Samenvatting
Samenvatting Informatieveiligheid Wetgeving/Vitale Infrastructuur
- Instelling
- Hogeschool Utrecht (HU)
Samenvatting alle tentamenstof week 4
[Meer zien]Voorbeeld 6 van de 21 pagina's
Voorbeeld 6 van de 21 pagina's
In winkelwagengesponsord bericht van onze partner
2 beoordelingen
Door: crvtje • 7 jaar geleden
Door: huykha10 • 7 jaar geleden
Voorbeeld van de inhoud
Kernpunten Informatieveiligheid week 4: Wetgeving en Vitale InfrastructuurCSBN 2016: H1 tot en met H6 : Zie kernpunten week 1
Wetgeving Informatieveiligheid: Privacybescherming
Er wordt dit jaar een nieuwe Europese regeling bescherming persoonsgegevens ingevoerd.
Vroeger: Wet bescherming persoonsgegevens
Nu: General Data Protection Regulation, Nederlands: Algemene Verordening Gegevensbescherming. (14 april
2016)
- Elke lidstaat eigen privacywetgeving, gebaseerd op Europese privacyrichtlijnen
- AVG > aparte richtlijn voor gegevensbescherming bij opsporing en vervolging
AVG:
1. Regelt hoe persoonlijke gegevens mogen worden opgeslagen en verwerkt
2. Nieuwe wet bescherming persoonsgegevens
3. Versterking/uitbreiding privacyrechten, meer verantwoordelijkheid organisaties, stevige
bevoegdheden toezichthouders.
Andere wetten:
1. Wet computercriminaliteit = regels over aftappen en afluisteren
2. Telecommunicatiewet = beschermen van elke digitale communicatie door burgers
3. Wet op inlichtingen- en veiligheidsdiensten = Regelt bijzondere bevoegdheden van geheime diensten
4. Briefgeheim uit de grondwet = bescherming poststukken tijdens transport
Oud: Wet bescherming persoonsgegevens gebaseerd op ‘ European Data Protection Directive (95/46/EC) ‘
Nieuw: ‘ General Data Protection Regulation gebaseerd op Algemene Verordening Gegevensbescherming.
Richtlijn en verordening:
1. Richtlijn/directive > niet omgezet te worden naar nationale wetgeving. Nederlandse wet van maken.
2. Verordening is bindend in alle lidstaten
Artikelen Wbp:
Wbp 6: Grondslag van de verwerking (ondubbelzinnige toestemming, uitvoering overeenkomst of
gerechtvaardigd belang (wel uitzonderingen, met toestemming)
Wbp 6: Behoorlijke en zorgvuldige gegevensverwerking
Wbp 7 : Uitdrukkelijk omschreven welbepaalde en gerechtvaardigde doeleinden
TW 11.7a: Terzake dienend, niet bovenmatig (datgene vragen wat je nodig hebt, per systeem aan voldoen)
TW 33 en 34: Informatieplicht (waarvoor gegevens gebruikt gaan worden)
,Informatieplicht > discussie privacy en informatieveiligheidswetgeving (nooit gevraagd aan gebruiker of
informatieplicht wordt toegepast).
Wet inlichtingen en veiligheidsdiensten:
- PIA = Privacy Impact Assessment
Niet-kabelgebonden communicatie (satelliet, radio) mag ongericht worden afgetapt, bij kabelgebonden
communicatie (koper, glasvezel) mag dat slechts gericht.
Doel: Voor zowel niet-kabelgebonden als kabelgebonden communicatie ongericht aftappen.
Persoonsgegevens = Alle gegevens die direct dan wel indirect tot identificatie van een persoon leiden.
