Note-to-self: MNM van KSZ (Minimale normen – Sociale Zekerheid)

Minimale Normen / Normes Minimales van de KSZ (Kruispuntbank van de Sociale Zekerheid) gebaseerd op de ISO27001/ISO27002

“De toepassing van de minimale normen informatieveiligheid en privacy is verplicht voor instellingen van sociale zekerheid overeenkomstig artikel 2, eerste lid, 2° van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid (KSZ). Bovendien moeten de minimale normen informatieveiligheid en privacy eveneens toegepast worden door alle organisaties die deel uitmaken van het netwerk van de sociale zekerheid overeenkomstig artikel 18 van deze wet. Tenslotte kan het sectoraal comité van de sociale zekerheid en van de gezondheid de naleving van de minimale normen informatieveiligheid en privacy ook opleggen aan andere instanties dan de hogervermelde.  ”

Bookmark:

(NL) https://www.ksz-bcss.fgov.be/nl/gegevensbescherming/informatieveiligheidsbeleid

(FR) https://www.ksz-bcss.fgov.be/fr/protection-des-donnees/politique-de-securite-de-linformation

(edit)

Opmerking: voor alle duidelijkheid, op zich zijn deze documenten geen nieuwigheid maar buiten de SZ zijn deze normen minder gekend… vandaar dat het toch nuttig is om ze bij te houden als geheugensteun en referentie. Je komt er sneller mee in contact als je denkt…

Privatum – Privacy After Work (2020-02-06 collaterals)

OP 6 feb jongstleden, presenteerde ik een sessie bij Privatum, voor hun avondsessies van  “Privacy After Work”.

Dat is een lichte, interessante aanpak om mensen bij elkaar te brengen ivm privacy en gegevensbescherming, dus  ideaal voor netwerking en interessante dingen te leren.

Meer info hier: https://www.privatum.be/privacy-after-work-2/

Hieronder vind je een overzicht van de links en URLs waar ik naar verwees tijdens de sessie.

De handouts van de sessie vind je op SlideShare:

Slide 10; de ISO27701 bouwstenen:

 

Slide 11: (*) Gratis downloads

• Gratis ISO Standaarden : http://ffwd2.me/FreeISO
• Download GDPR: http://ffwd2.me/GDPR
• NIST.SP.800-61r2 (Computer Security Incident Handling Guide) (*):  https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
• NIST Risk management Framework (*) : https://csrc.nist.gov/projects/risk-management/risk-management-framework-(RMF)-Overview
• NIST Privacy framework: https://www.nist.gov/privacy-framework

Slide 21

Uitgebreide ISO27701 mapping met GDPR in XLS formaat (wat handiger)

https://github.com/PeterGeelen/ISO27701Collaterals

Direct links

Extended mapping

https://github.com/PeterGeelen/ISO27701Collaterals/blob/master/20200129%20PECB%20ISO27701%20vs%20GDPR%20-%20extended%20mapping.xlsx?raw=true

Handy mapping

https://github.com/PeterGeelen/ISO27701Collaterals/blob/master/20200129%20PECB%20ISO27701%20vs%20GDPR%20-%20handy%20mapping.xlsx?raw=true

Slide 52

Meer info: https://identityunderground.wordpress.com/2017/11/06/note-to-self-iso27001-iso27002-downloads-tools/

http://www.iso27001security.com/html/toolkit.html

GDPR-ISO27k mapping:  http://www.iso27001security.com/ISO27k_GDPR_mapping_release_1.docx

Meer info over de ISO27701, incl webinars & LinkedIn articles met Q&A

https://www.linkedin.com/in/pgeelen/detail/recent-activity/posts/

Interessante update:

Microsoft heeft een open-source mapping gepubliceerd tussen de controles in ISO / IEC 27701 (de nieuwe uitbreiding van de gegevensbescherming van ISO 27001 en 27002) en verschillende wettelijke regels, waaronder de GDPR (Europese Unie).
Het project bevat een Excel-bestand met de onbewerkte gegevens: zie https://github.com/microsoft/data-protection-mapping-project/raw/master/src/assets/database.xlsx

De directe link naar het volledige open source-project zelf is: https://github.com/microsoft/data-protection-mapping-project

Note-to-self: 2019 …cost of a data breach…

Many InfoSec and data protection or privacy courses reference 3 authoritative yearly reports that show interesting numbers, statistics and trends about breaches year over year.

