O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
Privacy | het nieuwe groen
Privacy | in complexe ecosystemen beheersbaar maken
Lezing van : Richard Claassens KNVI-bijeenk...
Privacy | het nieuwe groen
Privacy | in complexe ecosystemen beheersbaar maken
Auteur : Richard Claassens
Datum : 22-02-20...
Architectuuropdracht vanaf 1-10-2002 bij:
Richard Claassens + ervaring met privacy
2002
2003
2004
2005
Technische Architec...
4
Privacy in complexe ecosystemen | waar gaat het over?
Indirect
identificeerbaar
GegevensPersoon
Verwerking
→Persoonsgege...
5
1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen
Nu→
Privacy o...
6
1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen
2) Een strate...
7Nu→
Euro
Certificering
Privacy onvriendelijk
Ecosystems
datalek datalek
Ethics Law
Risk
Aantoonbaar
in control en
privacy...
1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen
2) Een strategi...
9
Euro
Certificering
Privacy onvriendelijk
Ecosystems
datalek datalek
Ethics Law
Risk
Privacy
by
Design
Start!
Nu→
Privacy...
De GDPR vereist:
• Functionaris gegevensbescherming
• Alle overheidsinstanties en -organen
• Organisaties die stelselmatig...
• Privacy Impact Assessment: PIA
• Een proces dat de impact op privacy evalueert
• Privacy-by-design: PbD
• Institutionali...
Een organisatie met een complex ecosysteem:
- Integreert business domeinen, zoals smart grid, gezondheid, transport
- Inte...
Inkoopcontract(en)
Stakeholders in een complex ecosystem
• Application operators die tijdens de operatie persoonsgegevens ...
System
Lifecycle
niveau
Management
niveau
Legal
Compliance
niveau
Compliance + Compliance Check
Compliance
requirements
Re...
Product
Operator
Product
Leveranciers
Product
GDPR
PIA
PbD
Operators versus leveranciers
Concerns van de operator
–Data co...
Concerns van de leverancier
GDPR PIA PbD
GDPR
?
PIA
?
PbD
?
Doel onbekend
Kleine operator
vs
Grote operator
DeviceSensor S...
Data collecting Data storage Data
transformation
Data exchange Data analytics
GDPR
PIA
PbD
GDPR
PIA
PbD
GDPR
PIA
PbD
GDPR
...
• Principes
• Ann Cavoukian seven’s principles
• ISO 29100 privacy framework
• PRIPARE Principles
• Impact assessment
• IS...
Decommission
B.
Design
E.
Release
D.
Verification
F.
Maintenance
C.
Implementation
H.
Environment
&
Infrastructure
G.
A.
A...
PIA
Fase 1
PIA
Fase 2
Privacy
Principles
Privacy
Requirements
Architecture
PETs Privacy Enhancing Technologies
Pia proces
...
Privacy
Principles
A.
Analyses Privacy
Requirements
B.
Design
Privacy
Controls
Seven principles from Ann Cavoukian
1. Proa...
Privacy
Principles
A.
Analyses Privacy
Requirements
B.
Design
Privacy
Controls
Identificeer privacyregels en privacy manag...
Design Strategies
1 Minimization Select collecting, anonymisation / pseudonyms
2 Hide Encryption of data, mix networks, hi...
Privacy
Principles
A.
Analyses Privacy
Requirements
B.
Design
Privacy
Controls
Design strategieën kunnen aanpassingen op r...
| Privacy and security by design Methodology | toelichting
Privacy
Principles
A.
Analyses Privacy
Requirements
B.
Design
P...
Bestaande maatregelen
in de organisatie
Bestaande Normen, standaarden
en referentiemodellen
Wat te doen?
| Privacy and sec...
Bestaande maatregelen
in de organisatie
Bestaande Normen, standaarden
en referentiemodellen
Wat te doen?
| Privacy and sec...