Voorbeelden van persoonsgegevens:
1. Naam
2. Adres
3. BSN-nummer
4. Foto
5. IP-adres
6. Postcode/woonplaats
7. Telefoonnummers
- Kortom alle gegevens en informatie die herleidbaar zijn tot identificatie van een persoon
- Tracking cookies altijd vermoeden van persoonsgegevens (Autoriteit Persoonsgegevens bepaalt)
- Praktijkgericht onderzoek makkelijk herleidbaar naar persoonsgegevens
Bescherming persoonlijke levenssfeer is een grondrecht. Dit recht is geregeld in:
- Artikel 10 lid 1 van de grondwet
- Artikel 8 van het Europees verdrag inzake de rechten van de mens en fundamentele vrijheden
(EVRM)
- Artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR)
Verwerking van gegevens volgens Wbp:
1. Informatieplicht
2. Doelbinding
3. Correctierecht
4. Beveiligingsplicht
General Data Protection Regulation of AVG:
- Verzameld voor specifiek, expliciet en legaal doel, en niet verder gebruikt voor andere doelen
- Adequaat, relevant en gelimiteerd tot wat nodig is
- Nauwkeurig en waar nodig up-to-date in een vorm die identificatie toestaat van data-onderwerpen
voor niet langer dan nodig is voor de doelen waarvoor de persoonlijke gegevens zijn verzameld.
- Bewerkt in een manier dat een geschikte manier van beveiliging verzekerd
Belangrijkste principes ten grondslag aan de AVG/General Data Protection Regulation (vervanging Europese
privacyrichtlijn 1995):
1. Einde maken aan gefragmenteerde privacyregels in Europa > meer eenheid in privacywetgeving
2. Gaat gelden voor allerlei grote bedrijven
,3 belangrijke veranderingen:
1. Privacy-autoriteiten mogen zeer hoge boetes geven aan bedrijven (niet veilig opslaan van
persoonsgegevens van klanten of per ongeluk lekken van gevoelige informatie over klanten. Een
dergelijk lek moet verplicht worden gemeld aan de Autoriteit Persoonsgegevens.
2. Bedrijven verplicht vaker intern onderzoek (bij grote dataverwerkingen in een keer, moet er gekeken
worden naar de risico’s in dit proces, bij grote bedrijven is de CPO (Chief Privacy Officer) verplicht
toezicht te houden op privacy-zaken binnen het bedrijf
3. Recht om vergeten te worden (Europese burgers het recht om online vergeten te worden, resultaten
onder bepaalde voorwaarden uit zoekmachines laten verwijderen).
Kinderen:
1. Specifieke bescherming > minder bewust van risico’s, gevolgen en waarborgen van rechten bij
verwerking
2. Geldt voornamelijk voor het gebruik van gegevens van kinderen voor marketingdoeleinden of voor
het opstellen van persoonlijkheids- of gebruikersprofielen. En het verzamelen van persoonsgegevens
over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten.
3. In de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden, is
de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet vereist.
In beginsel is het verwerken van ‘’ Bijzondere Persoonsgegevens ‘’ niet toegestaan:
Bijzondere persoonsgegevens = Gevoelige persoonsgegevens
Voorbeelden:
1. Godsdienst/levensovertuiging
2. Ras
3. Politieke gezindheid
4. Gezondheid
5. Seksueel leven
6. Lidmaatschap vakvereniging
7. Strafrechtelijke persoonsgegevens
8. Persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd
(straatverbod)
AVG:
- Ras, etnische afkomst
- Politieke opvattingen
- Religieuze of levensbeschouwelijke overtuigingen
- Lidmaatschap vakbond
- Genetische gegevens
- Biometrische gegevens (met oog op unieke identificatie persoon)
- Medische gegevens
- Seksueel gedrag
Zijn verboden
Uitzondering: Persoonsgegevens over strafrechtelijke veroordelingen en daarmee verband houdende
veiligheidsmaatregelen alleen verwerkt onder toezicht van de overheid.
,Artikel 24: Verantwoordelijkheden van de voor de verwerking verantwoordelijke
- Technische en organisatorische maatregelen nemen zodat verwerking in overeenstemming is met
verordening
- Aantonen passende maatregelen
- Maatregelen actualiseren
- Mits proportioneel in relatie tot verwerking, passend gegevensbeschermingsbeleid.
- Verwerking uitsluitend door verwerkers die afdoende garanties m.b.t. het toepassen van technische
en organisatorische maatregelen bieden zodat verwerking voldoet aan vereisten van verordening en
bescherming rechten betrokkene gewaarborgd.
