Rina Steenkamp - Privacy en technologie
[Privacy Impact Assessment (PIA) - Introductie, handreiking en vragenlijst | 1-1-2 onder de loep - Een onderzoek naar de opbouw en organisatie van het alarmnummer en de storingen in 2012 | De aanhouder wint - De wereld van Advanced Persistent Threats | Wetsvoorstel aanpak computercriminaliteit | [Wetswijziging i.v.m.] fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnnen de overheid bekend zijnde gegevens | Donkere wolk - Continuïteitsrisico's in de cloud]
Methodische handreiking uitgegeven door NOREA.
Uit het Voorwoord:
"De PIA stimuleert organisaties om proactief na te denken over vragen als: Wat is de impact van het beoogde project op de privacy van de betrokkenen? Wat zijn de risico's voor de betrokkenen en voor de organisatie? Is een aanpak die minder gevolgen heeft voor de privacy ook mogelijk, gegeven de doelstellingen van het project? Na het uitvoeren van de PIA kan de 'verantwoordelijke' gerichte opdrachten geven aan degene die het product of de dienst verder ontwikkelt opdat maatwerk kan worden geleverd en wordt voorkomen dat in een later stadium kostbare aanpassingen nodig zijn."
Volledige tekst (link naar PDF op pagina):
Zie verder:
Een rapport van het Agentschap Telecom en de Inspectie Veiligheid en Justitie.
Uit 'Risico's in de 1-1-2 keten en voorbereiding op uitval':
"Om te betrouwbaarheid van het netwerk en de continuïteit van de dienstverlening te kunnen garanderen is het noodzakelijk zicht te hebben op de risico's in de 1-1-2 keten, zodat adequate maatregelen kunnen worden genomen om storingen en uitval te voorkomen. Uit het onderzoekt blijkt dat het ontbreekt aan een integrale risicoanalyse. De verschillende partijen hebben wel aandacht voor de risico's, maar zij concentreren zich hierbij vooral op de eigen rol en positie. [...] Voor wat betreft preventieve en impact beperkende maatregelen bestaat een zelfde beeld. Ook hier is het 'ieder voor zich'. Er is ook geen centrale regie op de continuïteit van 1-1-2 en gezamenlijke maatregelen om (majeure) bedreigingen tegen te gaan blijven achterwege. Hiermee is niet geborgd dat 1-1-2 voldoende weerbaar is gemaakt tegen (grootschalige) calamiteiten."
Volledige tekst (link naar PDF op pagina):
Zie verder:
Een factsheet van het NCSC.
Uit de tekst:
"Een Advanced Persistent Threat (APT) is de dreiging die uitgaat van een doelgerichte 'langdurige' cyberaanval op vooral kennisrijke landen en organisaties door statelijke actoren en criminele organisaties. De aanvaller is daarbij volhardend in zowel de pogingen om een organisatie binnen te dringen als ook om binnen de ICT-infrastructuur heimelijk aanwezig te blijven. Tijdens de APT-aanval zal de aanvaller vooral 'vertrouwelijke' informatie verzamelen en/of voorbereidingen treffen om werking van vitale componenten te kunnen verstoren. Het merendeel van deze aanvallen is eenvoudig van aard en vooral succesvol door het ontbreken, binnen organisaties, van adequate detectie en beveiligingsmaatregelen. In het Engels wordt deze dreiging 'Advanced Persistent Threat' (APT) genoemd. De indruk bestaat dat tegen doelgerichte aanvallen weinig maatregelen te nemen zijn. Dit is zeker niet het geval. Deze factsheet biedt, naast een analyse over APT-aanvallen, praktische handvatten om de bescherming tegen en detectie van deze aanvallen te verbeteren."
Volledige tekst (link naar PDF op pagina):
Zie verder:
Een wetsvoorstel van de minister van Veiligheid en Justitie.
Uit de Memorie van Toelichting:
"Dit wetsvoorstel beoogt het juridische instrumentarium voor de opsporing en vervolging van computercriminaliteit te verbeteren en te versterken. Het wetsvoorstel vormt een uitwerking van eerdere toezeggingen aan de Tweede Kamer alsmede van het in het regeerakkoord van dit kabinet opgenomen voornemen om de toenemende bedreigingen en kwetsbaarheden op het terrein van cybersecurity het hoofd te bieden door het juridisch instrumentarium aan te passen naar aanleiding van de ontwikkelingen op het gebied van de informatie- en communicatietechnologie (Bruggen slaan, Regeerakkoord VVD – PvdA, 29 oktober 2012, blz. 28). Daartoe wordt voorgesteld te komen tot uitbreiding van de strafvorderlijke bevoegdheden en van een aantal strafbepalingen."
Volledige tekst (links naar wetsvoorstel en memorie van toelichting op pagina):
Zie verder:
Een wetsvoorstel van de minister van Sociale Zaken en Werkgelegenheid.
Uit de Memorie van Toelichting:
"Uitgangspunt is dat wanneer burgers een beroep doen op de sociale zekerheid, zij wet- en regelgeving in acht nemen. Daarbij hoort een juiste opgave van de gegevens die nodig zijn om het uitkeringsrecht (en de uitkeringshoogte) blijvend te kunnen vaststellen. Als burgers niet voldoen aan hun informatieplicht, ontvangen zij onterecht een (te hoge) uitkering. Voor een rechtmatige uitvoering van de sociale zekerheid is het noodzakelijk dat er een adequate controle plaatsvindt op de juistheid en volledigheid van die gegevens. Een belangrijke manier om dit te bereiken – als burgers niet voldoen aan hun informatieplicht – is door gebruik te maken van gegevens die de overheid of andere organisaties met een publieke taak al beschikbaar hebben. De mogelijkheden van gegevensuitwisseling die kunnen bijdragen aan een rechtmatige en doelmatige uitvoering van de sociale zekerheid moeten daarom optimaal worden benut. [...] Daarnaast streeft het kabinet naar een éénmalige uitvraag van gegevens in de SUWI-keten. Gegevens die door de ene partij zijn uitgevraagd aan de burger of werkgever, mogen niet door een andere partij opnieuw worden gevraagd. Dit past in een bredere context waarin de overheid streeft naar het verbeteren van de dienstverlening aan burgers en werkgevers en op die wijze komt tot administratieve lastenvermindering. Hierbij is het principe van het éénmalig uitvragen van gegevens omarmd en wordt een stelsel van basisregistraties gerealiseerd waarin gegevens zijn opgenomen die overheidsorganisaties verplicht moeten gebruiken en niet nogmaals bij werkgevers en burgers mogen uitvragen. Op die wijze worden gegevens verder verwerkt. Dat kan in individuele gevallen met toestemming van de betrokken burger, maar dit is niet in alle gevallen mogelijk. In die gevallen dient het gebruik van de gegevens een wettelijke grondslag te hebben, zodat kenbaar is dat de gegevens verder worden gebruikt. Dit wetsvoorstel bevat de wettelijke regeling van gegevensuitwisselingen voor het verder verwerken van gegevens waarbij die expliciete toestemming niet voor de hand ligt."
Volledige tekst:
Zie verder:
Een artikel door Lex van Almelo.
Uit het artikel:
"Wat doe je als de cloud provider failliet gaat of er anderszins mee stopt? Kun je dan nog wel bij je gegevens? En hoe zorg je dan dat je kunt blijven doorwerken? In afwachting van wetgeving zoeken juristen de oplossing in goede contracten en een calamiteitenfondsje."
Volledige tekst (PDF):
Zie verder: