Juridische aspecten

48
Juridische aspecten Cursus informatiebeveiliging Eric Laermans – Tom Dhaene

description

Juridische aspecten. Cursus informatiebeveiliging Eric Laermans – Tom Dhaene. Bekeken aspecten. Informaticacriminaliteit en strafrecht Regelgeving rond bescherming van privacy Regelgeving rond elektronische handel. Strafrecht. Strafrecht - PowerPoint PPT Presentation

Transcript of Juridische aspecten

Page 1: Juridische aspecten

Juridische aspecten

Cursus informatiebeveiliging

Eric Laermans – Tom Dhaene

Page 2: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 2

Bekeken aspecten

Informaticacriminaliteit en strafrecht

Regelgeving rond bescherming van privacy

Regelgeving rond elektronische handel

Page 3: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 3

Strafrecht

Strafrecht geheel van regels dat gedragingen in onze

samenleving strafbaar stelt

strafwetboek bepaalt welke gedragingen strafbaar zijn (delictomschrijving) welke straffen voorzien zijn (strafmaat) hoe regels toegepast worden (procedures) wie bevoegd is voor handhaven van strafrecht

evolueert met de tijd en met de maatschappij

Page 4: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 4

Strafrecht

Wat met informaticacriminaliteit? strafrecht voor groot deel uit 19e eeuw

niet altijd aangepast om aspecten van informatiemaatschappij te behandelen

– valt vervalsen van digitale handtekening onder “valsheid in geschriften”?

– waaronder valt “phishing”?– is “stelen” van vertrouwelijke gegevens diefstal?– is inbreken in computernetwerk te vergelijken met

inbraak?– is bijhouden van “gestolen” vertrouwelijke

informatie heling?– kan men bij huiszoeking toegang vragen tot

bestanden die op extern systeem opgeslagen zijn?

Page 5: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 5

Strafrecht

Nood aan aanpassingen wet van 2000-11-28 inzake informaticacriminaliteit

gepubliceerd in Staatsblad van 2001-02-03 in werking getreden op 2001-02-13

generisch geschreven– niet gebonden aan specifieke technologieën

zorgt ervoor dat informaticacriminaliteit niet meer onbestraft blijft

zeker geen vervanging van preventiemaatregelen– overtreders zijn nu eenmaal mensen die zich niet

aan regels/wetten houden

Page 6: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 6

Wetgeving of beveiliging?

Wetgeving ≠ beveiliging

2005-05-11 Mike Luckovich

Page 7: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 7

Wet inzake informatiecriminaliteit

Verscheidene aspecten valsheid in informatica (art. 210bis)

in boek II, titel III, hoofdstuk IV informaticabedrog (art. 504quater)

in boek II, titel IX, hoofdstuk II misdrijven tegen de vertrouwelijkheid, integriteit en

beschikbaarheid van informaticasystemen en van de gegevens die door middel daarvan worden opgeslagen, verwerkt of overgedragen (art. 550bis en 550ter)

in boek II, nieuwe titel IXbis gelinkt aan art. 259bis en 314bis (afluisteren/geheim van

privé-(tele)communicatie) wet 1994-06-30/49, van kracht sinds 1995-02-03

Page 8: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 8

Wet inzake informatiecriminaliteit

Valsheid in informatica (art. 210bis) via datamanipulatie vervalsen van juridisch relevante

computergegevens bv. vervalsen/namaken van kredietkaarten, valsheid inzake

"digitale contracten" gebruik maken van vervalste gegevens ≡ vervalsen strafmaat:

6 md tot 5 jr gevangenis en/of 26 tot 100 000 frank boete (poging) 6 md tot 3 jr gevangenis en/of 26 tot 50 000 frank

boete kan verdubbeld worden bij herhaalde overtreding (binnen

5 jaar na uitspraak) van 1 van artikels uit vorige slide OPM. met opdeciemen en conversie

