100% satisfaction guarantee Immediately available after payment Both online and in PDF No strings attached
logo-home
Previously searched by you
Previously searched by you
logo
Samenvatting Informatieveiligheid Wetgeving/Vitale Infrastructuur $4.81   Add to cart
Quickly navigate to
Preview
  2.  
  3. Hogeschool Utrecht (HU)
  4.  
  5. Informatieveiligheid

Summary

Samenvatting Informatieveiligheid Wetgeving/Vitale Infrastructuur

2 reviews
 212 views  1 purchase
  • Course
  • Informatieveiligheid
  • Institution
  • Hogeschool Utrecht (HU)

Samenvatting alle tentamenstof week 4

Preview 6 out of 21  pages

Document information

  • November 5, 2016
  • 21
  • 2016/2017
  • Summary

Subjects

  • informatieveiligheid

Written for

  • Hogeschool Utrecht (HU)
  • Integrale Veiligheidskunde
  • Informatieveiligheid
All documents for this subject (36)

2  reviews

review-writer-avatar

By: crvtje • 7 year ago

review-writer-avatar

By: huykha10 • 7 year ago

Seller

avatar-seller
lucasbonset

Reviews received

Content preview

Kernpunten Informatieveiligheid week 4: Wetgeving en Vitale Infrastructuur

CSBN 2016: H1 tot en met H6 : Zie kernpunten week 1


Wetgeving Informatieveiligheid: Privacybescherming

Er wordt dit jaar een nieuwe Europese regeling bescherming persoonsgegevens ingevoerd.

Vroeger: Wet bescherming persoonsgegevens

Nu: General Data Protection Regulation, Nederlands: Algemene Verordening Gegevensbescherming. (14 april
2016)

- Elke lidstaat eigen privacywetgeving, gebaseerd op Europese privacyrichtlijnen
- AVG > aparte richtlijn voor gegevensbescherming bij opsporing en vervolging

AVG:

1. Regelt hoe persoonlijke gegevens mogen worden opgeslagen en verwerkt
2. Nieuwe wet bescherming persoonsgegevens
3. Versterking/uitbreiding privacyrechten, meer verantwoordelijkheid organisaties, stevige
bevoegdheden toezichthouders.

Andere wetten:

1. Wet computercriminaliteit = regels over aftappen en afluisteren
2. Telecommunicatiewet = beschermen van elke digitale communicatie door burgers
3. Wet op inlichtingen- en veiligheidsdiensten = Regelt bijzondere bevoegdheden van geheime diensten
4. Briefgeheim uit de grondwet = bescherming poststukken tijdens transport



Oud: Wet bescherming persoonsgegevens gebaseerd op ‘ European Data Protection Directive (95/46/EC) ‘

Nieuw: ‘ General Data Protection Regulation gebaseerd op Algemene Verordening Gegevensbescherming.

Richtlijn en verordening:

1. Richtlijn/directive > niet omgezet te worden naar nationale wetgeving. Nederlandse wet van maken.
2. Verordening is bindend in alle lidstaten


Artikelen Wbp:

Wbp 6: Grondslag van de verwerking (ondubbelzinnige toestemming, uitvoering overeenkomst of
gerechtvaardigd belang (wel uitzonderingen, met toestemming)

Wbp 6: Behoorlijke en zorgvuldige gegevensverwerking

Wbp 7 : Uitdrukkelijk omschreven welbepaalde en gerechtvaardigde doeleinden

TW 11.7a: Terzake dienend, niet bovenmatig (datgene vragen wat je nodig hebt, per systeem aan voldoen)

TW 33 en 34: Informatieplicht (waarvoor gegevens gebruikt gaan worden)

,Informatieplicht > discussie privacy en informatieveiligheidswetgeving (nooit gevraagd aan gebruiker of
informatieplicht wordt toegepast).

Wet inlichtingen en veiligheidsdiensten:

- PIA = Privacy Impact Assessment

Niet-kabelgebonden communicatie (satelliet, radio) mag ongericht worden afgetapt, bij kabelgebonden
communicatie (koper, glasvezel) mag dat slechts gericht.

