Categorie Archief: privacy

Hacking tools van de CIA in mijn tv. Is dit een probleem?

Door | privacy, Security, uit het nieuws | Geen reacites

Is mijn grote vriend de tv opeens mijn vijand?

Geheime hacking tools van de CIA, waarmee zij in staat is om apparaten van eindgebruikers onder haar controle te krijgen, liggen op straat na publicatie op WikiLeaks. Eerder gebeurde iets vergelijkbaars al eens toen Edward Snowden uit de school klapte hoe het er bij de NSA aan toe ging. De CIA-tools verschillen op het eerste gezicht van die van de NSA in dat de CIA gerichte aanvallen op [apparaten van] specifieke personen uitvoert, waar de NSA veel meer ‘bulk’ data verzamelt. De grote vraag is of wij in Nederland ons zorgen moeten maken over deze activiteiten van onze bondgenoot. Ik zal dat aan de hand van één veelbesproken voorbeeld proberen te duiden.

Eén van de aanvalsmethode van de CIA is (was?) om bepaalde slimme Samsung televisies die op gesproken commando’s kunnen reageren te manipuleren. Ook als ze lijken uit te staan neemt het apparaat alle geluiden uit de ruimte waarin hij staat op. De CIA was (is) dus in staat om mensen af te luisteren zonder dat zij dat in de gaten hebben. Op zich is dit typisch iets waarvan je verwacht het in de gereedschapskist van een geheime dienst aan te treffen, dus wat dat betreft niets aan de hand. Zeker als je bedenkt dat in dit specifieke geval de manipulatie van de televisie ter plaatse met een USB-stick moet gebeuren, lijken de risico’s voor de Nederlandse situatie reuze mee te vallen.

Ik heb daar de volgende kanttekeningen bij:

  1. Het fundamentele probleem zit hem in de manier waarop spraakherkenning werkt. Het betreffende apparaat staat altijd aan, en luistert altijd mee met zijn omgeving om te kunnen reageren als het hier-komt-een-commando-woord wordt uitgesproken. Als het goed is wordt het omgevingsgeluid opgeslagen in een korte buffer, die na zo’n 10 seconden weer overschreven wordt. Pas na het herkennen van het toverwoord begint de tv met het opslaan van langere perioden.
  2. De desbetreffende apparaten hebben betrekkelijk weinig rekenkracht. Voor de ontwikkelaar is de keuze: óf de woordenschat is beperkt, óf het apparaat gebruikt computers en programma’s ergens in een rekencentrum. In dat laatste geval is het apparaat niet alleen altijd aan het meeluisteren, maar ook nog eens altijd online.
  3. Meestal staan deze apparaten niet onder controle van de IT-afdeling, en worden ze niet zo goed beveiligd en gepatched als de pc’s in het netwerk, en zijn ze daarmee dus een gemakkelijk[er] doelwit.
  4. Door hun beperkte rekenkracht hebben deze apparaten ook beperkte mogelijkheden om zichzelf te beschermen. Soms is die bescherming in het geheel afwezig, al dan niet als gevolg van onkunde of onwil van de leverancier.

Al met al genoeg handvatten om zo’n apparaat om te vormen tot een surveillance tool.

De gepubliceerde CIA-tools zijn alweer enkele jaren oud. Er is echter geen enkele reden om aan te nemen dat de CIA na Samsung TV gestopt is met de verdere ontwikkeling van haar tools. Sterker nog, ik denk dat een CIA-programmeur zich momenteel een beetje voelt als holle bolle Gijs die zich door de rijstebrijberg heen eet.approved TV

Spraakbesturing is immers de ‘next best thing’ in consumentenland.  Stelden we ons enkele jaren geleden nog tevreden met het commanderen van onze telefoon, navigatieapparaat of televisie, tegenwoordig verwachten we meer. Onze nieuwe telefoons, laptops en pc’s hebben allemaal zeer geavanceerde spraakherkenning aan boord (Apple Siri, Microsoft Cortana, Google/Android Speech).

cortana

sirispeech

Ze werken allemaal met een toverwoord, rekenkracht ‘van buiten’ en online streaming van de gesproken tekst naar een datacentrum elders.

Een nieuwe stap zijn de moderne huisassistenten zoals de Amazon Echo en de Google Home. Ze staan rustig in een hoekje te wachten tot dat ze worden toegesproken. Het zijn in feite monitor loze pc’s die altijd aanstaan, altijd meeluisteren en altijd in contact staan met hun maker.

We moeten er rekening mee houden dat alle ‘slimme’, met Internet verbonden apparaten potentieel verdacht zijn.

Is dit erg? Dat hangt erg af van de vraag hoe aantrekkelijk jouw informatie is voor de Amerikaanse diensten.

Als je regelmatig met gevoelige informatie omgaat, ben je je waarschijnlijk goed bewust wat de gevolgen kunnen zijn als deze in verkeerde handen valt. Je neemt maatregelen om dit te voorkomen, bijvoorbeeld door gebruik te maken van versleutelde communicatie (Skype, WhatsApp, Signal, Blackphone). Heel goed. Maar let er dan ook op dat er in je directe omgeving niet zo’n handige assistent of slimme tv staat. Dit geldt dus ook voor directiekamers en vergaderzalen, waar de slimme tv in rap tempo de beamer heeft vervangen. En onthoud: uit is niet uit totdat de stekker uit het stopcontact is en de netwerkkabel uit het potje.

Voor de gemiddelde privépersoon zijn de CIA-tools geen issue. De CIA gaat heus geen grote investeringen doen om een willekeurig iemand af te luisteren. Maar omdat de CIA-gereedschapskist open op straat ligt, krijgt het boevengilde nu ook de mogelijkheid om deze tools om te zetten tot iets dat op grotere schaal is toe te passen. Bijvoorbeeld voor chantage, of voor het tijdelijk onklaar maken en voor geld weer werkend maken van je apparaat, zoals het gilde nu al op grote schaal doet met encryptie ransomware.