– 1 frank boete in strafwetboek ≡ 6€ boete effectief te betalen

Page 9: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 9

Wet inzake informatiecriminaliteit

Informaticabedrog (art. 504quater) bedrieglijke gegevensmanipulatie om zich te

verrijken bv. “phishing”

strafmaat: 6 md tot 5 jr gevangenis en/of 26 tot 100 000 frank

boete (poging) 6 md tot 3 jr gevangenis en/of 26 tot 50 000

frank boete kan verdubbeld worden bij herhaalde overtreding

van 1 van artikels over informaticacriminaliteit (210bis, 259bis, 314bis, 504quater of titel IXbis)

Page 10: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 10

Wet inzake informatiecriminaliteit

“Inbraak” in informaticasysteem (art. 550bis) dekt verschillende aspecten van hacking (ook pogingen)

door buitenstaander (§1) misbruik door rechtmatige gebruiker (§2) “collaterale schade” van hacking (§3) met bedrieglijk opzet hackertools verzamelen, verspreiden

(§5) opdrachtgeven (§6; strengst bestraft) “heling” (§7)

strafmaat: van 3 md tot 5 jr gevangenis en/of 26 tot 200 000 frank

boete– afhankelijk van exact gepleegd misdrijf

kan verdubbeld worden bij herhaalde overtreding van 1 van artikels over informaticacriminaliteit

Page 11: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 11

Wet inzake informatiecriminaliteit

“Data- en informaticasabotage” (art. 550ter) kwaadwillige verstoring van goede werking

informatiesystemen schaden van data-integriteit (§§1 en 2) belemmeren van beschikbaarheid (§3) met bedrieglijk opzet ontwerpen, verspreiden van software

hiervoor (§4) bv. malware, denial-of-service

strafmaat: van 6 md tot 5 jr gevangenis en/of 26 tot 100 000 frank

boete

– afhankelijk van exact gepleegd misdrijf kan verdubbeld worden bij herhaalde overtreding van 1

van artikels over informaticacriminaliteit

Page 12: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 12

Afluisteren

Wet over afluisteren (art. 314bis) afluisteren van privé-(tele)communicatie

waar men niet aan deelneemt, zonder toestemming van alle deelnemers (§1)

gebruik maken van onwettig afgeluisterde communicatie (§2)

poging op zelfde manier gestraft (§3) strafmaat:

van 6 md tot 2 jr gevangenis en/of 200 tot 20 000 frank boete

– afhankelijk van exact gepleegd misdrijf kan verdubbeld worden bij herhaalde overtreding

art. 259bis specifieker voor politie, rechters,… voor afluistering buiten

gevallen bepaald door wet

Page 13: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 13

Wet inzake informatiecriminaliteit

Enkele uitspraken: vonnis van de Correctionele Rechtbank van Eupen

(4e Kamer), 15 december 2003 jongeman uit omgeving van Eupen

– probeerde binnen te breken in één van de computersystemen van internetdienstenleverancier Euregio.net

– maakte gebruik van programma dat automatisch wachtwoorden uitprobeerde

– pogingen mislukten, kort daarna opgepakt. veroordeeld wegens computerinbraak (art. 550bis) opschorting van strafuitspraak + schadevergoeding van

1000 € aan Euregio.net.

Page 14: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 14

Wet inzake informatiecriminaliteit

Enkele uitspraken: Vonnis van de Correctionele Rechtbank van Hasselt

(15e Kamer), 21 januari 2004 gebruiker van internetbankierdienst van Bacob

– wijzigde gegevens op systeem wegens gebrekkige beveiliging

– meldde twee weken later beveiligingsprobleem aan bank

– kort daarna werd klacht ingediend door Bacob veroordeeld wegens computerinbraak (art. 550bis)

– ondanks afwezigheid van kwaad opzet opschorting van strafuitspraak + geen schadevergoeding

– kosten voor dichten van beveiligingslek niet verhaalbaar op “hacker”