ISO 29100 privacy framework
Bestaande maatregelen
Binnen de organisatie
Methodology | raamwerk Methodology | bouwen
Volg d...
ISO 29100 privacy framework
ISO 29134
privacy impact assessment
ISO 29151 personally
identifiable information
privacy cont...
Wat
ontbreekt voor
30
≠ Euro Certificering
ISO 29100 privacy framework
ISO 29134
privacy impact assessment
ISO 29151 perso...
31
Euro Certificering
ISO 27550
Privacy Engineering
ISO 29100 privacy framework
ISO 29134
privacy impact assessment
ISO 29...
Product of service certificering
Euro Certificering
Hoe certificeer ik mijn
product of service?
The European Privacy Seal
...
IT
Product of service certificering
Euro Certificering van IT producten of IT gebaseerde services
Erkende experts evaluere...
Product of service certificering
ISO 21879
Privacy Engineering
ISO 29100 privacy framework
ISO 29134
privacy impact assess...
Privacy | het nieuwe groen
Samenvatting
Privacy onvriendelijk
Ecosystems
Privacy
by
Design
Euro
Certificering
datalekdatal...
Privacy | het nieuwe groen
Bronnen:
36CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@...
Privacy | het nieuwe groen
Neem voor vragen en informatie contact op met:
| Richard Claassens
| Richard.Claassens@ygdra.co...
Próximos SlideShares
Carregando em…5
×

Privacy het nieuwe groen KNVI definitief

519 visualizações

Publicada em

Slides die ik heb behandeld bij KNVI-bijeenkomst SIG Architectuur en SIG IT-Recht Woensdag 22 februari 2017

  • Seja o primeiro a comentar

Privacy het nieuwe groen KNVI definitief

  1. 1. Privacy | het nieuwe groen Privacy | in complexe ecosystemen beheersbaar maken Lezing van : Richard Claassens KNVI-bijeenkomst Tijdstip : Woensdag 22 Februari 2017 - 18.30 uur Inloop - 19.00 uur Lezing - 21.00 uur Borrel Locatie : TFG House, Rontgenlaan 27, Zoetermeer www.ngi-ngn.nl/Afdelingen/Architectuur/Evenementen/het-nieuwe-groen.html Privacy onvriendelijk Ecosystems Privacy by Design Euro Certificering datalekdatalek Hoe privacy by design ervoor gaat zorgen dat organisaties en ketenpartners privacyvriendelijk en -compliant worden.
  2. 2. Privacy | het nieuwe groen Privacy | in complexe ecosystemen beheersbaar maken Auteur : Richard Claassens Datum : 22-02-2017 Variant : KNVI|Architectuur Versie : 1 | Definitief 2 Privacy onvriendelijk Ecosystems Privacy by Design Euro Certificering datalekdatalek | Richard.Claassens@ygdra.com | https://nl.linkedin.com/in/richardclaassens | +31(0)626965796 CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0
  3. 3. Architectuuropdracht vanaf 1-10-2002 bij: Richard Claassens + ervaring met privacy 2002 2003 2004 2005 Technische Architectuur Polisadministratie Verkenning naar Privacy-Enhancing Technologies (PET) →zoals Oracle Label Security →Amalia krijgt een Sofinummer →Belastingdienst eist afscherming van haar (inkomens)gegevens Werkzaam vanaf 1-1-2006 bij: 2015 2017 2014 2016 Blauwdruk programma privacy Privacy Impact Assessment rapport PSAProject Start Architectuur | Schoning van persoonsgegevens PSAProject Start Architectuur | De-indentificatie van testdata Verkenning data masking PSAProject Start Architectuur | Toestemming Administratie Systeem Verkenning Privacy by Design met behulp van The Anonymization of Clinical Trial Data: Methodology Course by Khaled El Emam Privacy opleiding en certificering: Privacy opleiding: Privacy | het nieuwe groen Privacy opleiding en certificering: Certified Information Privacy Professional/Europe (in uitvoering) 3 (in uitvoering) Security opleiding en certificering:
  4. 4. 4 Privacy in complexe ecosystemen | waar gaat het over? Indirect identificeerbaar GegevensPersoon Verwerking →Persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (betrokkene) als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd Direct identificeerbaar • naam • identificatienummer • locatiegegevens • online identificator • ... één of meer elementen, kenmerkend voor de: • fysieke • fysiologische • genetische • psychische • economische • culturele • sociale • ... Identiteit • ... • ... • ...
