Platform Informatiebeveiliging, 13 april 2005
NIVRA-NOREA-aanpak • privacy-audit • privacy-certificering
Adri de Bruijn voorzitter NOREA
Reden
Het aantoonbaar voldoen aan de wet
Voorkomen imago schade
Inzicht in beveiliging voor derden
Inzicht in beveiliging voor medewerkers
Naamsbekendheid/reputatie verbeteren
Voorkomen schadeclaims
Voorkomen rechtzaken
Nieuwe klanten winnen
Klanten binden
Voorkomen van boetes
Nr
1
2
3
4
5
6
7
8
9
10
39
39
42
49
49
53
61
64
70
85
%
Waarom een privacy-certificaat?
Minder snel onderzoek door CBP reden om te doen: 24 %
Signalen vanuit stakeholders - eisen : nee: 79% - verwachting : nee: 70%
Waarom een privacy-certificaat?
interventie
verantwoordelijke
feitenonderzoek
handhaving
Wet bescherming persoonsgegevens
wetgever
onderzoek
Raamwerk + handreiking
certificering
Privacy-auditor
Audit-organisaties
Accreditatie-instellingen
Samenhang
Privacy-audit
Raamwerk PrivacyAudit
certificering
Privacy-auditor
Audit-organisaties
Accreditatie-instellingen
Handreiking bij Raamwerk
Richtlijn privacy-audit (ontwerp)
Koninklijk NIVRA NOREA
De invulling door Nivra/Norea
Nederlandse Orde van Register EDP-auditors (NOREA)
Koninklijk Nederlands Instituut van Register accountants (NIVRA)
Samenwerking beroepsorganisaties
Accreditatie-instellingen
CI is onderworpen aan tuchtrecht
CI is een gerenommeerde organisatie
CI is onderworpen aan een vorm van kwaliteitstoezicht
CI is gehouden aan gedrags- en beroepsregels
CI is door het CBP erkend
CI is volledig onpartijdig
CI is volledig onafhankelijk
CI heeft geheimhoudingsverplichting
Eisen aan accreditatie-instelling
30,3
51,5
36,4
45,5
69,7
66,7
66,7
78,8
Groot (%)
42,4
24,2
51,5
48,5
27,3
24,2
27,3
18,2
Normaal (%)
Belang
24,2
21,2
12,1
3,0
3,0
6,1
3,0
0,0
Niet echt (%)
3,1
3,1
0,0
3,0
0,0
3,0
3,0
3,0
Niet (%)
Eisen accreditatie-instelling
Privacy-audit
Raamwerk PrivacyAudit
certificering
Privacy-auditor
Audit-organisaties
Accreditatie-instellingen
Handreiking bij Raamwerk
Richtlijn privacy-audit (ontwerp)
Koninklijk NIVRA NOREA
De invulling door Nivra/Norea
• Richtlijn voor de RA’s en RE’s die deze opdrachten uitvoeren • Gebaseerd op internationale standaarden • Aanvullend op de reeds geldende beroepsregels (onafhankelijkheid, deskundigheid, tuchtrecht, etc.)
Richtlijn Privacy-audit
– wat als FG opdrachtgever is
• Opdrachtaanvaarding
– conform de normale regels
• Deskundigheid
- per melding
• Doelstelling & afbakening opdracht
Richtlijn privacy-audit
– mededeling – prospectief element
• Rapportage
– mate van zekerheid
• Opzet & uitvoering werkzaamheden
–Opzet, bestaan en werking
• Beoordeling
Richtlijn privacy-audit
Profit (11)
Non profit (22)
Profit / Non-profit organisatie
18,2
0,0
Opzet (%)
45,5
22,7
Opzet Bestaan (%)
36,4
77,3
Opzet Bestaan Werkin g (%)
Reikwijdte
0,0
0,0
Anders (%)
Opzet, bestaan, werking
Anders.
Het certificaat wordt eenmalig afgegeven en is onbeperkt geldig.
Het certificaat is drie jaar geldig. Ieder jaar moet een herbeoordeling plaatsvinden om het certificaat te mogen behouden en na drie jaar moet een hercertificering plaatsvinden.
Het certificaat is twee jaar geldig. Na een jaar moet een tussentijdse herbeoordeling plaatsvinden om het certificaat te mogen behouden en iedere twee jaar moet een hercertificering plaatsvinden.
Het certificaat is een jaar geldig. Daarna moet opnieuw een privacy-audit plaatsvinden (hercertificering).
Verwachte geldigheidsduur Privacycertificaat
9,1
6,1
63,6
18,2
3,0
%
Geldigheidsduur certificaat
Niet bekend
Anders
> 100.000
75.000 - 100.000
50.000 - 75.000
25.000 - 50.000
10.000 - 25.000
< 10.000
Verschil kostenindicatie profit versus non-profit (in Euros)
Nonprofit (%) 52,4 19 4,8 0 0 0 0 23,8
Profit (%) 81,8 9,1 0 9,1 0 0 0 0
17,6
0
0
0
0
0
5,9
76,5
Nee (54%)
8,4
0
0
0
8,3
8,3
25
50
Ja, intern (36%)
33,4
0
0
0
0
0
33,3
33,3
Ja, extern (10%)
Eerder onderzoek overwogen?
En dat mag kosten…
Privacy-audit
Raamwerk PrivacyAudit
certificering
Privacy-auditor
Audit-organisaties
Accreditatie-instellingen
Handreiking bij Raamwerk
Richtlijn privacy-audit (ontwerp)
Koninklijk NIVRA NOREA
De invulling door Nivra/Norea
• CBP in samenwerking met NIVRA/NOREA • Handreiking voor auditors/interne evaluaties • Verdieping Raamwerk Privacy-audit • Op basis diverse pilots
Contouren voor Compliance – Handreiking Privacy-audit (concept)
Handreiking Privacy-audit
non – conformiteiten deficienties incidenten
• Weging op basis risico-klassen A&V 23 • Professioneel oordeel auditor
– – –
• Onderverdeling naar
Handreiking Privacy audit
Non-conformiteit een structurele (stelselmatige), materiële tekortkoming ten opzichte van de van toepassing zijnde wet- en regelgeving c.q. de daarvan afgeleide gedragscodes waardoor de bescherming van de persoonsgegevens van een of meer betrokkene(n) in ernstige mate is of kan worden geschaad. Deficiëntie een structurele (stelselmatige), niet-materiële tekortkoming ten opzichte van de van toepassing zijnde wet- en regelgeving c.q. de daarvan afgeleide gedragscodes waardoor de bescherming van persoonsgegevens van een of meer betrokkene(n) niet in ernstige mate is of kan worden geschaad. Incident een incidentele, niet-materiële tekortkoming ten opzichte van de van toepassing zijnde wet- en regelgeving c.q. de daarvan afgeleide gedragscode waardoor de bescherming van persoonsgegevens van een of meer betrokkene(n) niet in ernstige mate is of kan worden geschaad.
Definities
I
2
0
1
4
II
DeficiÎ ntie
8
III
1
0
Punten per risicoklasse
1
I
Incident
2
II
3
III
Schema punten
De verantwoordelijke heeft geen goedgekeurd lang termijn beveiligingsbeleid, dan wel in dit beleid is geen expliciete aandacht voor de bescherming van persoonsgegevens. De verantwoordelijke vertaalt het beveiligingsbeleid niet regelmatig in geactualiseerde beveiligingsplannen. De implementatie van het stelsel van procedures en maatregelen door de verantwoordelijke spoort niet met het beveiligingsplan. Door de verantwoordelijke is in onvoldoende mate de afweging gemaakt tussen het nemen van technische (Privacy-Enhancing Technologies) en organisatorische maatregelen. Er is niet voorzien in een duidelijke functiescheiding tussen de uitvoering van taken en de controle daarop. De werknemers zijn zich niet bewust van hun taak beveiligingsincidenten aan de verantwoordelijke te melden. Van nieuwe werknemers wordt onvoldoende vastgesteld of zij van onbesproken gedrag zijn.
Voorbeeld V7: non conformiteiten
Deficiënties en Incidenten Het beleid zoals dat door de verantwoordelijke is vastgesteld bevat onjuistheden en tekortkomingen die in onvoldoende mate rekening houden met de vastgestelde risicoklasse; Het beveiligingsbeleid houdt in onvoldoende mate rekening met het feit dat een deel van de verwerking van persoonsgegevens zich buiten het ICT-domein bevindt;
Voorbeeld V7: deficientie/incident
• • • •
• Bewerkers • Kleinere organisaties
Afronden Richtlijn Formuleren oordeel/mededeling Ontwikkeling logo Onderzoek naar oordelen voor
Vervolgstappen
Privacy-audit
Raamwerk PrivacyAudit
certificering
Privacy-auditor
Audit-organisaties
Accreditatie-instellingen
Handreiking bij Raamwerk
Richtlijn privacy-audit (ontwerp)
Koninklijk NIVRA NOREA
De invulling door Nivra/Norea
