Gegevensbescherming & IT Sil Kingma 2 november 2011 Gustav Mahlerplein 2 1082 MA Amsterdam Postbus 75510 1070 AM Amsterdam The Netherlands
36-38 Cornhill 6th Floor London EC3V 3ND United Kingdom
T +31 20 795 39 53 www.boekel.com
T +44 207 337 25 00 www.boekel.com
1
Agenda Onderwerpen
1. Belang gegevensbescherming 2. Huidige mogelijkheden gegevensbescherming 3. Gegevensbescherming in de Cloud -
Wat is de Cloud
-
Voor en nadelen
-
Aandachtspunten
4. Conclusie 2
Actueel onderwerp
3
DigiNotar Uitspraak
Hierbij deel ik u mede dat bij vonnis van de Rechtbank Haarlem van 20 september 2011 de besloten vennootschap DigiNotar B.V. failliet is verklaard, met aanstelling van ondergetekende tot curator. Het faillissement heeft tot gevolg dat de activiteiten van DigiNotar binnenkort zullen eindigen.
Hoogachtend, Mr. R. Mulder, curator
4
Beveiliging netwerkomgeving 3 manieren
•
Preventieve maatregelen - Technische bescherming
•
Repressieve maatregelen - Strafrechtelijke wettelijk bescherming
•
Positieve (pro-actieve) maatregelen - Contractuele bescherming
5
Ad 2. Wettelijke bescherming De Wet Computercriminaliteit
Strafbaar is : •
Opzettelijk en wederrechtelijk binnendringen in computersystemen (computervredebreuk)
•
Het vernielen van gegevens, verstikkingsaanvallen en andere vormen van cybercrime
6
Ad 3. Contractuele bescherming Onderlinge afspraken
Wat geldt tussen de leverancier en de afnemer van een ICT services is in veel gevallen contractueel bepaalt voor wat betreft: •
De beveiligingsverplichtingen leverancier
•
De consequenties van niet nakoming
7
Cloud Computing A NEW KID IN TOWN
8
Wat is Cloud Computing? Mistig begrip
1.
Geen eenduidige wettelijke definitie
2.
Kent verschillende verschijningsvormen
9
Definities Pogingen
•
”een vorm van computergebruik waarbij schaalbare en flexibele ITfaciliteiten als dienst worden aangeboden aan grote aantallen klanten die internettechnologie gebruiken” (Artikel 29 Werkgroep)
•
“Een model dat het mogelijk maakt om door middel van een computernetwerk gedeelde configureerbare computermiddelen (zoals netwerken, servers, opslag, applicaties, en diensten) op aanvraag beschikbaar te stellen op een snelle, gemakkelijke en alomtegenwoordige manier met minimale beheermoeite of interactie van een service provider” (Wikipedia 2011)
10
Verschijningsvormen 3 vormen
•
Software as a Service ( SaaS ) -
Denk aan diensten als Hotmail, Facebook, Google docs
•
Platform as a Service ( PaaS ) -
•
Amazon AWS, Google Aps
Infrastructure as a Service ( IaaS )
11
Voordelen & nadelen Voordelen
•
Kostenbesparing
•
Eenvoudiger beheer van software en data
•
Schaalbaarheid (mate waarin het systeem is voorbereid op een toename van intensiever of breder gebruik ) en flexibiliteit
12
Voordelen & nadelen Nadelen
•
Afhankelijkheid CSP ( de zogeheten Vendor lock-in)
•
Privacy-problematiek
13
Dus niet doen?