  5. 5. 5 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen Nu→ Privacy onvriendelijk Ecosystems datalek datalek Privacy in complexe ecosystemen | opvattingen
  6. 6. 6 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Een strategische positionering vooraf is cruciaal 3) Zonder heldere visie op privacy is een strategische positionering zinloos 4) Bij de ontwikkeling van de visie moet het volgende worden meegenomen: • Wet- en regelgeving die op de organisatie van toepassing is ? • Ethische opvatting ten aanzien privacy en privacy dilemma's? • Risico’s die de organisatie wil en kan accepteren? Nu→ Privacy onvriendelijk Ecosystems datalek datalek Ethics Law Risk Ontwikkel een visie en strategie Privacy in complexe ecosystemen | opvattingen
  7. 7. 7Nu→ Euro Certificering Privacy onvriendelijk Ecosystems datalek datalek Ethics Law Risk Aantoonbaar in control en privacy-compliant Privacy in complexe ecosystemen | opvattingen Ontwikkel een visie en strategie 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Een strategische positionering vooraf is cruciaal 3) Zonder heldere visie op privacy is een strategische positionering zinloos 4) Bij de ontwikkeling van de visie moet het volgende worden meegenomen: • Wet- en regelgeving die op de organisatie van toepassing is ? • Ethische opvatting ten aanzien privacy en privacy dilemma's? • Risico’s die de organisatie wil en kan accepteren? 5) Certificering wordt noodzakelijk
  8. 8. 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Een strategische positionering vooraf is cruciaal 3) Zonder heldere visie op privacy is een strategische positionering zinloos 4) Bij de ontwikkeling van de visie moet het volgende worden meegenomen: • Wet- en regelgeving die op de organisatie van toepassing is ? • Ethische opvatting ten aanzien privacy en privacy dilemma's? • Risico’s die de organisatie wil en kan accepteren? 5) Certificering wordt noodzakelijk 6) Zonder Privacy by Design gaat dit niet lukken 8Nu→ Euro Certificering Aantoonbaar in control en privacy-compliant Privacy onvriendelijk Ecosystems datalek datalek Ethics Law Risk Privacy by Design Privacy in complexe ecosystemen | opvattingen Ontwikkel een visie en strategie Pak dit op een gestructureerde manier aan
  9. 9. 9 Euro Certificering Privacy onvriendelijk Ecosystems datalek datalek Ethics Law Risk Privacy by Design Start! Nu→ Privacy in complexe ecosystemen | opvattingen 1) Elke organisatie moet van een privacy onvriendelijke in een privacy vriendelijke organisatie veranderen 2) Een strategische positionering vooraf is cruciaal 3) Zonder heldere visie op privacy is een strategische positionering zinloos 4) Bij de ontwikkeling van de visie moet het volgende worden meegenomen: • Wet- en regelgeving die op de organisatie van toepassing is ? • Ethische opvatting ten aanzien privacy en privacy dilemma's? • Risico’s die de organisatie wil en kan accepteren? 5) Certificering wordt noodzakelijk 6) Zonder Privacy by Design gaat dit niet lukken 7) Start nu! Aantoonbaar in control en privacy-compliant Pak dit op een gestructureerde manier aan Ontwikkel een visie en strategie
  10. 10. De GDPR vereist: • Functionaris gegevensbescherming • Alle overheidsinstanties en -organen • Organisaties die stelselmatig en op grote schaal personen observeren of op grote schaal bepaalde categorieën persoonsgegevens verwerken • Privacy Impact Assessment (PIA) • Privacy-by-design (PbD) en by-default Sancties bij een datalek • tot 20 000 000 Euro • tot 4% van de wereldwijde jaaromzet van een concern De reden om nu te starten! | De Europese Algemene Verordening Gegevensbescherming (AVG) = General Dataprotection Regulation (GDPR) Gepubliceerd op 4 mei 2016 | Inwerkingtreding 24 mei 2016 | Handhaving op 25 mei 2018 Privacy in complexe ecosystemen 10CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0