And these are extremely useful to talk about to your management…

Interesting to know they all have been updated for 2019.

1. Verizon DBIR

(The Verizon Data breach Investigations Report, DBIR)

https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf (click the view only option)

2. IBM-Ponemon – Cost of a data breach report 2019

https://www.ibm.com/downloads/cas/ZBZLY7KL

(You can always use the official link and give away your privacy…at https://www.ibm.com/security/data-breach)

3. IAPP-EY Annual Governance Report 2019

(IAPP members get it for free)

Hint: the IAPP link below also shows reports of previous years.

https://iapp.org/resources/article/iapp-ey-annual-governance-report-2019/

V2018 also available from the EY website: https://assets.ey.com/content/dam/ey-sites/ey-com/en_gl/topics/financial-services/ey-iapp-ey-annual-privacy-gov-report-2018.pdf

Privacy Life-Hack: het omzeilen van de registratie-walls voor “gratis” downloads. Betaal niet met jouw persoonlijke gegevens.

Wanneer was jouw laatste download van een “gratis” paper, een “gratis” eBook, of een “gratis” aangeboden document… terwijl in feite deze download werd verborgen achter een “privacy wall” of “registratie wall”?

Het is een veel voorkomende praktijk van commerciële bedrijven om jouw contactgegevens te verzamelen voor het opbouwen van hun prospectendatabase of erger (alleen de verkoop van jouw gegevens).

Met de term “Privacy Wall” , “Free Registration Wall” of “consent wall”, verwijs ik naar het equivalent van een “pay wall” wanneer je moet betalen voor toegang tot inhoud. Met een “Privacy Wall“, in plaats van geld te moeten betalen, vereist de provider dat jij je ‘gratis’ registreert om toegang te krijgen tot hun inhoud.

In dat opzicht betaal je in feite met jouw persoonsgegevens.

Onthoud: niets is gratis. Zoals ze in het Engels zeggen “There ain’t no such thing as a free lunch” (eh… Download).

Voordat ik in detail inga op het omzeilen van “Privacy Walls“, zijn er toch een paar opmerkingen over de legitimiteit van deze “Privacy Walls“.

Als je niet geïnteresseerd bent in de achtergrondinformatie, kan je direct naar de privacy life-hack sectie beneden kijken.

Welke gegevens zijn er eigenlijk nodig voor een gratis download?

Echt gratis download

In het kort, technisch gezien heb je geen persoonlijke gegevens nodig om een gratis download te laten werken. Geen! Publiceer het gewoon online en geef de URL aan iedereen.

Beveiligde Download

Maar, wat als…

• je de download wilt aanbieden voor geregistreerde leden (Ref. gerechtvaardigd belang), of
• het document wil beveiligen met Digital Rights Management (dat een unieke identitier of mail nodig heeft) en een persoonlijke download link naar de aanvrager wil sturen, of
• je een digitaal watermerk met gebruikers-id wil toepassen?

…dan is het volkomen zinvol om het e-mailadres te registreren of op te vragen…
(Maar nog steeds onder AVG Art. 13 of soortgelijke wetgeving).

In de praktijk, het echte leven: het verzamelen van jouw persoonlijke gegevens voor commerciële doeleinden…

… veel commerciële of marketing bedrijven vereisen (of dwingen) je om een uitgebreide of volledige set van persoonlijke gegevens in te vullen als voorwaarde om te downloaden… dat is absoluut niet relevant voor de download zelf. Maar het kan zinvol zijn om hun commerciële redenen en dat vertellen ze je (niet) … (Opnieuw: AVG Art. 13)

Juridische overwegingen

Allereerst is het belangrijk om te begrijpen dat in de meeste gevallen wel het legitiem is om contactgegevens te vragen, maar met een grote dubbele als voorwaarde…

Je zou legitiem belang kunnen overwegen om persoonlijke gegevens te verzamelen of de gebruikelijke toestemming van de downloader. (Ik laat de andere 4 AVG opties buiten het bereik voor dit artikel, om het simpel te houden.)

Als AVG van toepassing is (je weet: mensen in de EU,.. enzovoort) en als een verwerker persoonlijke gegevens op vraagt, moet deze voldoen aan AVG Art. 13 die bepaalt dat “informatie moet worden verstrekt wanneer persoonsgegevens worden verzameld van betrokkene “. Dit betekent dat de verwerkingsverantwoordelijke moet uitleggen welke gegevens zij verzamelen, doeleinden van verwerking, contactgegevens van de verwerkingsverantwoordelijke,…en meer.

Dat is waar het in de praktijk vaak fout gaat, de GDPR wordt (nog steeds) niet correct toegepast.

Als je bijvoorbeeld niet de vereiste privacyverklaring opgeeft op het moment van verzamelen, geraak je in de problemen, zoals bijvoorbeeld:

Als AVG niet van toepassing is, controleer dan best ook andere wetgeving die van toepassing is zoals e-commerce of eCommunication bescherming. Er is een grote kans dat andere soortgelijke wettelijke regels van toepassing zijn, vergelijkbaar met de eerder genoemde AVG-vereisten.

Wat het geval ook is, je kan jouw persoonlijke gegevens beter zelf beschermen.

Hoe kan je jouw persoonsgegevens beschermen met betrekking tot gratis downloads? Voordat ik die vraag kan beantwoorden, moet je de volgende vraag beantwoorden.

Wat wil je betalen voor een gratis download?

Sta mij toe om Matthias Dobbelaere-welvaert te citeren uit een televisie-uitzending van VIER (trafiek Axel- aflevering 6, Axel Estate een identiteit),

Korte versie via Matthias’ tweet:

'Als ik uw identiteit in handen heb, dan is uw leven voorbij'.

Intense aflevering over identiteitsdiefstal (ooit nog mijn thesisonderwerp in 2010) in Trafiek Axel @opVIER. Bekijk de volledige aflevering via https://t.co/FMLMKOOu9O. pic.twitter.com/sfz053FKN3

— Matthias Dobbelaere-Welvaert (@deJuristen) March 28, 2019

“/.. /Wat je eigenlijk moet denken, elke keer dat je een stukje van je privacy afgeeft,… moet je eigenlijk denken dat je 50 euro afgeeft, … Daar kan geld mee verdiend worden . /.. /”

Belangrijke opmerking: deze uitzending op vier, zit ook achter een registratie wall (!) …

Wil je betalen met persoonsgegevens (€50 €… KA-CHING!) voor een gratis download?

Wil je betalen met persoonsgegevens (… nog eens €50) voor bijna 50′ van hoge kwaliteit televisie over diefstal van persoonlijke gegevens…? Het is aan jou om te beslissen. Ik weet het al.

Maar… gelieve te beseffen dat in veel gevallen deze verplichte registratie (“privacy Wall”) voor gratis downloads gewoon NEP is.

Ik bedoel, alleen bedoeld om jouw persoonlijke gegevens te verzamelen, en na registratie krijg je toegang tot een openbaar, daadwerkelijk gratis download.

Als je het op voorhand wist, zou je niet registreren om toegang te krijgen. Omdat het ook niet hoeft, in de meeste gevallen.

Ik wil de voorbeelden hier niet noemen en de schuld geven, maar het kost weinig tijd om de voorbeelden op mijn LinkedIn-tijdlijn te vinden… het is heel gemakkelijk om deze voorbeelden elders op het Internet te vinden.

De privacy life-hack voor “gratis” downloads

In veel gevallen kan je de gratis download uitvoeren zonder jouw persoonlijke gegevens te gebruiken. Het probleem: je weet dat alleen na registratie. Dus…

Optie 1: gebruik een wegwerp mailadres om toegang te krijgen tot de daadwerkelijke gratis openbare link

Zoek op internet naar ‘temporary email‘ of ‘ anonymous email ‘, er zijn veel diensten die je toelaten om een wegwerp mailadres te gebruiken (zoals temp, getnada,… en mijn favoriete mailinator).

Geef ook dummy persoonlijke gegevens in, zoals voornaam, achternaam en adres…

Voordeel: snel, eenvoudig, geen gedoe, geen spam. “Hit and run”, klaar.

Nadeel (beperkt): veel gratis download providers blokkeren deze gekende anonieme mails. Anonieme mail is niet altijd bruikbaar.

Alternatief: Probeer een andere temp mailprovider of schakel over naar optie 2.

Optie 2: Activeer jouw eigen tijdelijke e-mailadres en schakel het opnieuw uit na het downloaden

Registreer je eigen internetdomein, voor een paar dollar per jaar. Vervolgens beheert je je eigen e-mail aliassen of e-mail doorstuurservers.

Je maakt gewoon een download alias zoals Download@yourveryshortdomain.root, Activeer het voor download, Download en deactiveer het na het downloaden. Gedaan.

Voordeel: snel, eenvoudig, geen spam, je hebt de controle.

Nadeel: je moet een paar dollar per jaar doorbrengen. (ongeveer 10 EUR/yr)

Alternatief: vast gratis e-mailadres…

Optie 3: gebruik een apart, gratis e-mailadres voor de downloads

Hotmail, Outlook.com, Gmail,… noem het gewoon.

Voordeel: gescheiden van jouw reguliere post

NADEEL (MAJOR): je krijgt nog steeds de spam en marketing die je niet wil. Je moet jouw registratie annuleren. Ze misbruiken nog steeds jouw persoonlijke gegevens.

Conclusie & tips

Denk eerst hard na of je wil betalen met jouw persoonlijke gegevens (echt?)

Houd er rekening mee: 50 EUR voor een “gratis” Download??!! (Standaardantwoord is Nee!)

1. Indien nee, registreer met allemaal dummy gegevens
2. Zo ja, registreer met minimale persoonsgegevens

TIP: gebruik alle dummy gegevens als persoonsgegevens irrelevant zijn

TIP: gebruik een wegwerp-, tijdelijk, anoniem e-mailadres, Download en dan verdwijnen.

TIP: Voeg alleen absoluut noodzakelijke persoonlijke gegevens toe, niets meer.

TIP: Maak de registratie zo snel mogelijk ongedaan (indien van toepassing)

TIP: beheer jouw e-mailadres en-profielen (een wachtwoord-beheersapplicatie kan je helpen). Controleer ze een paar keer per jaar. Ruim ze op, waar mogelijk.

RGPD, GDPR, AVG, … et les jeux de mots linguistiques… ou confusions?

Au niveau de RGPD (réf. Art. 5.2), il y a une différence importante pour les francophones et les anglophones.
Téléchargez les versions ici: https://ffwd2.me/gdpr

 

Le GDPR en anglais, fait référence à “accountability”

Le RGPD (FR) parle de « responsabilité » (personnel) seulement.

 

En fait, “accountability” (EN) = rendre compte (FR)

Mais “responsability” en anglais est aussi traduit en “responsabilité” (général) en français.

Pour la bonne compréhension, il est important de savoir qu’il y a une différence.

 

“accountability” en anglais,

• veut dire “responsabilité personnel/individuelle”, rendre compte
• s’applique typiquement
  • sur 1 personne,
  • Après les faits
• Réf. au tribunal/juge

“responsability” en anglais,

• Veut dire “responsabilité générale”
• S’applique
  • Sur un group, plusieurs personnes
  • Qui planifie et prend soin des tâches, en avance/pendant

 

En plus, au niveau de GDPR, il y a une 2^ème différence important expliqué dans GDPR considérant (4)

• Privacy (EN) / vie privée (FR), versus/par contre
• Personal data (EN) / données à caractère personnel= “données personnelles” (FR)

 

Si on parle de “vie privée”, on fait référence au droits fondamentaux, et “le respect de la vie privée et familiale, du domicile et des communications …”

Si on parle des données personnelles, on fait référence à l’info et les attributs qui identifient ou peuvent identifier quelqu’un.

Donc, dans la protection des données, on devrait parler de “données personnelles”.

Et l’histoire est identique pour le néerlandophones… (NL <> FR) 😉

GDPR word games, differences in EN/FR language versions and interpretation

Did you ever compare the different language versions of the GDPR?
Have a check at : https://ffwd2.me/gdpr

On the level of GDPR (ref. Art. 5.2), there is an important difference between French (FR) and English (EN). Same thing for Dutch, by the way

The GDPR (EN)  references “accountability”(EN). In FR (RGPD), they ONLY reference “responsabilité”.

In fact, “accountability” (EN) means “rendre compte” in French.

But “responsibility” (EN)  is translated to “responsabilité” in French TOO!

So, for clear understanding, it’s important to know that there IS a difference.

“accountability” (EN) means,

• personal or individual responsibility
  • “The obligation of an individual or organization to account for its activities, accept responsibility for them “
• Typically it applies to
  • 1 person,
  • after the facts
• Eg, before tribunal, court, judge…. (who will pay the fines… )

“responsability” (EN),

• is rather “general” responsibility
• applies to
  • a group of, or multiple, persons
  • who plan or execute tasks, in advance or during activities

Furthermore, on the level of GDPR, there is a 2nd important difference, explained in GDPR recital (4)

• Privacy (EN) / vie privée (FR), versus
• Personal data (EN), données à caractère personnel= “données personnelles” (FR)

If we talk about privacy / vie privée (FR) in GDPR, it’s about “fundamental rights” and «respect for private and family life, home and communications … »

If you talk about personal data, you refer to the information and attributes who identify (“identified”)or can identify an individual (“identifiable”).

So, in data protection (EN),  “protection des données” (FR) for GDPR, we should refer to personal data (EN), “données personnelles” (FR).

Useful resources for GDPR starters

I realise, this braindump will never be finished, so come back once in a while to check for updates. Work in progress…

But let’s turn around the thing a bit, you certainly must have smart ideas or articles on GDPR for starters that belong on this list! Let me know and I’ll add it to the list.
Of course, with the proper credits!

DISCLAIMER: These resources are provided / authored by different people, companies, vendors, each of them copyrighted by the original owner.
The resources below are just a collection or interesting documentation, need to have, without any preference or commercial interest for any party.

Table of contents

GDPR official text Vocabulary GDPR Table of contents Working Party 29 WP29 articles WP 29 Advisory ISO Standards related to GDPR ISO29100 (Privacy Framework) ISO27001 (Information Security)I Mapping GDPR to ISO27001 schema Implementing GDPR with ISO27001 GDPR at a glance Data access request Visualisation sheet Useful Tools GDPR Privacy Courses (work in progress)

First of all, before you start with GDPR you must have read the GDPR text.
It’s not as bad (you mean: legalese) as you might suspect.

GDPR official text

• official publication on Office Journal of the EU : http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=OJ%3AL%3A2016%3A119%3ATOC
• http://bit.do/GDPR_AllVersions
• http://bit.do/GDPR_EN (88p, EN only)

You might want to have it a bit more condensed to start.

Vocabulary / Grammar

Do not get confused: European Council vs Council of the European Union vs Council of Europe

More info at:

– http://www.caneurope.org/publications/blogs/1295-what-is-the-european-council-or-the-council-of-the-european-union%C2%A0

– https://www.coe.int/en/web/about-us/do-not-get-confused

GDPR Table of contents

Once you get through the legal texts… you’ll quickly understand that the GDPR text itself at least lacks 1 important thing: A table of contents (TOC).

This TOC by Intersoft Consulting might help: bookmark https://gdpr-info.eu/

It provides a nice overview of the GDPR Recitals (= reasons the articles of the GDPR have been adopted).

There are 173 recitals, the and the TOC provides a quick topic overview at https://gdpr-info.eu/recitals/.