14
Afhankelijkheid inperken Praktische Oplossingen
Door helder te krijgen: •
Welke gegevens zich in de cloud gaan begeven
•
Waar deze gegevens terecht komen
•
Welk recht daar van toepassing is
•
Welke bevoegdheden de lokale overheid heeft
•
Risico op datalekken
15
Afhankelijkheid inperken Juridische Oplossingen
Contractueel vastleggen van de: •
verplichtingen van de CSP
•
alsmede de rechten van de afnemer Cloud dienst
16
Contractueel regelen Onderwerpen
•
Aansprakelijkheid en vrijwaring
•
Kwaliteit en continuïteit
•
Onafhankelijkheid
•
Regionalisatie of lokalisatie
•
Beveiliging van de gegevens
17
Aansprakelijkheid Schade
•
Leveranciersovereenkomsten eenzijdig - Uitsluiting indirecte schade - beperking directe schade - korte verjaringstermijnen
•
Toepasselijk recht en jurisdictie - praktisch probleem bij evaluatie rechten - praktisch probleem bij afdwingbaarheid van rechten 18
Kwaliteit en continuïteit 3 aandacht punten
•
Service Level Agreement (SLA)
•
Schaalbaarheid/Flexibiliteit
•
Faillissement dienstverlener
19
Onafhankelijkheid Van belang
•
Cloud Computing = controleverlies
-
Data is een waardevol bestanddeel van een onderneming
-
Beschikbaarheid van data is essentieel
•
Einde overeenkomst
-
Beschikbaarheid data in herbruikbare vorm
-
Contractuele retransitiemaatregelen zijn essentieel
-
Escrow
20
Beveiligingsniveau Van gegevens
•
Wettelijke plicht om gegevens te beveiligen en het beveiligingsniveau te controleren - Code Tabaksblat - Sarbanes Oxley Act - Wet bescherming perssongegevens
•
Audit
•
Certificatie en kwaliteitsgaranties CSP 21
-
Verwerking van persoonsgegevens Wettelijke verplichtingen
•
EU richtlijn 1995/46/EG
•
Wet bescherming persoonsgegevens
22
Verplichtingen Wbp Opletten
•
Bekendheid met locatie persoonsgegevens regionalisatie/lokalisatie
•
Technische en organisatorische beschermingsmaatregelen (art 13 Wbp)
•
Maximale bewaartermijnen
•
Uitvoering controle- en correctierechten betrokkenen
23
Verwerking van persoonsgegevens Belangrijkste aandachtspunten
•
Begrippen
•
Belang onderscheid
•
Beperking bij doorgifte van persoonsgegevens aan derde landen
•
Beveiligingsplicht
24
Begrippen Wbp
•
Verantwoordelijke bepaalt het doel en de middelen van de verwerking (afnemer cloud diensten)
•
Bewerker (data processor) verwerkt gegevens ten behoeve van de Verantwoordelijke (CSP)
•
Betrokkene De natuurlijke persoon wier gegevens verwerkt worden
25
Belang onderscheid Geldt Wbp?
•
Toewijzing verantwoordelijkheid
•
Bepaling toepasselijk recht
•
Sterke beveiligingsplicht (verplicht contractueel door te schuiven bij uitbesteding aan een bewerker)
26
Doorgifte persoonsgegevens Wbp
•
Doorgifte aan landen buiten de EU; dit is niet toegestaan, tenzij een adequaat beschermingsniveau wordt geboden
Uitzonderingen
•
Lijst Europese Commissie (beperkt aantal landen)
•
“Safe Harbor”gecertificeerde ondernemingen (VS)
•
Binding corporate rules
•
Toestemming betrokkene
•
Noodzakelijk voor de uitvoering van een overeenkomst 27
Beveiligingsplicht Volgens Wbp
•
Verplichting tot vertrouwelijkheid en doelgebonden gebruik
•
Verplichting tot adequaat beveiligen (technisch & organisatorisch)
•
Cloud: hogere risico’s omwille van zakenmodel in principe een zwaardere beveiligingsplicht bij bewerker
28
Conclusie Belangrijk
•
Regel de locatie waar de data wordt vastgelegd
•
Regel de beveiligingsverplichtingen en controle mogelijkheden (compliance verplichtingen)
•
Vermijd voorlopig de opslag van gevoelige gegevens in de Cloud
•
Zorg voor een goed contract!
29
Vragen? Mail:
[email protected] http://nl.linkedin.com/in/silkingma Tel: +31207953310
30
