sislink13 - 20/6 - ronde 2 - privacy vandaag en morgen - alf moens
TRANSCRIPT
Privacy
Je mag alles van me weten...
SISlink'2013','Alf'Moens
2
Alf Moens
Security'Officer
! Voor%alle%werkmaatschappijen%van%SURF! Coördina<e%governance%en%compliance%voor%het%HO! Docent%Informa<ebeveiliging%Hogeschool%Utrecht! Security%Manager%TU%DelH%2003%!%2012
2
IB&P@SURF: SAFE
3
Externe partijen
Deelnemingen
SURF/SURFshare SURFnet SURFmarket Studielink
SURFsara
Studiekeuze123
Universiteiten Hogescholen UMC's Wetenschappe-lijke instellingen
CIOberaad
CvDUR SURFibo SCIRT
ICT & Onderwijs
ICT & Onderzoek
ICT & Bedrijfsvoering
Programma BIS
Taskforce Cloud
SURFcert
SURFworks
SURFnet/Kennisnet
Federatie/Conext
MBO's, bibliotheken,
overigen
eScience
COMIT
KAAIWO
Bestuurders
Overheid
SURF projecten
NCSC
SURFaudit
IBP @ SURF
Veilig Toetsen/Toetsinfrastructuur
SION
Kantoor
Cloud First
IDM
Privacy
Onderwijsidentiteit
DisseminatieDiensten
Software
Framework IB HO
BIG Dataspionage
Trainingen
netwerken
Internationaal
Cloud TF-csirtTerena
IBP @ SURF, versie 1.3, oktober 2012, Alf Moens
Stuurgroep Informatiebeveiliging & Privacy Hoger Onderwijs (IBHO)
CIO Platform / SIG / Bestuurscommissie
PvIB
Science
CPNI
PI.labRadboud
SANS
OCW CBP
GIGAport
Kennisnet
VU UvA
SURFshareCompliance
Privacy & juridischorganisatie
H-BOSS CVUAD
Wat'is'Privacy?
513
Je''mag'alles'van'me'weten.'
Ik'heb'toch'niks'te'verbergen.
Door'Sociale'Media'is'
er'geen'privacy'meer.
Quod'licet'Jovi,
Non'licet'bovi.
9
Dus...
! Alleen%de%context%veranderd
16
CBP publiceert Onderzoek Hogescholen
10
hLp://www.cbpweb.nl/Pages/pb_20130207,beveiliging,studentgegevens,
hogescholen.aspx
Waar gaan we het over hebben?
11
Onderzoek 2012
–'InformaRebeveiligingsbeleid
–'Logische'toegangsbeveiliging–'Cryptografische'beheersmaatregelen
–'Logging'en'Controle–'Beheer'van'informaRebeveiligingsincidneten
–'Audit'van'informaRebeveiliging
12
Compliance
–Beveiliging'van'persoonsgegevens'van'studenten–Conclusie:'Bij'het'onderzoek'naar'de'verwerking'van'persoonsgegevens'is'een'overtreding'van'arRkel'13'
Wbp'geconstateerd
–Art'13:'...'passende'technische'en'organisatorische'maatregelen'<..>'om'persoonsgegevens'te'beveiligen'
tegen'verlies'of'enige'vorm'van'onrechtmaRge'
verwerking
13
Bevindingen
–'Beveiligingsbeleid'–'Beheer'toegangsrechten'gebruikers–'Beoordeling'toegangsrechten–'Kwetsbaarheid'voor'XSS–'Logging'en'Controle–'Audit'informaRebeveiliging
–'“...in#strijd#met#ar,kel#13#Wbp...”
14
Waarom die Onderzoeken?