Doel: Voor zowel niet-kabelgebonden als kabelgebonden communicatie ongericht aftappen.

Persoonsgegevens = Alle gegevens die direct dan wel indirect tot identificatie van een persoon leiden.

Voorbeelden van persoonsgegevens:

1. Naam
2. Adres
3. BSN-nummer
4. Foto
5. IP-adres
6. Postcode/woonplaats
7. Telefoonnummers

- Kortom alle gegevens en informatie die herleidbaar zijn tot identificatie van een persoon
- Tracking cookies altijd vermoeden van persoonsgegevens (Autoriteit Persoonsgegevens bepaalt)
- Praktijkgericht onderzoek makkelijk herleidbaar naar persoonsgegevens

Bescherming persoonlijke levenssfeer is een grondrecht. Dit recht is geregeld in:

- Artikel 10 lid 1 van de grondwet
- Artikel 8 van het Europees verdrag inzake de rechten van de mens en fundamentele vrijheden
(EVRM)
- Artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR)


Verwerking van gegevens volgens Wbp:

1. Informatieplicht
2. Doelbinding
3. Correctierecht
4. Beveiligingsplicht

General Data Protection Regulation of AVG:

- Verzameld voor specifiek, expliciet en legaal doel, en niet verder gebruikt voor andere doelen
- Adequaat, relevant en gelimiteerd tot wat nodig is
- Nauwkeurig en waar nodig up-to-date in een vorm die identificatie toestaat van data-onderwerpen
voor niet langer dan nodig is voor de doelen waarvoor de persoonlijke gegevens zijn verzameld.
- Bewerkt in een manier dat een geschikte manier van beveiliging verzekerd

Belangrijkste principes ten grondslag aan de AVG/General Data Protection Regulation (vervanging Europese
privacyrichtlijn 1995):

1. Einde maken aan gefragmenteerde privacyregels in Europa > meer eenheid in privacywetgeving
2. Gaat gelden voor allerlei grote bedrijven

,3 belangrijke veranderingen:

1. Privacy-autoriteiten mogen zeer hoge boetes geven aan bedrijven (niet veilig opslaan van
persoonsgegevens van klanten of per ongeluk lekken van gevoelige informatie over klanten. Een
dergelijk lek moet verplicht worden gemeld aan de Autoriteit Persoonsgegevens.
2. Bedrijven verplicht vaker intern onderzoek (bij grote dataverwerkingen in een keer, moet er gekeken
worden naar de risico’s in dit proces, bij grote bedrijven is de CPO (Chief Privacy Officer) verplicht
toezicht te houden op privacy-zaken binnen het bedrijf
3. Recht om vergeten te worden (Europese burgers het recht om online vergeten te worden, resultaten
onder bepaalde voorwaarden uit zoekmachines laten verwijderen).

Kinderen:

1. Specifieke bescherming > minder bewust van risico’s, gevolgen en waarborgen van rechten bij
verwerking
2. Geldt voornamelijk voor het gebruik van gegevens van kinderen voor marketingdoeleinden of voor
het opstellen van persoonlijkheids- of gebruikersprofielen. En het verzamelen van persoonsgegevens
over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten.
3. In de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden, is
de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet vereist.

In beginsel is het verwerken van ‘’ Bijzondere Persoonsgegevens ‘’ niet toegestaan:

Bijzondere persoonsgegevens = Gevoelige persoonsgegevens

Voorbeelden:

1. Godsdienst/levensovertuiging
2. Ras
3. Politieke gezindheid
4. Gezondheid
5. Seksueel leven
6. Lidmaatschap vakvereniging
7. Strafrechtelijke persoonsgegevens
8. Persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd
(straatverbod)

AVG:

- Ras, etnische afkomst
- Politieke opvattingen
- Religieuze of levensbeschouwelijke overtuigingen
- Lidmaatschap vakbond
- Genetische gegevens
- Biometrische gegevens (met oog op unieke identificatie persoon)
- Medische gegevens
- Seksueel gedrag

Zijn verboden

Uitzondering: Persoonsgegevens over strafrechtelijke veroordelingen en daarmee verband houdende
veiligheidsmaatregelen alleen verwerkt onder toezicht van de overheid.

