Passende beveiliging combinatie van maatregelen

WBP legt niet alleen verplichtingen op aan organisaties

Dit artikel delen:

De Wet Bescherming Persoonsgegevens is sinds 1 september 2001 van kracht. De wet omvat alle verwerkingen van persoonsgegevens. Wat komt er allemaal kijken bij het beveiligen en dus ook het beschermen van deze gegevens?

WBP-aanpak 2
Wat zijn de praktische gevolgen van de wet Bescherming Persoonsgegevens? Hoe implementeer je een WBP-aanpak? Welke specifieke maatregelen zijn nodig voor privacybescherming? Henk-Jan van der Molen, functionaris voor gegevensbescherming bij Sociale Zaken en Werkgelegenheid, belicht deze onderwerpen in een tweedelige serie.
Aangezien gegevensbeveiliging tegenwoordig voornamelijk slaat op geautomatiseerde dataverwerking, ligt het zwaartepunt bij de impact van de WBP op de informatievoorziening. De juridische achtergrond komt kort aan de orde; meer informatie daarover is te vinden op http://www.cbpweb.nl.
Het eerste deel van dit artikel verscheen vorige week.
Een passende beveiliging bestaat uit een combinatie van organisatorische, technische, personele en procedurele maatregelen. Een maatregel als segmentering kan bijvoorbeeld bestaan uit aparte werkruimten met printers en werkstations, door firewalls en routers gescheiden domeinen en gemarkeerde gegevensdragers met 'personeelsvertrouwelijk'. Ook voor de hand liggen maatregelen tegen verlies en diefstal, zoals een bewaakte en brandwerende kluis voor de backups van gegevensbestanden. Er is toezicht nodig om te registreren wie wanneer toegang heeft gehad tot gevoelige gegevens. Zeker als personeel de informatievoorziening buiten een gecontroleerde omgeving kan benaderen, is een goede authenticatie en autorisatie nodig. Een adequate beveiliging vergt ook screening van personeel en functiescheiding.

Gebruik beperken

Logische toegangscontrole vereist een login-procedure en gebruikersidentificatie met wachtwoord, pincode, pasje of biometrisch kenmerk. Daarbij is een screensaver nodig die werkstations vergrendelt na een bepaalde periode van inactiviteit. Met een autorisatie gekoppeld aan de login-identiteit is desgewenst het gebruik van computerapparatuur als mobiele geheugenmedia te beperken.
Tools voor beveiliging als inbraakdetectiesystemen en scanners voor virussen en bestandsintegriteit mogen evenmin ontbreken bij de privacybescherming. Bijzondere persoonsgegevens moet worden beschermd met encryptie, zeker als het opslag op draagbare media betreft, of verzending via draadloze netwerken of internet. Toepassing van pki (public key infrastructure) garandeert de vertrouwelijkheid van het bericht en de identiteit van afzender en ontvanger.
Invoering van pet (privacy enhancing technology) vermindert de hoeveelheid benodigde persoonsgegevens zonder de functionaliteit van het informatiesysteem aan te tasten. Een ziekenhuis bijvoorbeeld heeft binnen het patiëntenregistratiesysteem de identiteit van patiënten en medische gegevens gescheiden. De functie die de identiteit van patiënt De Vries omrekent naar medisch dossier met sleutel '1356' is alleen beschikbaar voor geautoriseerd personeel. Bovendien werkt de functie maar één kant op: uit de sleutel '1356' van een medisch dossier valt de identiteit 'De Vries' niet af te leiden. Dit vermindert de mogelijkheden om persoonsgegevens te misbruiken. Bij uitfasering van ict-middelen en overschrijding van de bewaartermijn moeten geheugenmedia met persoonsgegevens zorgvuldig worden gewist.
Vaak is het efficiënt de hele organisatie te beveiligen op een bepaald basisniveau. Zo zijn procedures en verantwoordingsadministratie die anders per systeem nodig zijn naar centraal niveau te tillen. Dit geldt bijvoorbeeld voor het beheer van personeel, software, hardware, toegangsrechten, encryptiesleutels en wijzigingen in beveiligingsmaatregelen. Uit risicoanalyses volgen dan de aanvullende maatregelen voor het garanderen van de beschikbaarheid, exclusiviteit en integriteit van individuele systemen.