Page 15: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 15

Wet inzake informatiecriminaliteit

Voor meer informatie: Jeff Keustermans en Tina De Maere,

“Tien jaar wet informaticacriminaliteit”in Rechtskundig Weekblad 2010-11, nr. 14, 2010-12-04,pp. 562-568 http://www.dbkv.be/UserFiles/dbkv/Tien%20jaar%20wet%20informaticacriminaliteit.pdf

http://www.ethesis.net/informaticacriminaliteit/informaticacriminaliteit.htm

Page 16: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 16

Wet inzake informatiecriminaliteit

Enkele slotbemerkingen vaak moeilijke identificatie van overtreder

beperkte territoriale competentie van gerecht succes gewenst met een hacker uit Rusland,

Vanuatu,…

bepaalde elementen lijken op paniekvoetbal van wetgever

soms uiterst breed, uiterst streng sociale aanvaarding van wetgeving

Page 17: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 17

Privacy

Privacy het recht om persoonlijke informatie voor zichzelf

(i.e. privé) te houden vandaar band met (en vaak verwarring met)

vertrouwelijkheidsfunctie in informatiebeveiliging men kiest zelf wat men over zichzelf openbaar wil

maken persoonlijke informatie is vrij ruim begrip

(gezondheid, wedde, aankoopgedrag,…) fundamenteel mensenrecht

echter geen dekmantel voor illegale activiteiten gedeeltelijk cultuurgebonden

– sterker in maatschappij waar individu centraal staat

Page 18: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 18

Privacy

3 aspecten in (Europese) wetgeving bescherming van persoonsgegevens

Europese richtlijn 1995/46/EG– omgezet in Belgische wetgeving door wet van 1998-

12-11 bescherming van privacy in (tele)communicatie

Europese richtlijn 2002/58/EG– omzetting vereist voor 2003-10-31

» omzetting in België volledig sinds 2005-08-24– geamendeerd door 2009/136/EG

bewaring van gegevens in (tele)communicatie Europese richtlijn 2006/24/EG

– omzetting vereist voor 2009-03-15» omzetting in België ???» sinds 2013-03-29 voorontwerp van wet +

ontwerp van KB

Page 19: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 19

Bescherming van persoonsgegevens

Europese richtlijn 1995/46/EG bepaalt wettelijke regeling voor de verwerking van

persoonsgegevens kwaliteit van de gegevens toelaatbaarheid van gegevensverwerking striktere regels voor speciale gegevenscategorieën informatieverstrekking aan de betrokkene beveiligingsvereisten exportregels controle

Page 20: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 20

Bescherming van persoonsgegevens

Kwaliteit van gegevens (art. 6) gegevens moeten eerlijk en rechtmatig verwerkt

worden te gebruiken voor welbepaalde, uitdrukkelijk

omschreven en gerechtvaardigde doeleinden niet meer gegevens dan nodig verzamelen gegevens moeten nauwkeurig zijn (en indien

nodig wijzigbaar of verwijderbaar) gegevens niet langer bijhouden dan nodig

Page 21: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 21

Bescherming van persoonsgegevens

Verwerking persoonsgegevens slechts toelaatbaar (art. 7):

als betrokkene ondubbelzinnig hierin toestemt indien noodzakelijk voor voorbereiding/uitvoering

contract met betrokkene indien noodzakelijk voor nakomen wettelijke

verplichting waaraan verwerker van gegevens onderworpen is

voor bescherming van vitaal belang van betrokkene

voor taken van algemeen belang voor gerechtvaardigd belang van wie gegevens

controleert

Page 22: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 22

Bescherming van persoonsgegevens

Speciale categorieën raciale of etnische afkomst, politieke opvattingen,

godsdienstige of levensbeschouwelijke overtuiging, lidmaatschap vakvereniging, gezondheid, seksueel leven (art. 8)

verwerking alleen mogelijk voor doeleinden die expliciet door nationale wetgeving voorzien zijn

afwijkingen mogelijk voor journalistieke, artistieke of literaire doeleinden om vrijheid van meningsuiting te verzoenen met recht op persoonlijke levenssfeer (art. 9)