• CBP'ontvangt'signalen'en'klachten• CBP'ziet'dat'een'school'“in'opspraak”'raakt• CBP'bepaalt'eigen'agenda• HU:'kamervragen'(2011)
15
CBP onderzoeken 2012
• Onderzoek'naar'de'beveiliging'van'persoonsgegevens'van'studenten
• NAW'gegevens:'cat.'0
• Banknummer:'cat'1/2
• Studieresulaten:'cat.'2• Studievoortgangsverslagen:'cat.'3• BSN:'cat'3• Foto:'cat'2/3
16
CBP onderzoeken - chronologie
• jaarplan'2011:'CBP'kondigt'onderzoek'in'onderwijssector'aan
• April'2012:'HU'en'HAN'horen'dat'ze'onderzocht'gaan'worden
• juni'2012:'onderzoek• Oktober'2012:'rapportage'uitgesteld• December'2012:'voorlopige'bevindingen
• Februari'2013:'Eindrapport'(ook'op'cbpweb.nl)• Maart'2013:'CBP'publiceert'Richtsnoer
17
Vervolg CBP onderzoeken
• Brief'met'bevindingen'naar'minister'en'
onderwijsinspecRe
• Zeer'beperkte'reacRe'van'pers,'geen'reacRe'van'poliRek• Minister'reageert'met'“kennisname”'brief'en'verwijst'
naar'lopende'projecten'(OCW,IV)
• Na'OCW,IV'projecten'gaat'inspecRe'mogelijk'meer'
aandacht'besteden'aan'governance.
• Richtsnoer'CBP'opgenomen'in'Normenkader'
InformaRebeveiliging'Hoger'Onderwijs'(SURFaudit)
18
NSA-PRISM
19
20
EU Data Protection Directive
• Een'“DirecRve”'is'direct'geldend'in'alle'EU'landen• Aanscherping'bestaande'regels• Veel'verplichRngen'voor'bedrijven'en'organisaRes• Privacy'beleid• Privacy'Impact'Assessments
• Privacy'Officer'(>'50'mw)
• Meldplicht'Datalekken
• Aantoonbaar'beschermd
21
22
EU Data Protection Directive -2
• Vele'duizenden'amandementen
• Pogingen'om'regels'af'te'zwakken'ten'faveure'
van'bedrijfsleven
• Aandacht'gevraagd'voor'beperkingen'aan'wetenschappelijk'onderzoek
• Besluitvorming:'voorjaar'2014
• 2'jaar'om'er'aan'te'voldoen
• niet'wachten'tot'2016!
23
Normenkader 2013
24
Uitbreiding*2013*opb**richtsnoer*WBPUitbreiding*2013*opb**richtsnoer*WBP10.10 Logging'en'Controle
12.2 Correcte'verwerking'in'toepassingssystemen
12.6 Beheer'van'technische'kwetsbaarheden
6.1.5 Geheimhoudingsovereenkomsten
12.3 EncrypRe'en'hashing
9.2.6 Omgang'met'e,waste
15.2.1 Controle'op'naleving'binnen'de'organisaRe
15.2.2 Controle'op'technische'naleving
12.5.5 code'review
10.3.2 Test'van'nieuwe'en'gewijzigde'informaResystemen
Bij*cloud/uitbesteding:Bij*cloud/uitbesteding:
6.2.3 beveiligingseisen'in'bewerkersovereenkomst
7.2 differenRaRe'van'verwerkte'persoonsgegevens'(classificaRe)
10.2.2 controle'en'beoordeling'van'dienstverlening
13.1.2 Beoordeling'en'apandeling'van'incidenten'en'lekken
10.2.3 beheer'van'wijzigingen'in'de'dienstverlening
Project*Regie*in*de*CloudreferenRe'Architectuur
ClassificaRe'van'gegevens
Juridisch'Normenkader
SIG*Digitale*RechtenKennisbank
Vraagbaak
SURFacademy:*Privacy*CurriculumIntroducRe'Europese'richtlijn'3'sep.
Privacy'impact'Assessments
Privacy'Beleid
Impact'wetenschappelijk'Onderzoek
SURFiboLeidraad'Privacy'beleid
Leidraad'Privacy'Impact'Assessment
SURF:*Rapporten*en*papersPatriot'Act'en'FISA
Uitspraak'CBP'over'cloud
Persoonsgegevens'in'Botnets
AuthenRcaRe'voor'informaResystemen
SURFnet/SURFconextStep,up'AuthenRcaRe'(as,a,service)
Alf'Moens