SlideShare uma empresa Scribd logo

Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief

Transferir como PPTX, PDF
Richard Claassens CIPPE
Richard Claassens CIPPE

Slides die ik heb behandeld bij KNVI-bijeenkomst SIG IT-audit Vrijdag 29 september 2017.

Direito
1 de 36
Privacy | het nieuwe groen Privacy | in complexe ecosystemen beheersbaar maken Lezing van : Richard Claassens KNVI-bijeenkomst Tijdstip : vrijdag 29 september 2017 Afdeling: IT-Auditing - 14.30 uur Ontvangst - 15.00 uur Lezing - 17.00 uur Borrel Locatie : Hogeschool Utrecht, Koningsbergerstraat 9 in Utrecht https://www.hu.nl/overdehu/evenementen/De-Master-spreekt-over-de-privacywet-2018 Privacy onvriendelijk Ecosystems Privacy by Design Euro Certificering datalekdatalek Hoe privacy by design ervoor gaat zorgen dat organisaties en ketenpartners privacyvriendelijk en -compliant worden. De Master spreekt... privacywet 2018 (AVG)
Privacy | het nieuwe groen Privacy | in complexe ecosystemen beheersbaar maken Auteur : Richard Claassens Datum : 29-07-2017 Variant : De Master spreekt... privacywet 2018 (AVG) Versie : 1.0 | Definitief 2 Privacy onvriendelijk Ecosystems Privacy by Design Euro Certificering datalekdatalek | Richard.Claassens@ygdra.com | https://nl.linkedin.com/in/richardclaassens | +31(0)626965796 CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0
Architectuuropdracht vanaf 1-10-2002 bij: Richard Claassens + Privacy opleiding, certificeringen en ervaring 2002 2003 2004 2005 Technische Architectuur Polisadministratie Verkenning naar Privacy-Enhancing Technologies (PET) →zoals Oracle Label Security →Amalia krijgt een Sofinummer →Belastingdienst eist afscherming van haar (inkomens)gegevens Werkzaam vanaf 1-1-2006 bij: 2015 2017 2014 2016 Blauwdruk programma privacy Privacy Impact Assessment rapport PSAProject Start Architectuur | Schoning van persoonsgegevens PSAProject Start Architectuur | De-indentificatie van testdata Verkenning data masking PSAProject Start Architectuur | Toestemming Administratie Systeem Verkenning Privacy by Design met behulp van The Anonymization of Clinical Trial Data: Methodology Course by Khaled El Emam Privacy opleiding en certificering: Privacy opleiding: Privacy Privacy certificering: 3 Security certificeringen: `` Certified Information Privacy Professional/Europe
5 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen Nu→ Privacy onvriendelijk Ecosystems datalek datalek Privacy in complexe ecosystemen | opvattingen
6Nu→ Euro Certificering Privacy onvriendelijk Ecosystems datalek datalek Aantoonbaar in control en privacy-compliant Privacy in complexe ecosystemen | opvattingen 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Certificering wordt noodzakelijk
1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Certificering wordt noodzakelijk 3) Zonder Privacy by Design gaat dit niet lukken 7Nu→ Euro Certificering Aantoonbaar in control en privacy-compliant Privacy onvriendelijk Ecosystems datalek datalek Privacy by Design Privacy in complexe ecosystemen | opvattingen Pak dit op een gestructureerde manier aan
8 Euro Certificering Privacy onvriendelijk Ecosystems datalek datalek Privacy by Design Start! Nu→ Privacy in complexe ecosystemen | opvattingen 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Certificering wordt noodzakelijk 3) Zonder Privacy by Design gaat dit niet lukken 4) Start nu! Aantoonbaar in control en privacy-compliant Pak dit op een gestructureerde manier aan
De GDPR vereist onder anderen: • Functionaris gegevensbescherming • Privacy Impact Assessment (PIA) • Privacy-by-design (PbD) en by-default Sancties bij een datalek • tot 20 000 000 Euro • tot 4% van de wereldwijde jaaromzet van een concern De reden om nu te starten! | De Europese Algemene Verordening Gegevensbescherming (AVG) = General Dataprotection Regulation (GDPR) Gepubliceerd op 4 mei 2016 | Inwerkingtreding 24 mei 2016 | Handhaving op 25 mei 2018 Privacy in complexe ecosystemen 9CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0
• Privacy Impact Assessment: PIA • Een proces dat de impact op privacy evalueert • Privacy-by-design: PbD • Institutionalisering van privacy management • Integratie van privacy concerns in het ontwerp en de realisatie van systemen • Privacy-by-default • Het hoogste niveau van privacy is de standaardinstelling (by default) Definities Hint: GDPR gebruikt “gegevensbescherming” in plaats van “privacy” 10 Verdiep je in wat Privacy by design en Privacy by default inhoudt Voer een initiële Privacy impact assessment uit
Een organisatie met een complex ecosysteem: - Integreert business domeinen, zoals smart grid, gezondheid, transport - Integreert concerns, privacy, security en meer, bijvoorbeeld safety Big data Smart Grids Health Transport Security Safety Privacy Ecosystemen Domeinen Concerns Voorbeelden van dergelijke organisaties: • (Smart) cities • Ziekenhuizen • Luchthavens • Zeehavens • Winkelcentra • Banken • Verzekeraars • Retailbedrijven • Treinstations Privacy in complexe ecosystemen IoT Organisatie + complex ecosysteem 11
Privacy in complexe ecosystemen 12 Nederlandse Spoorwegen Exterion Media Quividi Heeft een exclusieve samenwerking met.. Exploiteert, ontwikkelt en beheert treinstations Plaatst reclamezuilen die zijn uitgerust met camera’s die analyseren wie een reclamezuil bekijkt Levert camera’s en de bijbehorende software om te kunnen bijhouden hoeveel mensen naar de boodschap op een bord hebben gekeken en hoe lang. Op grond van de kenmerken van de gezichten kan het systeem statistieken aanleggen waarin ook het geslacht en de leeftijd van de kijkers een rol spelen. Ook het ras kan worden vastgesteld. Assemblagebedrijf Assembleert camerasystemen, inclusief de software Leverancier Levert componenten voor de dataopslag, inclusief software voor dataversleuteling Neemt camera’s en software af van.. Laat camerasystemen produceren bij.. Neemt componenten af van.. Neemt componenten af van.. Voorbeeld: camera’s die zijn verwerkt in reclamezuilen op treinstations.
Contract(en) Stakeholders in een complex ecosystem • Application operators die tijdens de operatie persoonsgegevens verzamelen en verwerken • Leveranciers naar applicatie operators, twee types: - Integrators - Leveranciers aan de integrators (overige) Operator Data processor = verwerker Leverancier Integrator Leverancier Overige Wettelijke Vereisten Voldoen aan PIA | PbD Doel is niet gespecificeerd Organisatie + complex ecosysteem Operator Data controller ≈verwerkingsverantwoordelijken Betrokkene • Doel • Toestemming • Vertrouwen • Empowerment Service verzoek ` Is geïnformeerd Interacteert met Toe- passen PIA | PbD Doel is gespecificeerd Verplichtingen van de stakeholders moeten bekend zijn Toe- passen 13 Breng stakeholders en hun verplichtingen in beeld
System Lifecycle niveau Management niveau Legal Compliance niveau Compliance + Compliance Check Compliance requirements Regels Compliance Requirements Privacy Impact Assessment Compliance Requirements Privacy-by-Design Stakeholder PbDPIAGDPR Beleids- maker Vraag zijde Aanbod zijde Operators requirements Leverancier Operator Data Processor Operator Data Controller Privacy concerns van stakeholders • Het concern van de beleidsmaker is om overall compliant te zijn • De concerns van de operators zijn (1) voldoen aan regels, (2) het juist uitvoeren van een PIA proces vanuit management perspectief, en (3) het juist uitvoeren PbD proces vanuit een systeem lifecycle perspectief. • Het concern van de leverancier is het voldoen aan de operators requirements 14 Breng stakeholders en hun concerns in beeld
Product Operator Product Leveranciers Product GDPR PIA PbD Operators versus leveranciers Concerns van de operator –Data controller en data processor verplichtingen in gegevensverwerkingsketen Concerns van een leverancier? –Voldoen aan de eisen in markt Leveranciersketen 15
Concerns van de leverancier GDPR PIA PbD GDPR ? PIA ? PbD ? Doel onbekend Kleine operator vs Grote operator DeviceSensor Smart Device Cloud Solution Electronics Secure modules OS Middle ware • Er is een breed spectrum van leveranciers • Eindproducten als sensoren, devices, smart devices, cloud oplossingen • Componenten als electronica, security modules, operating systems, middleware • Het doel om gegevens te verzamelen en te verwerken is niet bij de leverancier bekend, tenzij het een maatsysteem wordt geleverd. • In potentie is er onbalans tussen Grote leveranciers en kleine leveranciers. Leveranciersketen 16
Data collecting Data storage Data transformation Data exchange Data analytics GDPR PIA PbD GDPR PIA PbD GDPR PIA PbD GDPR PIA PbD GDPR PIA PbD Privacy in gegevensverwerking keten Concerns aan de vraagzijde Keten van data controllers / data processors Ketenverantwoordelijk Een organisatie zal een keten van verantwoordelijkheden moeten beheren, van individuele operator naar zichzelf, als de uiteindelijk verantwoordelijke stakeholder 17 Breng ketens in beeld
• Principes • Ann Cavoukian seven’s principles • ISO 29100 privacy framework • PRIPARE Principles • Impact assessment • ISO 29134 privacy impact assessment (in ontwikkeling) • Data Protection Authority richtlijnen (Verenigd Koninkrijk., Frankrijk, Spanje, …) • Domein specifieke richtlijnen (Smart grid, Biometrics, Rfid, Cloud…) • Engineering • De hele lifecycle • PRIPARE methodology handbook • ISO 27550 Privacy Engineering (een nieuw ISO work item) • Risk management • CNIL PIA methodology • NISTIR 8062 Privacy Risk Management Framework for Federal Information Systems • Van requirements naar privacy maatregelen • ISO 29151 personally identifiable information privacy control (in progress) • OASIS Privacy management reference model Normen, standaarden en referentiemodellen Input voor Verdiep je in de beschikbare normen standaarden en referentiemodellen Bepaal wat relevant en bruikbaar is voor jouw organisatie De PRIPARE methodologie helpt een organisatie bij de inrichting van een Privacy by design practice 18
| Privacy and security by design Methodology Decommission B. Design E. Release D. Verification F. Maintenance C. Implementation H. Environment & Infrastructure G. A. Analyses Privacy concern Privacy concern Privacy concern Privacy concern Privacy concern Privacy concern 19 Het PRIPARE Handbook harmoniseert en integreert de bestaande normen, praktijken en onderzoeksvoorstellen ten aanzien privacy-engineering PRIPARE is gestructureerd in zeven verschillende fasen die overeenkomen met veel toegepaste en ook klassieke systeemontwikkelfaseringen, waardoor eenvoudig te combineren is met de meest toegepaste systeemontwikkelaanpakken of aan normen zoals ISO 15288 Het kan worden vergeleken met een bedelarmband Per schakel kan voor een eigen invulling worden gekozen. ≈
PIA Fase 1 PIA Fase 2 Privacy Principles Privacy Requirements Architecture PETs Privacy Enhancing Technologies Pia proces Privacy by Design Lifecyle Proces Integratie van het Privacy Impact Assessment proces in het Privacy by Design proces | Privacy and security by design Methodology | toelichting B. Design Privacy Controls A. Analyses 20 PIA PbD = juridische vereisten die in technische specificaties zijn omgezet
Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Seven principles from Ann Cavoukian 1. Proactive not reactive 2. Privacy as default setting 3. Privacy-by-design 4. Positive sum 5. Security 6. Transparency 7. User-centric ISO 29100 – privacy framework 1. Consent and choice 2. Purpose 3. Collection limitation 4. Data minimization 5. Use limitation 6. Accuracy and quality 7. Openness/transparency/notice 8. Individual participation and access 9. Accountability 10.Security PRIPARE Principles 1. Data quality 2. Data minimisation / proportionality 3. Purpose specification and limitation 4. Purpose specification and limitation for sensitive data 5. Transparency principle / openness principle 6. Right of access 7. Right to object 8. Safeguarding confidentiality and security of processing 9. Compliance with notification requirements 10. Conservation or retention principle 11.Accountability 12.Right to erasure 13.Privacy by default / data protection by default 14.Privacy by design / Data protection by design | Privacy and security by design Methodology | toelichting Kies voor een standaard principeverzameling →Afgeleid uit de GDPRPETs Privacy Enhancing Technologies 21 Architecture
Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Identificeer privacyregels en privacy management requirements PurposeService Management of permissions and rulesAgreement Controlling personal data usageUsage Checking personal dataValidation Checking stakeholders credentialsCertification Monitor operations and react to exceptions / accountabilityEnforcement Safeguard privacy information and operationsSecurity Information presentation and communicationInteraction Data subject access to their personal dataAccess Privacy Management Reference Model and Methodology PMRM | Privacy and security by design Methodology | toelichting PETs Privacy Enhancing Technologies 22 Architecture