Also the site provides an overview of the GDPR structure

• 11 Chapters
• Sections per chapter
• 99 Articles (spread over sections / chapters

GDPR Library by EC

https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en

GDPR Adequacy decisions

• Data transfers outside the EU
• Adequacy of the protection of personal data in non-EU countries

Working Party 29

http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:31995L0046

“The composition and purpose of Art. 29 WP was set out in Article 29 of the Data Protection Directive, and it was launched in 1996.”

https://en.wikipedia.org/wiki/Article_29_Data_Protection_Working_Party

The European Data Protection Board (EDPB) will replace the Article 29 Working Party under the EU General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679).

WP29 articles

Newsroom overview: http://ec.europa.eu/newsroom/article29/news.cfm
Guidelines: http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360

WP 29 Advisory

The Article 29 Working Party Issues Final Guidelines on Data Protection Officers (“DPO”) is available here.

More info

• Bird & Bird article, explaining
  1. Accountability means that DPO assessments need to be kept up-to-date and can be requested at anytime
  2. No “a la carte” DPO appointments
  3. Big data now an example of ‘regular and systematic monitoring’
  4. Preferably, the DPO should be located within this EU
  5. There can only be one DPO, but supported by a team
  6. Duty to ensure the confidentiality of communications between the DPO and employees
  7. Senior managers including Head of HR, Marketing or IT individuals are barred from serving as the DPO
  8. The GDPR does not prevent the DPO from maintaining records of processing
• For a redline comparison with the earlier draft, click here.

ISO Standards related to GDPR

ISO29100 (Privacy Framework)

PIA: ISO 29134

Get the ISO29100 privacy standard for free at:

http://standards.iso.org/ittf/PubliclyAvailableStandards/c045123_ISO_IEC_29100_2011.zip

ISO27001 (Information Security)

Mandatory ISO27001 documents: ISMS mandatory documentation checklist

Mapping GDPR to ISO27001 schema

• http://www.iso27001security.com/ISO27k_GDPR_mapping_release_1.pdf
• http://www.iso27001security.com/ISO27k_GDPR_mapping_release_1.docx

Implementing GDPR with ISO27001

https://pecb.com/oldwebinar/26-may-2018-from-gdpr-to-sustainable-gdp

GDPR at a glance

https://www.twobirds.com/~/media/pdfs/gdpr-pdfs/bird–bird–guide-to-the-general-data-protection-regulation.pdf (Credits for Moritz Anders).

Data access request

As published on LinkedIn: The Nightmare Letter: A Subject Access Request under GDPR (By: Constantine Karbaliotis)

You can download the docx Word version in EN (here) and in NL translated version (here).

Useful Tools

Open Source

Monarc – Risk Assessment: http://Monarc.lu

CNIL – DPIA Tool 

CNIL guides for PIA: https://www.cnil.fr/en/PIA-privacy-impact-assessment-en

Implementation Guidance

• ICO: Guide to the General Data Protection Regulation (GDPR)

Visualisation sheet

Have a look what Jonas Holdensen has published, a marvelous sheet to provide a visualization on GDPR.

Also he has provided a nice overview on the DPO requirements & tasks under GDPR.

If you prefer the file in pdf or word, then download the file here: www.kortlink.dk/rhpx

GDPR Privacy Courses (work in progress)

Region	Provider	Course	URL
WW	IAPP	CIPT, CIPP/E, CIPM,	https://iapp.org/train/gdprready/
WW	PECB	PECB Certified Data protection Officer	https://pecb.com/en/education-and-certification-for-individuals/gdpr
BE	DP Institute	Data Protection Officer Certificatie Training	https://www.dp-institute.eu/nl/opleidingen/
WW	IT Governance	GDPR	https://www.itgovernance.co.uk/data-protection-dpa-and-eu-data-protection-regulation
WW	Cranium	GDPR & Privacy

And some more

Legislative background

• The Privacy, Data Protection and Cybersecurity Law Review – Edition 4 Belgium

  https://thelawreviews.co.uk/chapter/1151276/belgium