Privacy

Koekje erbij?

| 22-06-2011

Gisteren heeft de Tweede Kamer in een rommelig verlopen stemming ingestemd met een wijziging van de Telecommunicatiewet die leidt tot implementatie van de Europese kaderrichtlijn Telecommunicatie. Twee onderdelen daarvan, netneutraliteit en cookies hebben de pennen de afgelopen tijd beroerd. Over netneutraliteit heeft Rob van den Hoven van Genderen al geschreven, het staat buiten kijf dat dit goed is, juist voor innovatieve ondernemers die op basis van SaaS-verdienmodellen werken. Maar die cookies, wat moet daar nu van gedacht worden?

Hoe houd ik grip op mijn bedrijfsgegevens in de cloud? | Seminar 23 juni a.s.

| 09-06-2011

Op 23 Juni organiseert Mitopics in samenwerking met IDentity.Next dit (mini-)seminar. Hierin worden de resultaten van ons onderzoek naar cloud computing gepresenteerd. U krijgt antwoord op één van de belangrijkste vragen rondom de cloud: hoe houd ik grip op mijn bedrijfsgegevens in de cloud?

In de praktijk merken we bijvoorbeeld dat organisaties niet hebben nagedacht over de daadwerkelijke locatie van de server waarop de bedrijfsgegevens staan, terwijl de eisen die de organisatie of de wetgeving in het betreffende land stelt aan beveiliging van privacygevoelige gegevens niet passen. Daarnaast stellen organisaties ons de vraag wat ze moeten doen wanneer dienstenleverancier failliet gaat, terwijl de bedrijfsgegevens nog in de cloud staan. Dit zijn voorbeelden waarvoor u  maatregelen kunt treffen die ervoor zorgen dat deze risico’ s geborgd zijn. We delen deze kennis en ervaring tijdens het mini-seminar waardoor u voorbereid bent voor de overstap naar de cloud.

Waarover wilt u het graag nog meer hebben tijdens dit seminar? Breng hier uw stem uit: http://linkd.in/jg6Ab0

Registreren?  Klik hier!

Meedoen aan het onderzoek? Klik hier!

Agenda

13.30 – 14.00 Inloop

14.00 – 14.10  Opening

14.10 – 14.40 Uitkomst onderzoek ‘Zwevend de hemel in of zwervend de weg kwijt?

Over welke vragen maakt de afnemer van clouddiensten zich zorgen en wat wordt er in de praktijk geregeld? Van de survey en de discussie tijdens het mini-event zal een rapport verschijnen. Dit rapport zal naast een whitepaper over de terminologie ook informatie bevatten over de valkuilen, privacy-aandachtspunten, risico’s t.a.v. de grip op uw bedrijfsgegevens en de te nemen maatregelen bij het aanschaffen en beheren van cloudproducten. Dit rapport wordt kosteloos toegezonden aan degene die meedoen aan de survey, doe dus mee en beantwoord de vragen van dit onderzoek.

14.40 – 15.10 Een kijkje onder de motorkap: hoe hou je grip op bedrijfsgegevens in de cloud?

Alan Steele Nicholson zal dieper ingaan op de valkuilen en best practices voor het behouden van de regie over uw data in de cloud.

15.10 – 15.25 Break/netwerken/twitteren #cloudwijzer

Korte break voor netwerken tussen deelnemers

15.25 – 16.30 Paneldiscussie

o.a. Willem Guensberg (IT advisor Cloud Computing Specialist), Alan Steele Nicholson (IT Outsourcing  en Cloud specialist)
U kunt uw technische, bedrijfskundige of juridische vragen zowel op voorhand of tijdens het event via Twitter (#cloudwijzer), e-mail of andere kanalen aan ons stellen. Zo vult u zelf een deel van het interactieve programma. Laat u verrassen door vragen en antwoorden, waar u zelf misschien nog niet eens aan had gedacht en doe er uw voordeel ermee!

16.30 – 17.30 Afsluiting: Netwerkborrel

Voor wie?

De zakelijke consument: afnemers van clouddiensten of organisaties die de overstap naar de cloud overwegen.

Waar?

Locatie Mitopics te Gouda. U ontvangt een bevestiging en routebeschrijving na aanmelding.

Meer informatie

Voor meer informatie kunt u zich richten tot Eva Kassenaar (Mitopics) of Robert Garskamp (IDentity.Next)

Doe-het-zelf contracteren in de cloud: juridisch mijnenveld? Kom naar Cloud Forum 2011 Spring Edition

| 16-05-2011

Op 18 mei aanstaande vindt het Cloud Forum 2010 plaats in Media Plaza, Utrecht. Cloud Forum is hét cloud computing event van Nederland. Het congres biedt u de mogelijkheid alle informatie te verzamelen die u nodig heeft. 30 tot 40 IT-leveranciers delen hun expertise met u.

Deep Packet Inspection of Deep Pocket Inspection? Hoe diep duikt KPN in de privacy van de gebruiker?

| 13-05-2011

Er is geen blog of krant die geen aandacht geeft aan de uitglijder van de directeur van KPN Mobiel Marco Visser die, om investeerders aan te trekken, heeft gegeven dat KPN al tijden gebruik maakt van Deep Packet Inspection (DPI). Waarom zou dat investeerders trekken?

Workshop SLA in de Cloud | 6 april 2011

| 24-03-2011

Op 6 april aanstaande organiseert Heliview samen met Mitopics de workshop SLA in de Cloud. Tijdens de uiterst succesvolle “uitverkochte” eerste editie van Cloud Forum in november 2010 (400 bezoekers) was er veel belangstelling voor het regelen van afspraken met de leverancier, aanbieders van clouddiensten, onder andere tijdens de Mitopics workshop ‘Van de regen in de drup‘.

Professionalisering van privacy in organisaties

| 22-11-2010

Nu steeds meer organisaties zich bewust worden van privacyvraagstukken rijst voor velen van hen de vraag wat privacywetgeving voor hun organisatie betekent. Vanuit verschillende hoeken zijn wij benaderd voor een visie. Hiertoe hebben wij een model ontwikkeld om inzicht te geven in deze vraagstukken.

Privacyregelgeving is vanwege de vele en snelle technische ontwikkelingen techniekonafhankelijk geformuleerd. Dit heeft voor veel organisaties die serieus bezig zijn met privacy tot gevolg dat zij zich geconfronteerd zien met veel ‘open’ normen die vaak lastig te doorgronden zijn. Wanneer in wetgeving open normen worden gebruikt is het vaak complex om vast te stellen of een organisatie voldoet aan deze wet- en regelgeving.

Privacyvraagstukken zijn voor organisaties veel meer dan een louter juridisch vraagstuk. Zij raken ook de werkprocessen, de externe relaties, beheersing en de cultuur. Zo kan de technische beveiliging zowel in theorie als in de praktijk optimaal zijn, maar wanneer iemand zijn wachtwoord op een memobriefje aan zijn beeldscherm hangt of collega’s hun wachtwoorden uitwisselen, voldoet men de facto niet aan de beveiligingseisen en zijn daarom privacyproblemen te verwachten. Vanwege de complexiteit van een dergelijk vraagstuk is een multidisciplinaire benadering wenselijk. Te meer omdat het zowel in theorie als in de praktijk neer komt op een combinatie van aspecten op gebied van regelgeving, techniek, management van en cultuur binnen de organisatie. Aspecten van verandermanagement voor het aanpassen van de organisatie op de privacyregelgeving vervullen daarin een rol van belang. In de praktijk betekent die aanpassing immers veelal dat organisaties hun werkwijzen in het kader van privacy verder moeten professionaliseren.

Onlangs publiceerde T. Bosselaers samen met enkele collega’s hierover een artikel in het tijdschrift Privacy en Informatie (P&I oktober 2010) waarin wij nader ingaan op deze problematiek. Allereerst gaan wij in op de vraag wat privacy(-wetgeving) voor een organisatie betekent en welke vragen daarbij een rol spelen. Daarna presenteren we een volwassenheidsmodel op basis waarvan organisaties op zoek kunnen gaan naar antwoorden op professionaliseringsvragen als: waar sta ik, waar wil ik naar toe en hoe kom ik daar? Het model wordt vervolgens ter verduidelijking toegepast op een casus. Op ons weblog kunt u meer artikelen verwachten over dit thema.

Risico’s bij gebruik van P3P Privacy Policies in Nederland

| 17-11-2010

Een klant vroeg mij: “Onze applicatie maakt gebruik van P3P Privacy Policy en we willen een algemene policy van P3P hanteren. Zijn er nog risico’s of andere aandachtspunten verbonden aan het gebruik van P3P Privacy Policies in Nederland?”

NEN 7510, wie niet volgt is gezien? De hantering van de norm in de zorgsector

| 17-11-2010

De beveiliging van persoonsgegevens in de zorgsector is een gevoelig punt en vraagt om specifieke benadering van de vereisten tot beveiliging. De complexiteit van informatiebeveiliging in de zorgsector door het grote aantal partijen en disciplines en netwerken van zorginstellingen is groot. Al die activiteiten van belanghebbenden bij het verzamelen, opslaan, verwerken en transporteren, betreffen vaak bijzonder gevoelige gegevens die vragen om een adequate beveiliging. De NEN 7510  norm voor de zorg geeft een aantal organisatorische en fysieke beveiligingseisen die hier behulpzaam kunnen zijn. De vraag is hoe dwingend de in de norm vastgelegde eisen zijn.