Design Strategies 1 Minimization Select collecting, anonymisation / pseudonyms 2 Hide Encryption of data, mix networks, hide traffic patterns, attribute based credentials , anonymisation / pseudonyms 3 Separate Partitioning 4 Aggregate Aggregation over time, dynamic location granularity, k-anonymity, differential privacy 5 Inform Platform for privacy preferences, Data breach notification 6 Control User centric identity management, end-to-end encryption support control 7 Enforce Access control, Sticky policies and privacy rights management 8 Demonstrate Privacy management systems, use of logging and auditing Jaap Henk Hoepman Design strategies Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls | Privacy and security by design Methodology | toelichting Architecture PETs Privacy Enhancing Technologies 23 attribute based credentials | uitgewerkt in voorbeeld →
Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Design strategieën kunnen aanpassingen op requirements tot gevolg hebben | Privacy and security by design Methodology | toelichting Attribute-based credentials Principe = Dataminimalisatie →Verzamel geen geboortedatum →Voer een toets : > 18 jaar oud →Verzamel geboortedatum B. Design Privacy Controls Oorspronkelijke requirement Architecture PETs Privacy Enhancing Technologies 24
| Privacy and security by design Methodology | toelichting Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Risk analysis (voorbeeld : CNIL risk analysis) 2. Controls 3.Risks3. Decision 1. Context Negligible Severity Must be Avoided or reduces Absolutely Avoided or reduces These risks may be taken Must Be reduced Maximum Severity Significant Severity Limited Severity Negligible Likelihood Limited Likelihood Significant Likelihood Maximum Likelihood Architecture PETs Privacy Enhancing Technologies Brute risico Netto risico 25
Bestaande maatregelen in de organisatie Bestaande Normen, standaarden en referentiemodellen Wat te doen? | Privacy and security by design Methodology | wat te doen Methodology 26
Bestaande maatregelen in de organisatie Bestaande Normen, standaarden en referentiemodellen Wat te doen? | Privacy and security by design Methodology | wat te doen Methodology Cybersecurity Framework Voorbeeld Nederlands Banken 27
ISO 29100 privacy framework Bestaande maatregelen Binnen de organisatie Methodology | raamwerk Methodology | bouwen Volg de methode en kies bouwstenen die reeds bij de organisatie in gebruik zijn en vul deze aan met die standaarden en best practices, die het beste bij de organisatie passen. Bestaande Normen, standaarden en referentiemodellen | Privacy and security by design Methodology | wat te doen 28
ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Methodology | gebouwdBestaande maatregelen Binnen de organisatie Methodology | raamwerk Bestaande Normen, standaarden en referentiemodellen | Privacy and security by design Methodology | wat te doen 29
Wat ontbreekt voor 30 ≠ Euro Certificering ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Methodology | gebouwd Methodology | gebouwd
31 Euro Certificering ISO 27550 Privacy Engineering ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Normen .. als basis voor proces certificeringMethodology | gebouwd ≈ van privacy processen Bestaat nog niet
Product of service certificering Euro Certificering Hoe certificeer ik mijn product of service? The European Privacy Seal By the EuroPriSe Certification Authority Als voorbeeld wordt de werkwijze van de European Privacy Seal toegelicht van IT producten of IT gebaseerde services 32
IT Product of service certificering Euro Certificering van IT producten of IT gebaseerde services Erkende experts evalueren Product of service Een onpartijdige autoriteit controleert de evaluatie Toekenning van de European Privacy Seal 2 jaar geldig IT product of IT gebaseerde service controller service of processor services Legal expert Technical expert Voorbeelden: • European Privacy Seal for Siemens Healthcare GmbH) • European Privacy Seal for Lidl's Central Cash Auditing (ZKP) 33
Product of service certificering ISO 21879 Privacy Engineering ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Normen. Euro Certificering van IT producten of of IT gebaseerde services Privacy by Design helpt: • om aan de normen van een euro certificering te gaan voldoen • efficiënte assessments mogelijk te maken Methodology | gebouwd 34
Privacy | het nieuwe groen Samenvatting Privacy onvriendelijk Ecosystems Privacy by Design Euro Certificering datalekdatalek • Start nu met een gestructureerde invoering van Privacy by Design • Kies daarbij voor normen, standaarden en referentiemodellen, die bij de organisatie passen, en de ecosystemen waar de organisatie deel van uitmaakt • Bepaal welke certificeringen relevant (kunnen) zijn voor de organisatie en de partners en leveranciers in de ecosystemen • Zorg voor een administratieve vastlegging waarmee kan worden aangetoond dat de privacy maatregelen op orde zijn, en die tevens de basis vormen om op een efficiënte wijze assessments te kunnen uitvoeren. Nu→ 35
Privacy | het nieuwe groen Neem voor vragen en informatie contact op met: | Richard Claassens | Richard.Claassens@ygdra.com | https://nl.linkedin.com/in/richardclaassens | +31(0)626965796 36CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0
Privacy | het nieuwe groen Bronnen: 37CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0 Addressing Privacy in Smart Cities (First Webinar), georganiseerd door EIP-SCC Citizen Focus Antonio Kung Antonio Skarmeta Chris Cooper Slide 10 t/m 25 zijn gebaseerd op: PRIPARE | Privacy Management in Smart cities and Communities Version: v0.20 Date: 01/9/2016 Confidentiality: Public Antonio Kung https://eu-smartcities.eu/sites/all/files/Addressing%20Privacy%20in%20Smart%20Cities%20-%20Antonio%20Kung%20-%20Master.pdf https://eu-smartcities.eu/sites/all/files/PRIPARE%20recommendations%20for%20Smart%20cities.pdf PRIPARE | Privacy- and Security-by-Design Methodology Handbook Version: V1.00 Date: 31 December 2015 Alberto Crespo García (ATOS) Nicolás Notario McDonnell (ATOS) Carmela Troncoso (Gradiant) Daniel Le Métayer (Inria) Inga Kroener (Trilateral) David Wright (Trilateral) José María del Álamo (UPM) Yod Samuel Martín (UPM)http://pripareproject.eu/wp-content/uploads/2013/11/PRIPARE-Methodology-Handbook-Final-Feb-24-2016.pdf Auteurs: 1 2 3 #

Recomendados

KPN Cloud - whitepaper
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
KPNZorg
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
Sebyde
 
Overzicht workshops sebyde academy
Overzicht workshops sebyde academyOverzicht workshops sebyde academy
Overzicht workshops sebyde academy
Sebyde
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HR
Sebyde
 
Leaflet RI&E Privacy
Leaflet RI&E PrivacyLeaflet RI&E Privacy
Leaflet RI&E Privacy
Sebyde
 
cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]
Ruben Woudsma
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaam
Sebyde
 

Recomendados

KPN Cloud - whitepaper
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
KPNZorg
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
Sebyde
 
Overzicht workshops sebyde academy
Overzicht workshops sebyde academyOverzicht workshops sebyde academy
Overzicht workshops sebyde academy
Sebyde
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HR
Sebyde
 
Leaflet RI&E Privacy
Leaflet RI&E PrivacyLeaflet RI&E Privacy
Leaflet RI&E Privacy
Sebyde
 
cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]cgi-nl_brochure_cybersecurity[1]
cgi-nl_brochure_cybersecurity[1]
Ruben Woudsma
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaam
Sebyde
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
Richard Claassens CIPPE
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
Sebyde
 
Considerati cv ok slideshare 120202
Considerati cv ok slideshare 120202Considerati cv ok slideshare 120202
Considerati cv ok slideshare 120202
Considerati1
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid
Flevum
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
Sebyde
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
GuyVanderSande
 
Presentatie Seclore Overview 2
Presentatie Seclore Overview 2Presentatie Seclore Overview 2
Presentatie Seclore Overview 2
Nováccent
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
Andre Cardinaal
 
ModuleBuilder AVG (GDPR) presentatie (NL)
ModuleBuilder AVG (GDPR) presentatie (NL)ModuleBuilder AVG (GDPR) presentatie (NL)
ModuleBuilder AVG (GDPR) presentatie (NL)
ModuleBuilder bvba
 
Stonefield bedrijfspresentatie
Stonefield bedrijfspresentatieStonefield bedrijfspresentatie
Stonefield bedrijfspresentatie
stonefield
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
AKD
 
Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraal
Kennisnet
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
Bart Van Den Brande
 
Peter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarPeter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminar
AlmereDataCapital
 
Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...
Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...
Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...
Ruud Alaerds
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
Bart Van Den Brande
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
SLBdiensten
 
Cloud en datacenter security (infosecurity 2013)
Cloud en datacenter security (infosecurity 2013)Cloud en datacenter security (infosecurity 2013)
Cloud en datacenter security (infosecurity 2013)
Motiv
 
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
PlatformSecurityManagement
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
 
Future proof ict netwerkevent 17022016
Future proof ict netwerkevent 17022016Future proof ict netwerkevent 17022016
Future proof ict netwerkevent 17022016
RAM Mobile Data
 
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executiveFex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Flevum
 

Mais conteúdo relacionado

Mais procurados

171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid
Flevum
 
Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...
Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...
Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...
Ruud Alaerds
 
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
PlatformSecurityManagement
 

Mais procurados (20)

Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
 
Considerati cv ok slideshare 120202
Considerati cv ok slideshare 120202Considerati cv ok slideshare 120202
Considerati cv ok slideshare 120202
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
Presentatie Seclore Overview 2
Presentatie Seclore Overview 2Presentatie Seclore Overview 2
Presentatie Seclore Overview 2
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
 
ModuleBuilder AVG (GDPR) presentatie (NL)
ModuleBuilder AVG (GDPR) presentatie (NL)ModuleBuilder AVG (GDPR) presentatie (NL)
ModuleBuilder AVG (GDPR) presentatie (NL)
 
Stonefield bedrijfspresentatie
Stonefield bedrijfspresentatieStonefield bedrijfspresentatie
Stonefield bedrijfspresentatie
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
 
Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraal
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
 
Peter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminarPeter Kits (Holland Van Gijzen) @ PIDS seminar
Peter Kits (Holland Van Gijzen) @ PIDS seminar
 
Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...
Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...
Presentatie de waarde van data - presentatie - 21 maart 2013 (the meti sfi...
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
 
Cloud en datacenter security (infosecurity 2013)
Cloud en datacenter security (infosecurity 2013)Cloud en datacenter security (infosecurity 2013)
Cloud en datacenter security (infosecurity 2013)
 
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 

Semelhante a Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief

Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executiveFex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Flevum
 
Handreiking cloud overheden_taskforce_lr
Handreiking cloud overheden_taskforce_lrHandreiking cloud overheden_taskforce_lr
Handreiking cloud overheden_taskforce_lr
KING
 
Internet of Things - Smart Industry bijeenkomst bij Thales Nederland i.s.m. K...
Internet of Things - Smart Industry bijeenkomst bij Thales Nederland i.s.m. K...Internet of Things - Smart Industry bijeenkomst bij Thales Nederland i.s.m. K...
Internet of Things - Smart Industry bijeenkomst bij Thales Nederland i.s.m. K...
Michiel Verheij
 
Meer efficiëntie, besparingen en klantentevredenheid bij Zespri dankzij e-inv...
Meer efficiëntie, besparingen en klantentevredenheid bij Zespri dankzij e-inv...Meer efficiëntie, besparingen en klantentevredenheid bij Zespri dankzij e-inv...
Meer efficiëntie, besparingen en klantentevredenheid bij Zespri dankzij e-inv...
Quadrant Communications
 

Semelhante a Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief (20)

Future proof ict netwerkevent 17022016
Future proof ict netwerkevent 17022016Future proof ict netwerkevent 17022016
Future proof ict netwerkevent 17022016
 
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executiveFex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
 
Connected systems - Oost-Nederland
Connected systems - Oost-NederlandConnected systems - Oost-Nederland
Connected systems - Oost-Nederland
 
Handreiking cloud overheden_taskforce_lr
Handreiking cloud overheden_taskforce_lrHandreiking cloud overheden_taskforce_lr
Handreiking cloud overheden_taskforce_lr
 
Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose
 
Wat gebeurt er in “Data(keten)land”?
Wat gebeurt er in “Data(keten)land”?Wat gebeurt er in “Data(keten)land”?
Wat gebeurt er in “Data(keten)land”?
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
Whitepaper IoT Platformen
Whitepaper IoT PlatformenWhitepaper IoT Platformen
Whitepaper IoT Platformen
 
IoT Update Oktober 2019 | Paul Coppes @ KPN | De do's en don'ts als je start ...
IoT Update Oktober 2019 | Paul Coppes @ KPN | De do's en don'ts als je start ...IoT Update Oktober 2019 | Paul Coppes @ KPN | De do's en don'ts als je start ...
IoT Update Oktober 2019 | Paul Coppes @ KPN | De do's en don'ts als je start ...
 