Page 23: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 23

Bescherming van persoonsgegevens

Informatieverstrekking (art. 10-15) informeer betrokkene wanneer gegevens over

hem verzameld worden informeer betrokkene indien gegevens naar

derden worden doorgestuurd nodige informatie:

identiteit van de beheerder, doelstelling, ontvangers van gegevens, rechten van betrokkene

toegangsrecht betrokkene heeft recht geïnformeerd te worden over

gegevens die over hem verwerkt worden

Page 24: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 24

Bescherming van persoonsgegevens

Beveiliging (art. 16-17) verwerkers en beheerders moeten passende

beveiligingsmaatregelen treffen “passend”: rekening houdend met stand van

techniek en uitvoeringskosten, gelet op risico's die verwerking en aard van te beschermen gegevens met zich meebrengen

Page 25: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 25

Bescherming van persoonsgegevens

Exportregels (art. 25-26) verbod van export van persoonsgegevens naar

derde landen (niet-EU) zonder passend beschermingsniveau

“passend”: te beslissen door Europese Commissie

talrijke uitzonderingen: akkoord van de betrokkene modelcontract …

VS: “safe harbour agreement” met EU (?)

Page 26: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 26

Bescherming van persoonsgegevens

Toezicht (art. 28-30) EU-lidstaten moeten autoriteit oprichten om

toezicht te houden op uitvoering van beschermingsregels

in België: “Commissie voor de bescherming van depersoonlijke levenssfeer” (ook bekend als “Privacy-commissie”)

(http://www.privacycommission.be/nl)

voor alle projecten die op grote schaal gegevens verwerken of gevoelige gegevens verwerken

contacteer nationale toezichtsautoriteit

Page 27: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 27

Privacy in (tele)communicatie

Europese richtlijn 2002/58/EG geamendeerd door 2009/136/EG

introduceert nieuwe regels voor: algemene beveiliging vertrouwelijkheid cookies verkeersgegevens lokatiegegevens abonneelijsten ongewenste communicatie (spam) bewaring van gegevens

Page 28: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 28

Privacy in (tele)communicatie

Beveiliging van de verwerking (art. 4) voor aanbieders van diensten en

netwerkbeheerders passende technische en organisatorische

maatregelen in verhouding tot betrokken risico rekening houdend met stand van techniek en

uitvoeringskosten vereiste van een beveiligingsbeleid voor verwerking

van persoonsgegevens meldingsplicht bij inbreuken

Page 29: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 29

Privacy in (tele)communicatie

Vertrouwelijkheid (art. 5) principe van vertrouwelijkheid van communicaties en

van verkeersgegevens verbod op afluisteren, aftappen, opslaan of andere

vorm van onderscheppen van communicatie zonder toestemming van betrokken gebruikers uitgezonderd indien wettelijk toegelaten slaat niet op technische opslag nodig voor

communicatie zelf– bv. cookies, caching,…– maar tracking cookies voor reclame waarschijnlijk

problematisch uitzondering:

bewijs voor commerciële transactie zakelijke communicatie

Page 30: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 30

Privacy in (tele)communicatie

Verkeersgegevens (art. 6) moeten gewist of geanonimiseerd worden zodra

niet meer nodig voor communicatie facturatiegegevens mogen verwerkt worden tot

einde van periode waarin betaling kan afgedwongen of aangevochten worden

uitzondering marketing van communicatiedienst na toestemming

van gebruiker– verplichting gebruiker of abonnee te informeren

over verwerkte gegevens– beperking van verwerking tot bevoegd personeel

Page 31: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 31

Privacy in (tele)communicatie

Lokatiegegevens (art. 9) mogen verwerkt worden indien geanonimiseerd of met

toestemming van gebruikers beperkt tot duur nodig voor levering van dienst met

toegevoegde waarde verplichting gebruikers te informeren (welke gegevens,

welke doeleinden, duur, mededeling aan derden) vóór toestemming bekomen wordt

mogelijkheid voor gebruikers tot intrekking toestemming te allen tijde ook tijdelijke intrekking mogelijk indien gewenst