  11. 11. • Privacy Impact Assessment: PIA • Een proces dat de impact op privacy evalueert • Privacy-by-design: PbD • Institutionalisering van privacy management • Integratie van privacy concerns in het ontwerp en de realisatie van systemen • Privacy-by-default • Het hoogste niveau van privacy is de standaardinstelling (by default) Definities Hint: GDPR gebruikt “gegevensbescherming” in plaats van “privacy” 11 Verdiep je in wat Privacy by design en Privacy by default inhoudt Voer een initiële Privacy impact assessment uit
  12. 12. Een organisatie met een complex ecosysteem: - Integreert business domeinen, zoals smart grid, gezondheid, transport - Integreert concerns, privacy, security en meer, bijvoorbeeld safety Big data Smart Grids Health Transport Security Safety Privacy Ecosystemen Domeinen Concerns Voorbeelden van dergelijke organisaties: • (Smart) cities • Ziekenhuizen • Luchthavens • Zeehavens • Winkelcentra • Banken • Verzekeraars • Retailbedrijven Privacy in complexe ecosystemen IoT Organisatie + complex ecosysteem 12
  13. 13. Inkoopcontract(en) Stakeholders in een complex ecosystem • Application operators die tijdens de operatie persoonsgegevens verzamelen en verwerken • Leveranciers naar applicatie operators, twee types: - Integrators - Leveranciers aan de integrators (overige) Operator Data processor = verwerker Leverancier Integrator Leverancier Overige Wettelijke Vereisten Voldoen aan PIA | PbD Doel is niet gespecificeerd Organisatie + complex ecosysteem Operator Data controller ≈verwerkingsverantwoordelijken Betrokkene • Doel • Toestemming • Vertrouwen • Empowerment Service verzoek ` Is geïnformeerd Interacteert met Toe- passen PIA | PbD Doel is gespecificeerd Verplichtingen van de stakeholders moeten bekend zijn Toe- passen 13 Breng stakeholders en hun verplichtingen in beeld
  14. 14. System Lifecycle niveau Management niveau Legal Compliance niveau Compliance + Compliance Check Compliance requirements Regels Compliance Requirements Privacy Impact Assessment Compliance Requirements Privacy-by-Design Stakeholder PbDPIAGDPR Beleids- maker Vraag zijde Aanbod zijde Operators requirements Leverancier Operator Data Processor Operator Data Controller Privacy concerns van stakeholders • Het concern van de beleidsmaker is om overall compliant te zijn • De concerns van de operators zijn (1) voldoen aan regels, (2) het juist uitvoeren van een PIA proces vanuit management perspectief, en (3) het juist uitvoeren PbD proces vanuit een systeem lifecycle perspectief. • Het concern van de leverancier is het voldoen aan de operators requirements 14 Breng stakeholders en hun concerns in beeld
  15. 15. Product Operator Product Leveranciers Product GDPR PIA PbD Operators versus leveranciers Concerns van de operator –Data controller en data processor verplichtingen in gegevensverwerkingsketen Concerns van een leverancier? –Voldoen aan de eisen in markt Leveranciersketen 15
  16. 16. Concerns van de leverancier GDPR PIA PbD GDPR ? PIA ? PbD ? Doel onbekend Kleine operator vs Grote operator DeviceSensor Smart Device Cloud Solution Electronics Secure modules OS Middle ware • Er is een breed spectrum van leveranciers • Eindproducten als sensoren, devices, smart devices, cloud oplossingen • Componenten als electronica, security modules, operating systems, middleware • Het doel om gegevens te verzamelen en te verwerken is niet bij de leverancier bekend, tenzij het een maatsysteem wordt geleverd. • In potentie is er onbalans tussen Grote leveranciers en kleine leveranciers. Leveranciersketen 16
  17. 17. Data collecting Data storage Data transformation Data exchange Data analytics GDPR PIA PbD GDPR PIA PbD GDPR PIA PbD GDPR PIA PbD GDPR PIA PbD Privacy in gegevensverwerking keten Concerns aan de vraagzijde Keten van data controllers / data processors Ketenverantwoordelijk Een organisatie zal een keten van verantwoordelijkheden moeten beheren, van individuele operator naar zichzelf, als de uiteindelijk verantwoordelijke stakeholder 17 Breng ketens in beeld
  18. 18. • Principes • Ann Cavoukian seven’s principles • ISO 29100 privacy framework • PRIPARE Principles • Impact assessment • ISO 29134 privacy impact assessment (in ontwikkeling) • Data Protection Authority richtlijnen (Verenigd Koninkrijk., Frankrijk, Spanje, …) • Domein specifieke richtlijnen (Smart grid, Biometrics, Rfid, Cloud…) • Engineering • De hele lifecycle • PRIPARE methodology handbook • ISO 27550 Privacy Engineering (een nieuw ISO work item) • Risk management • CNIL PIA methodology • NISTIR 8062 Privacy Risk Management Framework for Federal Information Systems • From requirements to privacy controls • ISO 29151 personally identifiable information privacy control (in progress) • OASIS Privacy management reference model Normen, standaarden en referentiemodellen Input voor Verdiep je in de beschikbare normen standaarden en referentiemodellen Bepaal wat relevant en bruikbaar is voor jouw organisatie De PRIPARE methodologie helpt een organisatie bij de inrichting van een Privacy by design practice 18
  19. 19. Decommission B. Design E. Release D. Verification F. Maintenance C. Implementation H. Environment & Infrastructure G. A. Analyses | Privacy and security by design Methodology Privacy concern Privacy concern Privacy concern Privacy concern Privacy concern Privacy concern 19 Het PRIPARE Handbook harmoniseert en integreert de bestaande normen, praktijken en onderzoeksvoorstellen ten aanzien privacy-engineering PRIPARE is gestructureerd in zeven verschillende fasen die overeenkomen met veel toegepaste en ook klassieke systeemontwikkelfaseringen, waardoor eenvoudig te combineren is met de meest toegepaste systeemontwikkelaanpakken of aan normen zoals ISO 15288 Het kan worden vergeleken met een bedelarmband Per schakel kan voor een eigen invulling worden gekozen. ≈
  20. 20. PIA Fase 1 PIA Fase 2 Privacy Principles Privacy Requirements Architecture PETs Privacy Enhancing Technologies Pia proces Privacy by Design Lifecyle Proces Integratie van het Privacy Impact Assessment proces in het Privacy by Design proces | Privacy and security by design Methodology | toelichting B. Design Privacy Controls A. Analyses 20 PIA PbD
  21. 21. Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Seven principles from Ann Cavoukian 1. Proactive not reactive 2. Privacy as default setting 3. Privacy-by-design 4. Positive sum 5. Security 6. Transparency 7. User-centric ISO 29100 – privacy framework 1. Consent and choice 2. Purpose 3. Collection limitation 4. Data minimization 5. Use limitation 6. Accuracy and quality 7. Openness/transparency/notice 8. Individual participation and access 9. Accountability 10.Security PRIPARE Principles 1. Data quality 2. Data minimisation / proportionality 3. Purpose specification and limitation 4. Purpose specification and limitation for sensitive data 5. Transparency principle / openness principle 6. Right of access 7. Right to object 8. Safeguarding confidentiality and security of processing 9. Compliance with notification requirements 10. Conservation or retention principle 11.Accountability 12.Right to erasure 13.Privacy by default / data protection by default 14.Privacy by design / Data protection by design | Privacy and security by design Methodology | toelichting Kies voor een standaard principeverzameling →Afgeleid uit de GDPRPETs Privacy Enhancing Technologies 21 Architecture
  22. 22. Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Identificeer privacyregels en privacy management requirements PurposeService Management of permissions and rulesAgreement Controlling personal data usageUsage Checking personal dataValidation Checking stakeholders credentialsCertification Monitor operations and react to exceptions / accountabilityEnforcement Safeguard privacy information and operationsSecurity Information presentation and communicationInteraction Data subject access to their personal dataAccess Privacy Management Reference Model and Methodology PMRM | Privacy and security by design Methodology | toelichting PETs Privacy Enhancing Technologies 22 Architecture
  23. 23. Design Strategies 1 Minimization Select collecting, anonymisation / pseudonyms 2 Hide Encryption of data, mix networks, hide traffic patterns, attribute based credentials , anonymisation / pseudonyms 3 Separate Partitioning 4 Aggregate Aggregation over time, dynamic location granularity, k-anonymity, differential privacy 5 Inform Platform for privacy preferences, Data breach notification 6 Control User centric identity management, end-to-end encryption support control 7 Enforce Access control, Sticky policies and privacy rights management 8 Demonstrate Privacy management systems, use of logging and auditing Jaap Henk Hoepman Design strategies Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls | Privacy and security by design Methodology | toelichting Architecture PETs Privacy Enhancing Technologies 23 attribute based credentials | uitgewerkt in voorbeeld →
  24. 24. Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Design strategieën kunnen aanpassingen op requirements tot gevolg hebben | Privacy and security by design Methodology | toelichting Attribute-based credentials Principe = Dataminimalisatie →Verzamel geen geboortedatum →Voer een toets : > 18 jaar oud →Verzamel geboortedatum B. Design Privacy Controls Oorspronkelijke requirement Architecture PETs Privacy Enhancing Technologies 24
  25. 25. | Privacy and security by design Methodology | toelichting Privacy Principles A. Analyses Privacy Requirements B. Design Privacy Controls Risk analysis (voorbeeld : CNIL risk analysis) 2. Controls 3.Risks3. Decision 1. Context Negligible Severity Must be Avoided or reduces Absolutely Avoided or reduces These risks may be taken Must Be reduced Maximum Severity Significant Severity Limited Severity Negligible Likelihood Limited Likelihood Significant Likelihood Maximum Likelihood Architecture PETs Privacy Enhancing Technologies Brute risico Netto risico 25
  26. 26. Bestaande maatregelen in de organisatie Bestaande Normen, standaarden en referentiemodellen Wat te doen? | Privacy and security by design Methodology | wat te doen Methodology 26
  27. 27. Bestaande maatregelen in de organisatie Bestaande Normen, standaarden en referentiemodellen Wat te doen? | Privacy and security by design Methodology | wat te doen Methodology Cybersecurity Framework Voorbeeld: Nederlandse banken zijn verplicht een self-assessment op basis van het NIST Cybersecurity raamwerk uit te voeren 27
  28. 28. ISO 29100 privacy framework Bestaande maatregelen Binnen de organisatie Methodology | raamwerk Methodology | bouwen Volg de methode en kies bouwstenen die reeds bij de organisatie in gebruik zijn en vul deze aan met die standaarden en best practices, die het beste bij de organisatie passen. Bestaande Normen, standaarden en referentiemodellen | Privacy and security by design Methodology | wat te doen 28
  29. 29. ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Methodology | gebouwdBestaande maatregelen Binnen de organisatie Methodology | raamwerk Bestaande Normen, standaarden en referentiemodellen | Privacy and security by design Methodology | wat te doen 29