Klaar voor de cloud – Andres Steijaert - SNRD2016
Klaar voor de cloud – Andres Steijaert - SNRD2016Klaar voor de cloud – Andres Steijaert - SNRD2016
Klaar voor de cloud – Andres Steijaert - SNRD2016
 
Presentatie Tom Bouws
Presentatie Tom BouwsPresentatie Tom Bouws
Presentatie Tom Bouws
 
Internet of Things - Smart Industry bijeenkomst bij Thales Nederland i.s.m. K...
Internet of Things - Smart Industry bijeenkomst bij Thales Nederland i.s.m. K...Internet of Things - Smart Industry bijeenkomst bij Thales Nederland i.s.m. K...
Internet of Things - Smart Industry bijeenkomst bij Thales Nederland i.s.m. K...
 
ICTU at TOPdesk Café 31 01-2019
ICTU at TOPdesk Café 31 01-2019ICTU at TOPdesk Café 31 01-2019
ICTU at TOPdesk Café 31 01-2019
 
Data Minimization
Data MinimizationData Minimization
Data Minimization
 
Meer efficiëntie, besparingen en klantentevredenheid bij Zespri dankzij e-inv...
Meer efficiëntie, besparingen en klantentevredenheid bij Zespri dankzij e-inv...Meer efficiëntie, besparingen en klantentevredenheid bij Zespri dankzij e-inv...
Meer efficiëntie, besparingen en klantentevredenheid bij Zespri dankzij e-inv...
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
 
Privacy en cloud computing: wat moet er in de overeenkomst?
Privacy en cloud computing: wat moet er in de overeenkomst? Privacy en cloud computing: wat moet er in de overeenkomst?
Privacy en cloud computing: wat moet er in de overeenkomst?
 
Mijn datacenter v1.0
Mijn datacenter v1.0Mijn datacenter v1.0
Mijn datacenter v1.0
 
Informatiegestuurde omgevingsveiligheid
Informatiegestuurde omgevingsveiligheidInformatiegestuurde omgevingsveiligheid
Informatiegestuurde omgevingsveiligheid
 
PGGM - The Future Explore
PGGM - The Future ExplorePGGM - The Future Explore
PGGM - The Future Explore
 

Mais de Richard Claassens CIPPE

Mais de Richard Claassens CIPPE (20)

Data Masking | waar in het IT-systeemlandschap? ...
Data Masking | waar in het IT-systeemlandschap? ...Data Masking | waar in het IT-systeemlandschap? ...
Data Masking | waar in het IT-systeemlandschap? ...
 
Taken van de functionaris voor gegevensbescherming
Taken van de functionaris voor gegevensbescherming Taken van de functionaris voor gegevensbescherming
Taken van de functionaris voor gegevensbescherming
 
Positie van de functionaris voor gegevensbescherming (FG)
Positie van de functionaris voor gegevensbescherming (FG)Positie van de functionaris voor gegevensbescherming (FG)
Positie van de functionaris voor gegevensbescherming (FG)
 
Pripare methodology-handbook-final-feb-24-2016
Pripare methodology-handbook-final-feb-24-2016Pripare methodology-handbook-final-feb-24-2016
Pripare methodology-handbook-final-feb-24-2016
 
Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)
 
Establishing SOA and SOA Governance 23032010 Amsterdam
Establishing SOA and SOA Governance 23032010 AmsterdamEstablishing SOA and SOA Governance 23032010 Amsterdam
Establishing SOA and SOA Governance 23032010 Amsterdam
 
Verkenning internet of things
Verkenning internet of thingsVerkenning internet of things
Verkenning internet of things
 
A taxonomy of personal data by origin
A taxonomy of personal data by origin A taxonomy of personal data by origin
A taxonomy of personal data by origin
 
Semantische interoperabiliteit met behulp van een bedrijfsbrede taxonomie
Semantische interoperabiliteit met behulp van een bedrijfsbrede taxonomieSemantische interoperabiliteit met behulp van een bedrijfsbrede taxonomie
Semantische interoperabiliteit met behulp van een bedrijfsbrede taxonomie
 
Heidag Architectuur | presentatie van verkenningen
Heidag Architectuur | presentatie van verkenningenHeidag Architectuur | presentatie van verkenningen
Heidag Architectuur | presentatie van verkenningen
 
Verkenning geo services
Verkenning geo services Verkenning geo services
Verkenning geo services
 
Ontwerpmodel Internet Of Things Diensten
Ontwerpmodel Internet Of Things DienstenOntwerpmodel Internet Of Things Diensten
Ontwerpmodel Internet Of Things Diensten
 
Software packaged software principles publiek
Software packaged software principles publiekSoftware packaged software principles publiek
Software packaged software principles publiek
 
Kennismaking sfdc v1
Kennismaking sfdc v1Kennismaking sfdc v1
Kennismaking sfdc v1
 
Authenticatie
AuthenticatieAuthenticatie
Authenticatie
 
Cloud computing lunchsessie (v2)
Cloud computing lunchsessie (v2)Cloud computing lunchsessie (v2)
Cloud computing lunchsessie (v2)
 
Cloud computing overzicht
Cloud computing overzichtCloud computing overzicht
Cloud computing overzicht
 
Establishing Soa And Soa Governance Hsa
Establishing Soa And Soa Governance HsaEstablishing Soa And Soa Governance Hsa
Establishing Soa And Soa Governance Hsa
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
The evolution of Business Intelligence
The evolution of Business IntelligenceThe evolution of Business Intelligence
The evolution of Business Intelligence
 