– eenvoudig en kostenloos beperking van verwerking tot bevoegd personeel

Page 32: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 32

Privacy in (tele)communicatie

Abonneelijsten (art. 12) verplichting abonnees in te lichten over gebruik

van hun gegevens in abonneelijsten abonnees moeten kunnen bepalen of hun

gegevens in publieke abonneelijst opgenomen worden

niet opgenomen zijn in openbare abonneelijst is kosteloos

verificatie, correctie of verwijdering persoonsgegevens van dergelijke lijsten is kosteloos

Page 33: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 33

Privacy in (tele)communicatie

Ongewenste communicatie (art. 13) gebruik van automatische oproep- en

communicatiesystemen, fax of e-mail voor direct marketing: alleen na voorafgaande toestemming abonnees

– behalve e-mail naar eigen klanten voor direct marketing van gelijkaardige producten (mogelijkheid voor klant bezwaar te maken)

andere vormen van ongevraagde communicatie voor direct marketing:

alleen na toestemming abonnee en niet naar abonnees die dergelijke communicatie niet wensen te ontvangen

verbod op spam e-mail voor direct marketing met gemaskeerde of

verborgen afzenderidentiteit, of zonder geldig adres waaraan ontvanger verzoek tot beëindiging van dergelijke communicatie kan richten.

Page 34: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 34

Privacy in (tele)communicatie

Bewaring van gegevens (art. 15) mogelijkheid voor lidstaten om bereik van deze richtlijn te

beperken indien noodzakelijke, redelijke en proportionele maatregel

in democratische samenleving om volgende redenen:

– nationale veiligheid (staatsveiligheid)

– landsverdediging

– openbare veiligheid

– voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem

o.a. mogelijkheid om maatregelen te treffen voor bewaring van gegevens voor beperkte periode voor hier genoemde redenen

Page 35: Juridische aspecten

Dataretentie

Europese richtlijn 2006/24/EG bewaring van gegevens in (tele)communicatie

explicitering van inhoud van art. 15 uit Richtlijn 2002/58/EG

harmonisatie van bestaande nationale maatregelen betreft locatie- en verkeersgegevens

kritieken vrij vaag (!)

– niet altijd voor 100% duidelijk wat bewaard moet en mag worden

veel data vervalsbaar– bruikbaarheid?

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 35

Page 36: Juridische aspecten

Dataretentie

Verplichting gegevens te bewaren (art. 3) includeert oproeppogingen zonder resultaat

tenminste indien opgeslagen en gelogd

Toegang tot gegevens (art. 4) noodzakelijkheid en evenredigheid

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 36

Page 37: Juridische aspecten

Dataretentie

Te bewaren categorieën gegevens (art. 5) bron van communicatie bestemming van communicatie tijdstip van communicatie type communicatie

gebruikte telefoon- (oproep, SMS,…) of internetdienst

info over communicatieapparatuur bv. IMEI voor mobiele telefonie

locatiegegevens bv. Cell ID voor mobiele diensten geen gegevens waaruit inhoud van communicatie

bepaald kan worden

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 37

Page 38: Juridische aspecten

Dataretentie

Bewaringstermijnen (art. 6) min. 6 maand max. 2 jaar

Gegevensbescherming en gegevensbeveiliging (art. 7)

o.a. vernietiging gegevens na bewaarperiode

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 38

Page 39: Juridische aspecten

Dataretentie

Opslagvoorschriften voor bewaarde gegevens (art. 8)

gegevens moeten opgevraagd kunnen worden door bevoegde autoriteiten

Toezichthoudende autoriteit (art. 9) zoals voor 1995/46/EG

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 39

Page 40: Juridische aspecten

Dataretentie

Statistieken (art. 10) verplichting om jaarlijks statistieken over

databewaring aan EC te communiceren over gevallen waar gegevens opgevraagd werden over bewaartijd voor opvragingen over niet ingewilligde opvragingen