,Artikel 24: Verantwoordelijkheden van de voor de verwerking verantwoordelijke

- Technische en organisatorische maatregelen nemen zodat verwerking in overeenstemming is met
verordening
- Aantonen passende maatregelen
- Maatregelen actualiseren
- Mits proportioneel in relatie tot verwerking, passend gegevensbeschermingsbeleid.
- Verwerking uitsluitend door verwerkers die afdoende garanties m.b.t. het toepassen van technische
en organisatorische maatregelen bieden zodat verwerking voldoet aan vereisten van verordening en
bescherming rechten betrokkene gewaarborgd.

Nederlandse toezichthouder: Autoriteit Persoonsgegevens

- Meldplicht, soms vrijstelling
- Nieuwsgaring en openbare ruimte > onbeperkt filmen en fotograferen zonder toestemming
- Portretrecht > alleen publiceren bij gevraagde fotografie

Tot 16 jaar geen gebruik en verwerking van persoonsgegevens van kinderen.

Het melden van een datalek aan de Autoriteit Persoonsgegevens:

1. Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp
2. Gegevens over financiele of economische situatie betrokkenen (schulden, salaris)
3. Gegevens die kunnen leiden tot stigmatisering of uitsluiting (gokverslaving, relatieproblemen)
4. Gebruikersnamen, wachtwoorden en inloggegevens
5. Gegevens die kunnen worden misbruikt voor identiteitsfraude (biometrische gegevens, kopie
identiteit, BSN, regels wanneer vragen naar kopie: in staat vals paspoort te herkennen en training,
verboden paspoort ergens achter te laten).

Het melden van een datalek aan betrokkenen:

1. Waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer
2. Daarbij moet u bijvoorbeeld denken aan onrechtmatige publicatie, aantasting in eer en goede
naam, identiteitsfraude of discriminatie
3. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kunt u er in principe van uitgaan dat u
het datalek niet alleen moet melden aan de Autoriteit Persoonsgegevens, maar ook aan de
betrokkene

AVG Datalekken:

- Inbreuk persoonsgegevens 72 uur na ontdekking door verwerkingsverantwoordelijke melden aan
bevoegde toezichthoudende autoriteit
- Tenzij inbreuk geen risico inhoudt voor rechten en vrijheden natuurlijke personen
- Niet binnen 72 uur > motivering voor vertraging

Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de
rechten en vrijheden van natuurlijke personen dan ook betrokkenen:

1. Altijd registreren
2. Risico’s melden
3. Hoge risico’s ook betrokkenen inlichten

,Het uitvoeren van Persoonsgegevens; geregeld in het Privacy Shield

Privacy shield = De EU-VS privacy-overeenkomst veronderstelt strengere verplichtingen op Amerikaanse
bedrijven in het beschermen van persoonlijke gegevens van Europese burgers.

- Overeenkomst over bescherming van persoonsgegevens van EU burgers die in de VS worden
verwerkt.
- Safe-harbor akkoord verouderd > Privacy shield akkoord
- Geen persoonsgegevens in Cloud
- Amerikaanse bedrijven kunnen een certificering indienen bij United States Department of Commerce
- Indien deze opgenomen wordt in hun privacy schild register, mogen Europese organisaties
persoonsgegevens uitwisselen.

Uitvoer van persoonsgegevens > alle landen gebonden aan de AVG.

- Persoonsgegevens mogen niet zomaar uit EER (EU + Noorwegen, Liechtenstein en IJsland).

A: Hier naar wel versturen > niveau van bescherming gelijk zijn

- Andere landen met passende bescherming

Andorra, Argentinië, Canada, Faeroer Eilanden, Guernsey, Isle of Man, Israel, Jersey, New-Zealand, Uruguay en
Zwitserland.