Privacy het nieuwe groen | KNVI afdeling IT-audit | definitief

  • 1. Privacy | het nieuwe groen Privacy | in complexe ecosystemen beheersbaar maken Lezing van : Richard Claassens KNVI-bijeenkomst Tijdstip : vrijdag 29 september 2017 Afdeling: IT-Auditing - 14.30 uur Ontvangst - 15.00 uur Lezing - 17.00 uur Borrel Locatie : Hogeschool Utrecht, Koningsbergerstraat 9 in Utrecht https://www.hu.nl/overdehu/evenementen/De-Master-spreekt-over-de-privacywet-2018 Privacy onvriendelijk Ecosystems Privacy by Design Euro Certificering datalekdatalek Hoe privacy by design ervoor gaat zorgen dat organisaties en ketenpartners privacyvriendelijk en -compliant worden. De Master spreekt... privacywet 2018 (AVG)
  • 2. Privacy | het nieuwe groen Privacy | in complexe ecosystemen beheersbaar maken Auteur : Richard Claassens Datum : 29-07-2017 Variant : De Master spreekt... privacywet 2018 (AVG) Versie : 1.0 | Definitief 2 Privacy onvriendelijk Ecosystems Privacy by Design Euro Certificering datalekdatalek | Richard.Claassens@ygdra.com | https://nl.linkedin.com/in/richardclaassens | +31(0)626965796 CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0
  • 3. Architectuuropdracht vanaf 1-10-2002 bij: Richard Claassens + Privacy opleiding, certificeringen en ervaring 2002 2003 2004 2005 Technische Architectuur Polisadministratie Verkenning naar Privacy-Enhancing Technologies (PET) →zoals Oracle Label Security →Amalia krijgt een Sofinummer →Belastingdienst eist afscherming van haar (inkomens)gegevens Werkzaam vanaf 1-1-2006 bij: 2015 2017 2014 2016 Blauwdruk programma privacy Privacy Impact Assessment rapport PSAProject Start Architectuur | Schoning van persoonsgegevens PSAProject Start Architectuur | De-indentificatie van testdata Verkenning data masking PSAProject Start Architectuur | Toestemming Administratie Systeem Verkenning Privacy by Design met behulp van The Anonymization of Clinical Trial Data: Methodology Course by Khaled El Emam Privacy opleiding en certificering: Privacy opleiding: Privacy Privacy certificering: 3 Security certificeringen: `` Certified Information Privacy Professional/Europe
  • 4. 5 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen Nu→ Privacy onvriendelijk Ecosystems datalek datalek Privacy in complexe ecosystemen | opvattingen
  • 5. 6Nu→ Euro Certificering Privacy onvriendelijk Ecosystems datalek datalek Aantoonbaar in control en privacy-compliant Privacy in complexe ecosystemen | opvattingen 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Certificering wordt noodzakelijk
  • 6. 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Certificering wordt noodzakelijk 3) Zonder Privacy by Design gaat dit niet lukken 7Nu→ Euro Certificering Aantoonbaar in control en privacy-compliant Privacy onvriendelijk Ecosystems datalek datalek Privacy by Design Privacy in complexe ecosystemen | opvattingen Pak dit op een gestructureerde manier aan
  • 7. 8 Euro Certificering Privacy onvriendelijk Ecosystems datalek datalek Privacy by Design Start! Nu→ Privacy in complexe ecosystemen | opvattingen 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Certificering wordt noodzakelijk 3) Zonder Privacy by Design gaat dit niet lukken 4) Start nu! Aantoonbaar in control en privacy-compliant Pak dit op een gestructureerde manier aan
  • 8. De GDPR vereist onder anderen: • Functionaris gegevensbescherming • Privacy Impact Assessment (PIA) • Privacy-by-design (PbD) en by-default Sancties bij een datalek • tot 20 000 000 Euro • tot 4% van de wereldwijde jaaromzet van een concern De reden om nu te starten! | De Europese Algemene Verordening Gegevensbescherming (AVG) = General Dataprotection Regulation (GDPR) Gepubliceerd op 4 mei 2016 | Inwerkingtreding 24 mei 2016 | Handhaving op 25 mei 2018 Privacy in complexe ecosystemen 9CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0
  • 9. • Privacy Impact Assessment: PIA • Een proces dat de impact op privacy evalueert • Privacy-by-design: PbD • Institutionalisering van privacy management • Integratie van privacy concerns in het ontwerp en de realisatie van systemen • Privacy-by-default • Het hoogste niveau van privacy is de standaardinstelling (by default) Definities Hint: GDPR gebruikt “gegevensbescherming” in plaats van “privacy” 10 Verdiep je in wat Privacy by design en Privacy by default inhoudt Voer een initiële Privacy impact assessment uit
  • 10. Een organisatie met een complex ecosysteem: - Integreert business domeinen, zoals smart grid, gezondheid, transport - Integreert concerns, privacy, security en meer, bijvoorbeeld safety Big data Smart Grids Health Transport Security Safety Privacy Ecosystemen Domeinen Concerns Voorbeelden van dergelijke organisaties: • (Smart) cities • Ziekenhuizen • Luchthavens • Zeehavens • Winkelcentra • Banken • Verzekeraars • Retailbedrijven • Treinstations Privacy in complexe ecosystemen IoT Organisatie + complex ecosysteem 11
  • 11. Privacy in complexe ecosystemen 12 Nederlandse Spoorwegen Exterion Media Quividi Heeft een exclusieve samenwerking met.. Exploiteert, ontwikkelt en beheert treinstations Plaatst reclamezuilen die zijn uitgerust met camera’s die analyseren wie een reclamezuil bekijkt Levert camera’s en de bijbehorende software om te kunnen bijhouden hoeveel mensen naar de boodschap op een bord hebben gekeken en hoe lang. Op grond van de kenmerken van de gezichten kan het systeem statistieken aanleggen waarin ook het geslacht en de leeftijd van de kijkers een rol spelen. Ook het ras kan worden vastgesteld. Assemblagebedrijf Assembleert camerasystemen, inclusief de software Leverancier Levert componenten voor de dataopslag, inclusief software voor dataversleuteling Neemt camera’s en software af van.. Laat camerasystemen produceren bij.. Neemt componenten af van.. Neemt componenten af van.. Voorbeeld: camera’s die zijn verwerkt in reclamezuilen op treinstations.
  • 12. Contract(en) Stakeholders in een complex ecosystem • Application operators die tijdens de operatie persoonsgegevens verzamelen en verwerken • Leveranciers naar applicatie operators, twee types: - Integrators - Leveranciers aan de integrators (overige) Operator Data processor = verwerker Leverancier Integrator Leverancier Overige Wettelijke Vereisten Voldoen aan PIA | PbD Doel is niet gespecificeerd Organisatie + complex ecosysteem Operator Data controller ≈verwerkingsverantwoordelijken Betrokkene • Doel • Toestemming • Vertrouwen • Empowerment Service verzoek ` Is geïnformeerd Interacteert met Toe- passen PIA | PbD Doel is gespecificeerd Verplichtingen van de stakeholders moeten bekend zijn Toe- passen 13 Breng stakeholders en hun verplichtingen in beeld