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 40

Page 41: Juridische aspecten

Dataretentie

Toekomstige maatregelen (art. 12) lidstaten “met specifieke omstandigheden” mogen

vragen aan EC om tijdelijke beperkte verlenging van termijnen

goedkeuring of verwerping door EC binnen 6 maanden na aavraag

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 41

Page 42: Juridische aspecten

Dataretentie

Verhaal in rechte, aansprakelijkheid en sancties (art. 13)

sancties moeten voorzien worden bij onrechtmatig gebruik van bewaarde data

Evaluatie (art. 14) evaluatieverslag van EC aan EP en Raad uiterlijk

op 2010-09-15 afgeleverd op 2011-04-18 (Celex-nr: 52011DC0225)

– dataretentie nodig– weinig uniforme transpositie– uiteenlopen gebruik– problemen met recht op privacy

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 42

Page 43: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 43

Elektronische handel

In Europese wetgeving elektronische handtekening

Europese richtlijn 1999/93/EG

elektronische contracten in Europese richtlijn 2000/31/EG over elektronische

handel

elektronische facturen Europese richtlijn 2001/115/EG

Page 44: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 44

Elektronische handtekening

Doelstellingen Europese richtlijn 1999/93/EG

open Europese markt voor producten en diensten rond elektronische handtekeningen

geen nationale licenties wederzijdse erkenning erkenning van certificaten uit derde landen

bevordering van elektronische handel geschikte beveiliging …

Page 45: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 45

Elektronische handtekening

Europese richtlijn 1999/93/EG: definities “elektronische handtekening”:

elektronische gegevens gebruikt als authenticatie en vastgehecht aan of logisch geassocieerd met andere elektronische gegevens

– bv. naam van afzender in e-mail “geavanceerde elektronische handtekening”:

een elektronische handtekening die voldoet aan zekere eisen:

– op unieke wijze aan ondertekenaar verbonden– maakt identificatie ondertekenaar mogelijk– gerealiseerd m.b.v. middelen die exclusief door

ondertekenaar gecontroleerd kunnen worden– zorgt voor nodige data-integriteit

wat we tot nu toe als een digitale handtekening beschouwd hebben

Page 46: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 46

Elektronische handtekening

Europese richtlijn 1999/93/EG: rechtsgevolgen van elektronische handtekeningen

geavanceerde elektronische handtekening (op basis van veilig aangemaakt gekwalificeerd certificaat)

– zelfde waarde als handgeschreven handtekening

– als bewijsmiddel toegelaten in gerechtelijke procedures

andere elektronische handtekeningen mogen niet a priori geweigerd worden, louter op grond van het feit dat:

– de handtekening in elektronische vorm is gesteld, of

– niet is gebaseerd op een gekwalificeerd certificaat, of

– niet is gebaseerd op een door een geaccrediteerd certificatiedienstverlener afgegeven certificaat, of

– zij niet met een veilig middel is aangemaakt.

Page 47: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 47

Electronische contracten

Europese richtlijn 2000/31/EG over elektronische handel (art. 9)

lidstaten moeten wettelijke belemmeringen verwijderen voor elektronische contracten

impliceert elimineren van formele vereisten die elektronische contracten onmogelijk maken

tijdelijk enkele uitzonderingen toegelaten: vastgoed gezinswetgeving arbeidswetgeving

Page 48: Juridische aspecten

InformatiebeveiligingVakgroep Informatietechnologie – IBCN – Eric Laermans

p. 48

Electronische facturen

Europese richtlijn 2001/115/EG hoofdprincipes:

lidstaten moeten raamwerk hebben dat gebruik van elektronische facturen toelaat zonder voorafgaande toelating (bv. BTW-administratie)

voorwaarde van aanvaarding door ontvanger van factuur blijft

voor de authenticiteit van oorsprong en integriteit van factuur moet geavanceerde elektronische handtekening of EDI (“Electronic Data Interchange”) aanvaard worden