Hoe is de beveiliging van de gegevens geregeld? Is subcontracting mogelijk? Zo ja, wat is er geregeld? Hoe is evt. internationaal gegevensverkeer geregeld? Andere aandachtspunten: Kan je instructies geven? Heb je auditrechten? Evt. toegang tot gegevens door derden, incl. de overheid Wordt je geïnformeerd over beveiligingsincidenten en wijzigingen in het recht? Mate van aansprakelijkheid cloud provider? Verzekering voor beveiligingsincidenten? Wat gebeurt er met de gegevens bij einde contract of i.g.v. bankroet cloud provider

Ten slotte Compliance is complex o.a. privacywetgeving, export controle wetgeving Zorgvuldigheid is geboden Weet waar de gegevens blijven Breng de hele keten in kaart In principe geen compliance-gevoelige gegevens verwerken in een publieke Cloud Ga voor een (virtual) private cloud omgeving Denk na over de locatie Let ook op Support services Locatie, beveiliging, overige compliance maatregelen

Discussiepunt Heb je een compliance probleem als de gegevens in de Cloud volledig zijn versleuteld? Is dat een verwerking van persoonsgegevens in de zin van de WBP?

Privacy and Trust in the Digital Society Dank voor uw aandacht Contact Jeroen Terstegge terstegge @ privasense.nl www.privasense.nl

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback