Ontwikkelingen inzake Privacy-audits, keurmerken, eHerkenning en DigiD-assessments
1 de beroepsorganisatie van IT-auditors
Privacy Audit Proof (NIVRA/NOREA keurmerk)
2 de beroepsorganisatie van IT-auditors
Privacy Audit Proof (NIVRA/NOREA keurmerk)
Kenmerken: • Assurance-rapport als basis voor keurmerk P-A-P • Publicatie gecertificeerde verwerkingen op website Normenkader: • WBP • Achtergrondstudies en verkenningen (A&V-23) • Raamwerk Privacy Audits • ´Contouren voor Compliance´ (weging en beoordeling) 3 de beroepsorganisatie van IT-auditors
Privacy Audit Proof (NIVRA/NOREA keurmerk)
A&V 23 en ‘Contouren voor Compliance’ • = Handreiking bij het Raamwerk Privacy Audit • (14) aandachtsgebieden en 4 risicoklassen • Veel/weinig gegevens + lag/hoge complexiteit vd verwerking • Afwijkingen van de norm wordt onderscheid gemaakt in non-conformiteit, deficiëntie of incident • Score gebaseerd op puntentabel per risicoklasse 4 de beroepsorganisatie van IT-auditors
Privacy Audit Proof (NIVRA/NOREA keurmerk)
Bepalingen Gebruiksreglement Keurmerk: • Publicatie assurance-rapport op website • Heronderzoek binnen 12 maanden • Actief melden van tekortkomingen en relevante wijzigingen m.b.t. stelsel van maatregelen en procedures.
5 de beroepsorganisatie van IT-auditors
Privacy Audit Proof (NIVRA/NOREA keurmerk)
Ontwikkelingen 2013: • NIVRA > NBA (officieel per 1 januari 2013) • 3600 > 3000 (Richtlijn Assurance-opdrachten) • A&V 23 > CBP ‘Richtsnoeren beveiliging van persoonsgegevens’ • Evaluatie/heroverweging gebruiksvoorwaarden keurmerk door Kennisgroep Privacy Audits > bestuur
6 de beroepsorganisatie van IT-auditors
Andere certificaten of keurmerken waarbij NOREA en/of RE´s ´in beeld´ zijn
• Certificeringsschema TTP.nl (vertegenwoordigd in College van Belanghebbenden) • Keurmerk Zeker Online (vertegenwoordigd in werkgroep normatiek) • Keurmerk Betrouwbare afrekensystemen (adviesrol normenkader) • Ondernemersdossier op grond van digitale agenda EL&I (´We worden genoemd…´) 7 de beroepsorganisatie van IT-auditors
Wat is hier aan de hand ?????
• Koenen en Co certificeert eerste IT-audit 04-12-2012 09:28 De auditors van Koenen en Co beoordelen niet alleen de jaarrekening, maar controleren nu ook bedrijfsprocessen en IT-omgevingen. Koenen en Co heeft inmiddels haar eerste IT-audit afgerond. Voor een klant werd de ITomgeving van AFAS beoordeeld en een assurancerapport afgegeven, een zogenaamde Third Party Mededeling. 8 de beroepsorganisatie van IT-auditors
Wat is hier aan de hand ?????
• Koenen en Co certificeert eerste IT-audit 04-12-2012 09:28 • De IT-audit geeft een onafhankelijk oordeel over de ITomgeving van een organisatie. Dit oordeel wordt bekrachtigd in een certificaat dat vervolgens bijdraagt aan de verbetering van de reputatie van een organisatie. Eveneens kan deze certificering tijdens eventuele commerciële trajecten voordeel opleveren 9 de beroepsorganisatie van IT-auditors
eHerkenning en DigiD
10 de beroepsorganisatie van IT-auditors
voor bedrijven + door bedrijven
innovatie flexibiliteit
de beroepsorganisatie van IT-auditors
betrouwbaarheid G2B
G2G
klantgerichtheid B2B
B2C
Wat krijgt de dienstverlener? Het bedrijf: KvK-nummer + Vestigingsnummer De persoon: Nummer Een bevestiging: Persoon is bevoegd namens bedrijf + juiste betrouwbaarheidsniveau
Verschillende betrouwbaarheidsniveaus in één stelsel User name / password
13
The STORK interoperable solution for electronic identity (eID)
• In Europees verband wordt via het STORK-project aan interoperabiliteit tussen vier niveaus van authenticatie gewerkt • Secure idenTity acrOss boRders linKed 2.0 will contribute to the realization of a single European electronic identification and authentication area. It does so by building on the results of STORK, establishing interoperability of different approaches at national and EU level, eID for persons, eID for legal entities and the facility to mandate.
14 de beroepsorganisatie van IT-auditors
NIEUWS over eHerkenning
Doorontwikkeling (2012-2013)
Inhoudelijke uitbreidingen • Machine to machine • Ketenmachtigingen • eHandtekeningen • Attributen • Beroepsregisters
de beroepsorganisatie van IT-auditors
Auditaanpak (i/o)
• (stelsel)Audit • Pentesten Steeds de 2 niveaus : • partij zelf en het stelsel
16 de beroepsorganisatie van IT-auditors
Wat is het?
• Gemeenschappelijk authenticatiesysteem van en voor de overheid • Eigen inlogcode voor de hele overheid • Inlogcode bestaat uit een gebruikersnaam en een wachtwoord, eventueel aangevuld met een sms-code • > 500 aangesloten organisaties • > 600 DigiD aansluitingen • > 8 miljoen gebruikers (burgers)
17 de beroepsorganisatie van IT-auditors
Wat kunnen we ermee?
• • • • • • • • •
Inzage WOZ taxatie gegevens Belastingaangifte Afspraak maken bij bijv. ziekenhuis Uitreksels aanvragen bij gemeente Bezwaarschrift indienen bij gemeente Studiefinanciering aanvragen Vergunningen aanvragen Online aangifte doen bij de politie Etc. 18
de beroepsorganisatie van IT-auditors
Lektober
• Webwereld.nl en GeenStijl.nl melden beveiligingslekken • Websites van 50 gemeenten en gemeentelijke diensten stonden volledig open • Meerdere providers betrokken • DigiD aansluiting betreffende gemeenten door Logius ontkoppeld • Na herstelacties door betreffende gemeenten zijn binnen enkele weken weken de DigiD aansluitingen weer hersteld
19 de beroepsorganisatie van IT-auditors
maatregelen
Minister Donner in oktober 2011: • Brief betreffende Lekken in een aantal gemeentelijke websites • alle organisaties waarvan blijkt dat de ICT gecompromitteerd is per direct afkoppelen van DigiD (11 oktober 2011); • weer aansluiten nadat hun ICT beveiliging (voor zover die DigiD kan raken) weer op orde is; • Alle DigiD gebruikende organisaties uiterlijk voor het einde van het eerste kwartaal van 2012 een ICT beveiligingsassessment. 20 de beroepsorganisatie van IT-auditors
maatregelen
Minister Spies op 2 februari 2012: • Brief betreffende ICT-beveiligingsassessments DigiD gebruikende organisaties • Onder verantwoordelijkheid van RE’s • Gefaseerde aanpak, DigiD grootgebruikers in 2012, alle DigiD gebruikende organisaties in 2013.
21 de beroepsorganisatie van IT-auditors
beveiligings-assessments
Afspraken tussen Logius en NOREA (november 2012): • Norm = ICT-beveiligingsassessment DigiD, gebaseerd op een selectie van NCSC-beveiligingsrichtlijnen • Opdracht overeenkomstig Assurance-Richtlijn 3000 • Oordeel per beveiligingsrichtlijn (voldoet/voldoet niet) • Dus, geen ‘overall-oordeel’ over de beveiliging van de betreffende DigiD-aansluiting • Rapport ten behoeve van de betreffende organisatie + Logius
22 de beroepsorganisatie van IT-auditors
Beveiligings-assessments
Beschikbaar voor RE’s (ASAP via NOREA-website): • Modelrapport (Word-template), ook bruikbaar/geschikt in het geval gebruik wordt gemaakt van een service-organisatie • Handreiking DIGID ICT-beveiligingsassessments voor RE’s met suggesties en aanbevelingen, bedoeld om bij te dragen aan éénduidige en consistente interpretatie van de norm(en) • Bijlage: tabel met beveiligingsrichtlijnen, type/scope maatregelen (Governance, Infrastructuur of Applicatie) en handreiking voor de auditor. 23 de beroepsorganisatie van IT-auditors