Cloud computing: David en Goliath

| 06-09-2010

Sommige cloud computing-leveranciers behandelen, als waren zij een moderne Goliath, hun wederpartij als dwergen. Betekent dit dat een kleine ‘David’ elk contractsvoorstel dat zo een Goliath hem voorlegt, moet accepteren? In dit artikel wordt een recent cloudcontract bekeken waarbij twee ‘reuzen’ een overeenkomst hebben gesloten die onderhandelingsmogelijkheden toont die David misschien nog niet had gezien (of had mogen zien). Deze mogelijkheden zouden David nieuwe inzichten kunnen geven voor als hij zich in de cloud waagt, of hij nu een contract sluit met Goliath of met zijn vriendelijke cloudleverancier verderop in de straat.

Cloud Computing in trouble door privacy?

| 01-07-2010

Op de halfjaarlijkse ledenvergadering van Nederlandse Vereniging voor Informatietechnologie en Recht (NVvIR) werd het thema Cloud Computing besproken. Een aantal sprekers bogen zich over de verschillende technische, ethische en juridische aspecten rondom dit onderwerp. Ik heb er een tal van lessen uit getrokken en die wil ik graag met jullie delen.

ICT in de zorg en het beroepsgeheim bijten elkaar

| 24-06-2010

Bij Saas (Software as a Service) gaat het om het op afstand ter beschikking stellen van bepaalde functionaliteit. In de laatste nieuwsbrief van het Cbp vraagt het Cbp zich af of de privacy bij het gebruik van SaaS in de zorg voldoende gewaarborgd is.

Artikel 7:457 BW gaat over het beroepsgeheim van de arts. Hierin is bepaald dat de arts geen inlichtingen mag geven over een patiënt aan een ander. Hier zijn een aantal uitzonderingen op namelijk: degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst, als de patiënt daar toestemming voor heeft gegeven of als iemand belast is met het feitelijke beheer van het patiëntdossier. Het Cbp wil deze onduidelijkheid oplossen door nieuwe regels op te leggen aan de zorgsector.

SaaS kan het op afstand ter beschikking stellen van patiëntengegevens inhouden. Hierbij kan het voorkomen dat de SaaS-leverancier in de gegevens kijkt van de patiënt. Het is maar de vraag in hoeverre dit valt onder het belast zijn met het feitelijke beheer van het patiëntdossier.  Bij SaaS gaat het niet uitsluitend om de beveiliging van persoonsgegevens, maar ook over het te allen tijden ter beschikking stellen van de persoonsgegevens aan de arts en het beroepsgeheim van de arts.

Het Cbp is van mening dat de onduidelijkheid rondom het beroepsgeheim en het gebruik van SaaS opgelost moet worden door nieuwe regelgeving of zelfregulering. De veilige en discrete verwerking van de persoonsgegevens door de SaaS-leverancier kan door middel van waarborgen in het contract worden opgelost. Anders dan het Cbp ben ik van mening dat nog verdere juridisering van de zorg niet de oplossing is. Daarnaast moeten artsen niet onnodig bang gemaakt worden voor het gebruik van ICT-diensten als SaaS. Deze diensten kunnen leiden tot het efficiënter werken van de huisarts en tot kostenbesparingen. De beveiliging van de gegevens en het te alle tijden kunnen inzien van de gegevens evenals de geheimhouding kan door middel van een aantal artikelen in de overeenkomst worden opgelost, waaronder de garantie dat de SaaS-leverancier NEN 7510/7511 of 7512 gecertificeerd blijft.

Mocht u meer willen weten over het goed waarborgen van privacy in de zorg met betrekking tot SaaS neem dan contact op met Carolien Jobse.

Gone Google: computing in the cloud. Een kwestie van vertrouwen?

| 18-03-2010

Recent woonde ik een gecombineerde netwerkbijeenkomst van Software~VOC en SaaS~Cloud Netwerk met het thema “ICT 2010 – 2020 en de visie hierop van Microsoft, Google en Gartner” bij waar vele ICT-professionals aanwezig waren die zich wilden laten voorlichten over de betekenis van SaaS, PaaS en Cloud computing voor hun (toekomstige) bedrijfsvoering.

Ik bespreek graag een aantal interessante zaken met u.