Nederlandse toezichthouder: Autoriteit Persoonsgegevens
- Meldplicht, soms vrijstelling
- Nieuwsgaring en openbare ruimte > onbeperkt filmen en fotograferen zonder toestemming
- Portretrecht > alleen publiceren bij gevraagde fotografie
Tot 16 jaar geen gebruik en verwerking van persoonsgegevens van kinderen.
Het melden van een datalek aan de Autoriteit Persoonsgegevens:
1. Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp
2. Gegevens over financiele of economische situatie betrokkenen (schulden, salaris)
3. Gegevens die kunnen leiden tot stigmatisering of uitsluiting (gokverslaving, relatieproblemen)
4. Gebruikersnamen, wachtwoorden en inloggegevens
5. Gegevens die kunnen worden misbruikt voor identiteitsfraude (biometrische gegevens, kopie
identiteit, BSN, regels wanneer vragen naar kopie: in staat vals paspoort te herkennen en training,
verboden paspoort ergens achter te laten).
Het melden van een datalek aan betrokkenen:
1. Waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer
2. Daarbij moet u bijvoorbeeld denken aan onrechtmatige publicatie, aantasting in eer en goede
naam, identiteitsfraude of discriminatie
3. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kunt u er in principe van uitgaan dat u
het datalek niet alleen moet melden aan de Autoriteit Persoonsgegevens, maar ook aan de
betrokkene
AVG Datalekken:
- Inbreuk persoonsgegevens 72 uur na ontdekking door verwerkingsverantwoordelijke melden aan
bevoegde toezichthoudende autoriteit
- Tenzij inbreuk geen risico inhoudt voor rechten en vrijheden natuurlijke personen
- Niet binnen 72 uur > motivering voor vertraging
Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de
rechten en vrijheden van natuurlijke personen dan ook betrokkenen:
1. Altijd registreren
2. Risico’s melden
3. Hoge risico’s ook betrokkenen inlichten
,Het uitvoeren van Persoonsgegevens; geregeld in het Privacy Shield
Privacy shield = De EU-VS privacy-overeenkomst veronderstelt strengere verplichtingen op Amerikaanse
bedrijven in het beschermen van persoonlijke gegevens van Europese burgers.
- Overeenkomst over bescherming van persoonsgegevens van EU burgers die in de VS worden
verwerkt.
- Safe-harbor akkoord verouderd > Privacy shield akkoord
- Geen persoonsgegevens in Cloud
- Amerikaanse bedrijven kunnen een certificering indienen bij United States Department of Commerce
- Indien deze opgenomen wordt in hun privacy schild register, mogen Europese organisaties
persoonsgegevens uitwisselen.
Uitvoer van persoonsgegevens > alle landen gebonden aan de AVG.
- Persoonsgegevens mogen niet zomaar uit EER (EU + Noorwegen, Liechtenstein en IJsland).
A: Hier naar wel versturen > niveau van bescherming gelijk zijn
- Andere landen met passende bescherming
Andorra, Argentinië, Canada, Faeroer Eilanden, Guernsey, Isle of Man, Israel, Jersey, New-Zealand, Uruguay en
Zwitserland.
Vergelijkbare bescherming
Engelse definitie Privacy Shield:
‘’ Overdracht van persoonlijke data naar een derde land mag alleen plaatsvinden als het derde land in kwestie
een adequaat leven van bescherming kan garanderen ‘’.
‘’ De bescherming van persoonsgegevens door het Privacy Shield (persoonlijke levenssfeer beschermend) is van
toepassing op elk Europees gegevensonderwerp van wie persoonlijke gegevens zijn overgedragen van de EU
naar organisaties in de VS, waarbij zij zichzelf gecertificeerd hebben in overeenstemming met de principes van
het Department of Commerce ‘’
Aspecten Privacy Shield:
1. Notice (= opmerken)
2. Choice: Opt-out
- Aan kunnen geven dat iets niet mag
- Data aan derde partij vrijgesteld of hergebruiken ander doel
- Mogelijk maken dat mensen nee zeggen
- Met derde partijen data delen > aangeven.
- Normale gegevens = opt-out > betrokken niets doen om mee te doen, mogelijkheid ervan af te zien
- Bijzondere/gevoelige gegevens > opt-in > actief toestemming vragen.
3.Accountability for onward transfer (= verantwoording voor verdere doorgifte)
4. Security (= reasonable, redelijke beveiliging)
5. Data integrity and purpose limitation (= data integer, betrouwbaar en gelimiteerd tot bepaald doel)
6. Access (= recht op toegang, verwijdering en verbetering)
, 7. Recourse, Enforcement and Liability (= klachtenprocedure aanwezig, beroep, handhaving en
aansprakelijkheid).
Factsheet: Overzicht Europese Algemene Verordening Gegevensbescherming
* belangrijkste zaken uit de verordening
- Boete tot 20.000.000 of tot 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming,
afhankelijk van welk bedrag hoger is
4 Onderwerpen Factsheet:
1. Gegevens: Mag het?
2. Maintenance: Hoe ga je er mee om?
3. Organisatie: Hoe richt je de organisatie en processen in?
4. Communicatie: Hoe communiceer je erover?
Bepalingen Algemene verordening gegevensbescherming:
Mag het?
(1) Beginselen van toepassing op verwerking van persoonsgegevens
- Rechtmatigheid
- Eerlijkheid en transparantie
- Gespecificeerde expliciete en rechtmatige doelbinding
- Minimale gegevensverwerking en opslag
- Juistheid, doeltreffendheid, integriteit en verantwoordingsplicht
(2) Doorgifte van persoonsgegevens (Privacy Shield)
- Doorgifte buiten EU is slechts onder voorwaarden toegestaan.
- Multinationals kunnen bindende bedrijfsvoorschriften opstellen en door de nationale toezichthouder
laten goedkeuren
(3) Extra bescherming voor kinderen onder de 16 jaar
- Verwerking van persoonsgegevens van kinderen jonger dan 16 jaar is alleen toegestaan na
toestemming van een ouder of wettelijk vertegenwoordiger
- Organisaties moeten zich redelijk inspannen om de toestemming te controleren, met het oog op de
technische mogelijkheden hiervan.
(4) Uitzondering voor bepaalde doelen
- Historische, statistische of wetenschappelijke doeleinden zijn uitgezonderd
Voordelen van het kopen van samenvattingen bij Stuvia op een rij:
Verzekerd van kwaliteit door reviews
Stuvia-klanten hebben meer dan 700.000 samenvattingen beoordeeld. Zo weet je zeker dat je de beste documenten koopt!
Snel en makkelijk kopen
Je betaalt supersnel en eenmalig met iDeal, creditcard of Stuvia-tegoed voor de samenvatting. Zonder lidmaatschap.
Focus op de essentie
Samenvattingen worden geschreven voor en door anderen. Daarom zijn de samenvattingen altijd betrouwbaar en actueel. Zo kom je snel tot de kern!
Veelgestelde vragen
Wat krijg ik als ik dit document koop?
Je krijgt een PDF, die direct beschikbaar is na je aankoop. Het gekochte document is altijd, overal en oneindig toegankelijk via je profiel.
Tevredenheidsgarantie: hoe werkt dat?
Onze tevredenheidsgarantie zorgt ervoor dat je altijd een studiedocument vindt dat goed bij je past. Je vult een formulier in en onze klantenservice regelt de rest.
Van wie koop ik deze samenvatting?
Stuvia is een marktplaats, je koop dit document dus niet van ons, maar van verkoper lucasbonset. Stuvia faciliteert de betaling aan de verkoper.
Zit ik meteen vast aan een abonnement?
Nee, je koopt alleen deze samenvatting voor €4,48. Je zit daarna nergens aan vast.
Is Stuvia te vertrouwen?
4,6 sterren op Google & Trustpilot (+1000 reviews)
Afgelopen 30 dagen zijn er 67474 samenvattingen verkocht
Opgericht in 2010, al 14 jaar dé plek om samenvattingen te kopen