  • 13. System Lifecycle niveau Management niveau Legal Compliance niveau Compliance + Compliance Check Compliance requirements Regels Compliance Requirements Privacy Impact Assessment Compliance Requirements Privacy-by-Design Stakeholder PbDPIAGDPR Beleids- maker Vraag zijde Aanbod zijde Operators requirements Leverancier Operator Data Processor Operator Data Controller Privacy concerns van stakeholders • Het concern van de beleidsmaker is om overall compliant te zijn • De concerns van de operators zijn (1) voldoen aan regels, (2) het juist uitvoeren van een PIA proces vanuit management perspectief, en (3) het juist uitvoeren PbD proces vanuit een systeem lifecycle perspectief. • Het concern van de leverancier is het voldoen aan de operators requirements 14 Breng stakeholders en hun concerns in beeld
  • 14. Product Operator Product Leveranciers Product GDPR PIA PbD Operators versus leveranciers Concerns van de operator –Data controller en data processor verplichtingen in gegevensverwerkingsketen Concerns van een leverancier? –Voldoen aan de eisen in markt Leveranciersketen 15
  • 15. Concerns van de leverancier GDPR PIA PbD GDPR ? PIA ? PbD ? Doel onbekend Kleine operator vs Grote operator DeviceSensor Smart Device Cloud Solution Electronics Secure modules OS Middle ware • Er is een breed spectrum van leveranciers • Eindproducten als sensoren, devices, smart devices, cloud oplossingen • Componenten als electronica, security modules, operating systems, middleware • Het doel om gegevens te verzamelen en te verwerken is niet bij de leverancier bekend, tenzij het een maatsysteem wordt geleverd. • In potentie is er onbalans tussen Grote leveranciers en kleine leveranciers. Leveranciersketen 16
  • 16. Data collecting Data storage Data transformation Data exchange Data analytics GDPR PIA PbD GDPR PIA PbD GDPR PIA PbD GDPR PIA PbD GDPR PIA PbD Privacy in gegevensverwerking keten Concerns aan de vraagzijde Keten van data controllers / data processors Ketenverantwoordelijk Een organisatie zal een keten van verantwoordelijkheden moeten beheren, van individuele operator naar zichzelf, als de uiteindelijk verantwoordelijke stakeholder 17 Breng ketens in beeld
  • 17. • Principes • Ann Cavoukian seven’s principles • ISO 29100 privacy framework • PRIPARE Principles • Impact assessment • ISO 29134 privacy impact assessment (in ontwikkeling) • Data Protection Authority richtlijnen (Verenigd Koninkrijk., Frankrijk, Spanje, …) • Domein specifieke richtlijnen (Smart grid, Biometrics, Rfid, Cloud…) • Engineering • De hele lifecycle • PRIPARE methodology handbook • ISO 27550 Privacy Engineering (een nieuw ISO work item) • Risk management • CNIL PIA methodology • NISTIR 8062 Privacy Risk Management Framework for Federal Information Systems • Van requirements naar privacy maatregelen • ISO 29151 personally identifiable information privacy control (in progress) • OASIS Privacy management reference model Normen, standaarden en referentiemodellen Input voor Verdiep je in de beschikbare normen standaarden en referentiemodellen Bepaal wat relevant en bruikbaar is voor jouw organisatie De PRIPARE methodologie helpt een organisatie bij de inrichting van een Privacy by design practice 18
  • 18. | Privacy and security by design Methodology Decommission B. Design E. Release D. Verification F. Maintenance C. Implementation H. Environment & Infrastructure G. A. Analyses Privacy concern Privacy concern Privacy concern Privacy concern Privacy concern Privacy concern 19 Het PRIPARE Handbook harmoniseert en integreert de bestaande normen, praktijken en onderzoeksvoorstellen ten aanzien privacy-engineering PRIPARE is gestructureerd in zeven verschillende fasen die overeenkomen met veel toegepaste en ook klassieke systeemontwikkelfaseringen, waardoor eenvoudig te combineren is met de meest toegepaste systeemontwikkelaanpakken of aan normen zoals ISO 15288 Het kan worden vergeleken met een bedelarmband Per schakel kan voor een eigen invulling worden gekozen. ≈
  • 19. PIA Fase 1 PIA Fase 2 Privacy Principles Privacy Requirements Architecture PETs Privacy Enhancing Technologies Pia proces Privacy by Design Lifecyle Proces Integratie van het Privacy Impact Assessment proces in het Privacy by Design proces | Privacy and security by design Methodology | toelichting B. Design Privacy Controls A. Analyses 20 PIA PbD = juridische vereisten die in technische specificaties zijn omgezet
  • 20. Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Seven principles from Ann Cavoukian 1. Proactive not reactive 2. Privacy as default setting 3. Privacy-by-design 4. Positive sum 5. Security 6. Transparency 7. User-centric ISO 29100 – privacy framework 1. Consent and choice 2. Purpose 3. Collection limitation 4. Data minimization 5. Use limitation 6. Accuracy and quality 7. Openness/transparency/notice 8. Individual participation and access 9. Accountability 10.Security PRIPARE Principles 1. Data quality 2. Data minimisation / proportionality 3. Purpose specification and limitation 4. Purpose specification and limitation for sensitive data 5. Transparency principle / openness principle 6. Right of access 7. Right to object 8. Safeguarding confidentiality and security of processing 9. Compliance with notification requirements 10. Conservation or retention principle 11.Accountability 12.Right to erasure 13.Privacy by default / data protection by default 14.Privacy by design / Data protection by design | Privacy and security by design Methodology | toelichting Kies voor een standaard principeverzameling →Afgeleid uit de GDPRPETs Privacy Enhancing Technologies 21 Architecture
  • 21. Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Identificeer privacyregels en privacy management requirements PurposeService Management of permissions and rulesAgreement Controlling personal data usageUsage Checking personal dataValidation Checking stakeholders credentialsCertification Monitor operations and react to exceptions / accountabilityEnforcement Safeguard privacy information and operationsSecurity Information presentation and communicationInteraction Data subject access to their personal dataAccess Privacy Management Reference Model and Methodology PMRM | Privacy and security by design Methodology | toelichting PETs Privacy Enhancing Technologies 22 Architecture