Open standaarden

Door tijdens de realisatie via versiebeheer het ontwerp en de broncode van informatiesystemen te toetsen aan kwaliteitsstandaarden verbetert de kwaliteit en de onderhoudbaarheid. Let daarbij op onnodige verwerkingen van persoonsgegevens. Dit gaat ten koste van de capaciteit van de informatievoorziening en de gegevensintegriteit, en het verhoogt de kans op incidenten. De validatie van de invoergegevens, een goede gebruikersinterface, opleiding en ondersteuning verminderen het aantal foute gegevens.
Als broncode openbaar is, betekent dit niet automatisch dat dergelijke systemen ook kwalitatief beter zijn. Bij open-broncodesoftware is wel meer kennis beschikbaar, waardoor de foutcorrectie efficiënter is. Hierdoor verbetert de netto beschikbaarheid. Informatiesystemen zijn bovendien toekomstvaster als ze voldoen aan open standaarden en gebaseerd zijn op open broncode of broncode onder een escrow-regeling.
De definitie en onderlinge samenhang van informatiesystemen en gegevensstructuren wordt beschreven met metagegevens. Het gebruik van metagegevens bevordert de consistente omgang met gegevens. Een onderneming kan bijvoorbeeld klantgegevens registreren in een offertesysteem en een apart verkoopsysteem. Gegevens van een klant uit het offertesysteem die nog niets gekocht heeft zullen het verkoopsysteem vervuilen.

Systeematlas

Meestal worden in een 'systeematlas' metagegevens bijgehouden over systemen, datamodellen, interfaces, autorisatieschema's en procesbeschrijvingen. Een systeematlas biedt dus inzicht in de verwerking en uitwisseling van persoonsgegevens. Door ook de gevoeligheid van gegevens te registreren, kan een systeematlas beveiliging koppelen aan systemen. Dit ondersteunt de invulling van de WBP-rechten (Wet Bescherming Persoonsgegevens). Een toezichthouder kan hiermee bepalen of alle verwerkingen zijn gemeld en de beveiligingsmaatregelen consistent zijn ingevuld.
Inrichting van de beheerorganisatie met Itil-processen verbetert de beschikbaarheid van de informatievoorziening. Met afgesproken procedures en voldoende geschoolde medewerkers vermindert de impact van incidenten. Daarbij moeten 'audittrails' en soortgelijk bewijsmateriaal veilig worden opgeslagen. Controleer dat contracten met ingehuurde partijen, zoals bewerkers, dezelfde eisen voor beveiliging bevatten als voor de organisatie zelf gelden.
Organisaties moeten regelmatig toetsen of de WBP-bepalingen worden nageleefd. De WBP propageert de aanstelling van een onafhankelijke toezichthouder binnen organisaties, de 'functionaris voor gegevensbescherming', afgekort fg. Een fg is voor de organisatie een vraagbaak op het gebied van de WBP en beveiligingstechnologie. Naast voorlichting en advies kan een fg ook interne normen opstellen voor de bescherming van de privacy. Tevens behandelt een fg eventuele klachten van betrokkenen over de verwerking van persoonsgegevens en publiceert hij de WBP-meldingen van de organisatie. Een fg biedt inzicht in zijn functioneren door een jaarverslag te publiceren. Om deze taken naar behoren uit te voeren, moet hij uitgebreide toegangsrechten krijgen en de bevoegdheid hebben om gegevens in te zien.