Vergelijkbare bescherming

Engelse definitie Privacy Shield:

‘’ Overdracht van persoonlijke data naar een derde land mag alleen plaatsvinden als het derde land in kwestie
een adequaat leven van bescherming kan garanderen ‘’.

‘’ De bescherming van persoonsgegevens door het Privacy Shield (persoonlijke levenssfeer beschermend) is van
toepassing op elk Europees gegevensonderwerp van wie persoonlijke gegevens zijn overgedragen van de EU
naar organisaties in de VS, waarbij zij zichzelf gecertificeerd hebben in overeenstemming met de principes van
het Department of Commerce ‘’

Aspecten Privacy Shield:

1. Notice (= opmerken)

2. Choice: Opt-out

- Aan kunnen geven dat iets niet mag
- Data aan derde partij vrijgesteld of hergebruiken ander doel
- Mogelijk maken dat mensen nee zeggen
- Met derde partijen data delen > aangeven.
- Normale gegevens = opt-out > betrokken niets doen om mee te doen, mogelijkheid ervan af te zien
- Bijzondere/gevoelige gegevens > opt-in > actief toestemming vragen.

3.Accountability for onward transfer (= verantwoording voor verdere doorgifte)

4. Security (= reasonable, redelijke beveiliging)

5. Data integrity and purpose limitation (= data integer, betrouwbaar en gelimiteerd tot bepaald doel)

6. Access (= recht op toegang, verwijdering en verbetering)

, 7. Recourse, Enforcement and Liability (= klachtenprocedure aanwezig, beroep, handhaving en
aansprakelijkheid).

Factsheet: Overzicht Europese Algemene Verordening Gegevensbescherming

* belangrijkste zaken uit de verordening

- Boete tot 20.000.000 of tot 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming,
afhankelijk van welk bedrag hoger is

4 Onderwerpen Factsheet:

1. Gegevens: Mag het?

2. Maintenance: Hoe ga je er mee om?

3. Organisatie: Hoe richt je de organisatie en processen in?

4. Communicatie: Hoe communiceer je erover?

Bepalingen Algemene verordening gegevensbescherming:

Mag het?

(1) Beginselen van toepassing op verwerking van persoonsgegevens


- Rechtmatigheid
- Eerlijkheid en transparantie
- Gespecificeerde expliciete en rechtmatige doelbinding
- Minimale gegevensverwerking en opslag
- Juistheid, doeltreffendheid, integriteit en verantwoordingsplicht


(2) Doorgifte van persoonsgegevens (Privacy Shield)

- Doorgifte buiten EU is slechts onder voorwaarden toegestaan.
- Multinationals kunnen bindende bedrijfsvoorschriften opstellen en door de nationale toezichthouder
laten goedkeuren

(3) Extra bescherming voor kinderen onder de 16 jaar

- Verwerking van persoonsgegevens van kinderen jonger dan 16 jaar is alleen toegestaan na
toestemming van een ouder of wettelijk vertegenwoordiger
- Organisaties moeten zich redelijk inspannen om de toestemming te controleren, met het oog op de
technische mogelijkheden hiervan.

(4) Uitzondering voor bepaalde doelen

- Historische, statistische of wetenschappelijke doeleinden zijn uitgezonderd

The benefits of buying summaries with Stuvia:

Guaranteed quality through customer reviews

Guaranteed quality through customer reviews

Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.

Quick and easy check-out

Quick and easy check-out

You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.

Focus on what matters

Focus on what matters

Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!

Frequently asked questions

What do I get when I buy this document?

You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.

Satisfaction guarantee: how does it work?

Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.

Who am I buying these notes from?

Stuvia is a marketplace, so you are not buying this document from us, but from seller lucasbonset. Stuvia facilitates payment to the seller.

Will I be stuck with a subscription?

No, you only buy these notes for $4.81. You're not tied to anything after your purchase.

Can Stuvia be trusted?

4.6 stars on Google & Trustpilot (+1000 reviews)

67474 documents were sold in the last 30 days

Founded in 2010, the go-to place to buy study notes for 14 years now

Start selling
$4.81  1x  sold
  • (2)
  Add to cart