  • 22. Design Strategies 1 Minimization Select collecting, anonymisation / pseudonyms 2 Hide Encryption of data, mix networks, hide traffic patterns, attribute based credentials , anonymisation / pseudonyms 3 Separate Partitioning 4 Aggregate Aggregation over time, dynamic location granularity, k-anonymity, differential privacy 5 Inform Platform for privacy preferences, Data breach notification 6 Control User centric identity management, end-to-end encryption support control 7 Enforce Access control, Sticky policies and privacy rights management 8 Demonstrate Privacy management systems, use of logging and auditing Jaap Henk Hoepman Design strategies Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls | Privacy and security by design Methodology | toelichting Architecture PETs Privacy Enhancing Technologies 23 attribute based credentials | uitgewerkt in voorbeeld →
  • 23. Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Design strategieën kunnen aanpassingen op requirements tot gevolg hebben | Privacy and security by design Methodology | toelichting Attribute-based credentials Principe = Dataminimalisatie →Verzamel geen geboortedatum →Voer een toets : > 18 jaar oud →Verzamel geboortedatum B. Design Privacy Controls Oorspronkelijke requirement Architecture PETs Privacy Enhancing Technologies 24
  • 24. | Privacy and security by design Methodology | toelichting Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Risk analysis (voorbeeld : CNIL risk analysis) 2. Controls 3.Risks3. Decision 1. Context Negligible Severity Must be Avoided or reduces Absolutely Avoided or reduces These risks may be taken Must Be reduced Maximum Severity Significant Severity Limited Severity Negligible Likelihood Limited Likelihood Significant Likelihood Maximum Likelihood Architecture PETs Privacy Enhancing Technologies Brute risico Netto risico 25
  • 25. Bestaande maatregelen in de organisatie Bestaande Normen, standaarden en referentiemodellen Wat te doen? | Privacy and security by design Methodology | wat te doen Methodology 26
  • 26. Bestaande maatregelen in de organisatie Bestaande Normen, standaarden en referentiemodellen Wat te doen? | Privacy and security by design Methodology | wat te doen Methodology Cybersecurity Framework Voorbeeld Nederlands Banken 27
  • 27. ISO 29100 privacy framework Bestaande maatregelen Binnen de organisatie Methodology | raamwerk Methodology | bouwen Volg de methode en kies bouwstenen die reeds bij de organisatie in gebruik zijn en vul deze aan met die standaarden en best practices, die het beste bij de organisatie passen. Bestaande Normen, standaarden en referentiemodellen | Privacy and security by design Methodology | wat te doen 28
  • 28. ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Methodology | gebouwdBestaande maatregelen Binnen de organisatie Methodology | raamwerk Bestaande Normen, standaarden en referentiemodellen | Privacy and security by design Methodology | wat te doen 29
  • 29. Wat ontbreekt voor 30 ≠ Euro Certificering ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Methodology | gebouwd Methodology | gebouwd
  • 30. 31 Euro Certificering ISO 27550 Privacy Engineering ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Normen .. als basis voor proces certificeringMethodology | gebouwd ≈ van privacy processen Bestaat nog niet
  • 31. Product of service certificering Euro Certificering Hoe certificeer ik mijn product of service? The European Privacy Seal By the EuroPriSe Certification Authority Als voorbeeld wordt de werkwijze van de European Privacy Seal toegelicht van IT producten of IT gebaseerde services 32
  • 32. IT Product of service certificering Euro Certificering van IT producten of IT gebaseerde services Erkende experts evalueren Product of service Een onpartijdige autoriteit controleert de evaluatie Toekenning van de European Privacy Seal 2 jaar geldig IT product of IT gebaseerde service controller service of processor services Legal expert Technical expert Voorbeelden: • European Privacy Seal for Siemens Healthcare GmbH) • European Privacy Seal for Lidl's Central Cash Auditing (ZKP) 33
  • 33. Product of service certificering ISO 21879 Privacy Engineering ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Normen. Euro Certificering van IT producten of of IT gebaseerde services Privacy by Design helpt: • om aan de normen van een euro certificering te gaan voldoen • efficiënte assessments mogelijk te maken Methodology | gebouwd 34
  • 34. Privacy | het nieuwe groen Samenvatting Privacy onvriendelijk Ecosystems Privacy by Design Euro Certificering datalekdatalek • Start nu met een gestructureerde invoering van Privacy by Design • Kies daarbij voor normen, standaarden en referentiemodellen, die bij de organisatie passen, en de ecosystemen waar de organisatie deel van uitmaakt • Bepaal welke certificeringen relevant (kunnen) zijn voor de organisatie en de partners en leveranciers in de ecosystemen • Zorg voor een administratieve vastlegging waarmee kan worden aangetoond dat de privacy maatregelen op orde zijn, en die tevens de basis vormen om op een efficiënte wijze assessments te kunnen uitvoeren. Nu→ 35
  • 35. Privacy | het nieuwe groen Neem voor vragen en informatie contact op met: | Richard Claassens | Richard.Claassens@ygdra.com | https://nl.linkedin.com/in/richardclaassens | +31(0)626965796 36CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0
  • 36. Privacy | het nieuwe groen Bronnen: 37CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0 Addressing Privacy in Smart Cities (First Webinar), georganiseerd door EIP-SCC Citizen Focus Antonio Kung Antonio Skarmeta Chris Cooper Slide 10 t/m 25 zijn gebaseerd op: PRIPARE | Privacy Management in Smart cities and Communities Version: v0.20 Date: 01/9/2016 Confidentiality: Public Antonio Kung https://eu-smartcities.eu/sites/all/files/Addressing%20Privacy%20in%20Smart%20Cities%20-%20Antonio%20Kung%20-%20Master.pdf https://eu-smartcities.eu/sites/all/files/PRIPARE%20recommendations%20for%20Smart%20cities.pdf PRIPARE | Privacy- and Security-by-Design Methodology Handbook Version: V1.00 Date: 31 December 2015 Alberto Crespo García (ATOS) Nicolás Notario McDonnell (ATOS) Carmela Troncoso (Gradiant) Daniel Le Métayer (Inria) Inga Kroener (Trilateral) David Wright (Trilateral) José María del Álamo (UPM) Yod Samuel Martín (UPM)http://pripareproject.eu/wp-content/uploads/2013/11/PRIPARE-Methodology-Handbook-Final-Feb-24-2016.pdf Auteurs: 1 2 3 #