Kwetsbaarheden

De WBP legt verplichtingen op aan organisaties, maar daarbuiten moet ook het nodige gebeuren. Momenteel neemt het aantal beveiligingsincidenten en de hoeveelheid bekende kwetsbaarheden sterk toe. Het aantal privacyincidenten, zoals stalking, identiteitsroof, fraude en chantage met gevoelige gegevens, groeit mee. Dit komt simpelweg omdat er steeds vaker en meer gegevens elektronisch worden uitgewisseld; data die in het criminele circuit waardevol zijn.
Op het niveau van het individu is de kennis en beleving van privacy wisselend. Veel klanten van supermarkten hebben bijvoorbeeld geen bezwaar tegen het ruilen van privacy voor korting of spaarpunten. Een probleem dat regelmatig terugkomt is gemailde kettingbrieven, zoals valse viruswaarschuwingen en solidariteit met zielige gevallen. Veel mensen realiseren zich niet dat het verder mailen van die kettingbrief niet kan bijdragen aan het vermelde doel, maar wel enorm veel onnodig verkeer genereert. Bovendien bevatten dergelijke berichten al snel honderden mailadressen, waardoor spam op de loer ligt.
Ernstiger wordt het als telebankiers zonder firewall of virusscanner werken, of op aanwijzing van een mailbericht inloggen op een nepsite van hun bank. Zo kunnen ze de controle over hun bankrekening verliezen. Dergelijke incidenten moeten worden bestreden met het verhogen van veiligheidsbewustzijn door voorlichting, opleiding en pc-privé-regelingen. Omdat in de toekomst het aantal telewerkers zal toenemen, is dit ook in het belang van organisaties.

Privacybewustzijn

Op overheidsniveau bewaakt het CBP (College Bescherming Persoonsgegevens) dat organisaties zich houden aan de WBP. Ook wordt er een Nationale Vertrouwensfunctie (NVF) ingericht, om te bewaken dat het beheer van persoonsnummers en de koppeling van bestanden correct verloopt. Verder informeert de overheid via de site http://waarschuwingsdienst.nl bedrijven en individuen over ontdekte kwetsbaarheden van ict-systemen. Daarnaast kan de overheid het privacybewustzijn van organisaties en individuen verder verhogen door opleidingen te certificeren en samenwerking te bevorderen, bijvoorbeeld door wetgeving actueel te houden en internationale verschillen te verminderen. Als internetaanbieders hun data opslaan in de VS, is bijvoorbeeld de Amerikaanse wetgeving van toepassing. Ook heeft de overheid een voorwaardenscheppende taak bij de totstandkoming en handhaving van een veilige infrastructuur, bijvoorbeeld als pleitbezorger voor pki.
De branche draagt eveneens haar steentje bij. Het Gvib werd in 1999 opgericht. Onlangs is daar het Nederlands Genootschap voor fg's bijgekomen. Als vereniging voor en door fg's streeft het Ngfg naar een verdere professionalisering van de fg-functie, onder andere door kennisuitwisseling.

Schade

Elke verbetering vergt een verandering, kost moeite en kent zwakheden. Beslissen om de implementatie van de WBP daarom uit te stellen laat echter de waarschijnlijk slechtere status-quo langer voortduren. Organisaties die het met de WBP niet zo nauw nemen, riskeren sancties van het CBP, zoals boetes of bestuursdwang, en schade door incidenten, zoals het verlies van publiek vertrouwen.
Onlangs kwam in het nieuws dat het Amerikaanse Congres de mogelijkheid onderzoekt om een gigantische database te creëren die de gegevens van alle burgers (bijvoorbeeld creditcardaankopen) ontsluit. Dit 'Total Information Awareness'-project is een reactie op 11 september 2001. Momenteel loopt ook de discussie dat Europa de VS gegevens moet aanleveren over vluchten naar hun grondgebied, terwijl alleen Amerikaanse burgers hierop rechten kunnen laten gelden. Hoewel bedoeld om terreuraanvallen te voorkomen, is dit in strijd met de Europese privacywetgeving.
Ook in Nederland komt er een nieuwe wet aan, 'Vorderen Gegevens Telecommunicatiebedrijven'. Deze wet geeft opsporingsambtenaren het recht adressen en verkeersgegevens op te vragen zonder dat daarvoor een rechter nodig is. Privacy blijft dus de komende tijd actueel.< BR> 
Websites
College Bescherming Persoonsgegevens
http://www.cbpweb.nl
 
Zwakke plekken
http://www.waarschuwingsdienst.nl
 
Nederlands Genootschap voor fg's
http://www.ngfg.nl

 
Henk-Jan van der Molen, functionaris gegevensbescherming Ministerie Sociale Zaken en Werkgelegenheid

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2003-11-28T00:00:00.000Z Henk-Jan van der Molen
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.