  30. 30. Wat ontbreekt voor 30 ≠ Euro Certificering ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Methodology | gebouwd Methodology | gebouwd
  31. 31. 31 Euro Certificering ISO 27550 Privacy Engineering ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Normen .. als basis voor proces certificeringMethodology | gebouwd ≈ van privacy processen Bestaat nog niet
  32. 32. Product of service certificering Euro Certificering Hoe certificeer ik mijn product of service? The European Privacy Seal By the EuroPriSe Certification Authority Als voorbeeld wordt de werkwijze van de European Privacy Seal toegelicht van IT producten of IT gebaseerde services 32
  33. 33. IT Product of service certificering Euro Certificering van IT producten of IT gebaseerde services Erkende experts evalueren Product of service Een onpartijdige autoriteit controleert de evaluatie Toekenning van de European Privacy Seal 2 jaar geldig IT product of IT gebaseerde service Legal expert Technical expert Voorbeelden: • European Privacy Seal for Siemens Healthcare GmbH • European Privacy Seal for Lidl's Central Cash Auditing (ZKP) 33
  34. 34. Product of service certificering ISO 21879 Privacy Engineering ISO 29100 privacy framework ISO 29134 privacy impact assessment ISO 29151 personally identifiable information privacy control Privacy by Design Normen. Euro Certificering van IT producten of of IT gebaseerde services Privacy by Design helpt: • om aan de normen van een euro certificering te gaan voldoen • efficiënte assessments mogelijk te maken Methodology | gebouwd 34
  35. 35. Privacy | het nieuwe groen Samenvatting Privacy onvriendelijk Ecosystems Privacy by Design Euro Certificering datalekdatalek • Start nu met een gestructureerde invoering van Privacy by Design • Kies daarbij voor normen, standaarden en referentiemodellen, die bij de organisatie passen, en de ecosystemen waar de organisatie deel van uitmaakt • Bepaal welke certificeringen relevant (kunnen) zijn voor de organisatie en de partners en leveranciers in de ecosystemen • Zorg voor een administratieve vastlegging waarmee kan worden aangetoond dat de privacy maatregelen op orde zijn, en die tevens de basis vormen om op een efficiënte wijze assessments te kunnen uitvoeren. Nu→ 35
  36. 36. Privacy | het nieuwe groen Bronnen: 36CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0 Addressing Privacy in Smart Cities (First Webinar), georganiseerd door EIP-SCC Citizen Focus Antonio Kung Antonio Skarmeta Chris Cooper Slide 10 t/m 25 zijn gebaseerd op: PRIPARE | Privacy Management in Smart cities and Communities Version: v0.20 Date: 01/9/2016 Confidentiality: Public Antonio Kung https://eu-smartcities.eu/sites/all/files/Addressing%20Privacy%20in%20Smart%20Cities%20-%20Antonio%20Kung%20-%20Master.pdf https://eu-smartcities.eu/sites/all/files/PRIPARE%20recommendations%20for%20Smart%20cities.pdf PRIPARE | Privacy- and Security-by-Design Methodology Handbook Version: V1.00 Date: 31 December 2015 Alberto Crespo García (ATOS) Nicolás Notario McDonnell (ATOS) Carmela Troncoso (Gradiant) Daniel Le Métayer (Inria) Inga Kroener (Trilateral) David Wright (Trilateral) José María del Álamo (UPM) Yod Samuel Martín (UPM)http://pripareproject.eu/wp-content/uploads/2013/11/PRIPARE-Methodology-Handbook-Final-Feb-24-2016.pdf Auteurs: 1 2 3 #
  37. 37. Privacy | het nieuwe groen Neem voor vragen en informatie contact op met: | Richard Claassens | Richard.Claassens@ygdra.com | https://nl.linkedin.com/in/richardclaassens | +31(0)626965796 37CC BY 4.0 | https://creativecommons.org/licenses/by/4.0/deed.nl | richard.claassens@ygdra.com | 20-12-2016 | versie 1.0

×