De belangrijkste maatregel die je kunt nemen tegen dit soort praktijken is dat je regelmatig [de software van] je slimme apparaat van de laatste updates en patches voorziet. Probeer vooraf na te gaan of jouw voorkeursproduct zo slim is dat het (automatisch) updaten wordt ondersteund en of de leverancier op dit vlak een goede naam heeft of niet.

Zeker in de privésfeer houdt het niet op bij de tv. Denk bijvoorbeeld aan de babyfoon, de pratende pop en de online deurbel.

We hebben er het laatste nog niet van gehoord. En de geheime diensten niet van ons ben ik bang.

President Trump heeft haast, uw privacy impact analyse kan niet achterblijven

Door | privacy, uit het nieuws | Geen reacites

De nieuwe Amerikaanse president Donald Trump heeft op woensdag 25 januari een ‘Executive Order’ getekend die illegaal verblijf in de Verenigde Staten wil aanpakken. Omdat er veel ophef in de media is ontstaan over een ander decreet is waarschijnlijk een van de artikelen over privacy relatief ‘onder de radar’ gebleven:

 

Sec. 14.  Privacy Act.  Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Op het eerste gezicht blaast de president hier de Privacy Shield overeenkomst op tussen de VS en Europa over het verantwoord verwerken van Europese persoonsgegevens door Amerikaanse bedrijven. In de praktijk kan het allemaal nog meevallen, al zijn er grote verschillen in interpretatie (onderaan deze blog een bloemlezing).

Onder meer de Europese Commissie geeft aan dat de genoemde Privacy Act nooit bedoeld is geweest om persoonsgegevens van niet-Amerikanen te beschermen. En dat het Privacy Shield juist daarom is ontstaan en nooit van de Privacy Act afhankelijk is geweest.

Daar staat tegenover dat de sluitsteen van de Privacy Shield overeenkomst, het in werking treden van de Amerikaanse Judicial Redress Act weliswaar is goedgekeurd in het congres en de senaat, maar nog niet in werking is getreden. Ook is het Privacy Shield geen door het congres of senaat goedgekeurde wet, maar een (vrijwillige) overeenkomst tussen de EU en het Amerikaanse Ministerie van Handel. Nu ben ik geen jurist, maar volgens mij kan de president de werking van beide opschorten met een volgende Executive Order. Wellicht niet heel realistisch, maar ook niet onmogelijk.

Al met al hebben we hier een mooi scenario te pakken voor de eerstvolgende of een ingelaste Business en Privacy Impact Analysis en Risk Assessment sessie, zeker nu steeds meer bedrijven en organisaties bezig zijn met een transitie ‘naar de cloud’:

  • Welke en hoeveel persoonsgegevens worden verwerkt door, of staan opgeslagen bij Amerikaanse verwerkers en clouddiensten? Wat is de (imago) schade als uitkomt dat daar door Amerikaanse inlichtingendiensten of Amerikaanse bedrijven in gezocht wordt?
  • Het gebruik van diensten van Google (docs, etc), Microsoft (Office 365), Amazon (AWS etc.), Facebook (bedrijfs pagina met aanmeldingen, likes, etc), Apple (voor bedrijfsmatig gebruik van telefoons, iPads met datareplicatie naar iCloud), Android telefoons, etc etc., is of wordt een overtreding van Nederlands/Europees recht. Heb ik een exit strategie, bijvoorbeeld door gebruik te maken van Europese alternatieven?
  • Kan ik dit ook als dit op heel korte termijn gebeurt (presidentiele handtekening)?
  • Als dit gebeurt, moet ik dan een melding doen bij de Autoriteit Persoonsgegevens?. En mijn klanten inlichten? Wat is de reële schade? Wat de imagoschade?
  • Een aantal grote dienstverleners biedt zijn diensten vanuit Europa aan. In ieder geval Microsoft houdt de Amerikaanse veiligheidsdiensten voorlopig buiten de deur. Blijft dit zo? En zo niet, wat zijn daar de consequentie van? Hoe staat MS’s concurrentie in deze wedstrijd?

Meer algemeen is er ook nog een andere boodschap: de zekerheden van gisteren zijn niet de zekerheden van morgen. Dit kan heel plotseling gebeuren. Dit betekent dat het absoluut nodig is om op gezette tijden de uitgangspunten waarop de huidige IT, personeels- en proces zijn afgestemd, tegen het licht gehouden moeten worden:

  • Welke beveiliging, continuïteit en privacy risico’s zijn verbonden aan het gebruik van externe diensten?
  • Weet ik welke informatie extern wordt verwerkt of opgeslagen?
  • Ben ik niet ‘met huid en haar’ overgeleverd aan één externe (cloud) leverancier?
  • Heb ik de beschikking over een (leverancier onafhankelijke) lokale back-up van mijn gegevens, en kan ik die ook met andere oplossingen of diensten verwerken?

Een willekeurige greep uit achtergond artikelen:

  1. https://techcrunch.com/2017/01/26/trump-order-strips-privacy-rights-from-non-u-s-citizens-could-nix-eu-us-data-flows/
  2. https://blog.iusmentis.com
  3. https://www.theregister.co.uk/2017/01/26/trump_blows_up_transatlantic_privacy_shield/
  4. https://euobserver.com/justice/136699
  5. http://diginomica.com/2017/01/30/privacy-shields-wooly-thinking-just-unraveled-thanks-president-trump/

Is privacy lastig? Of uit de tijd? (4/5): De rol van de overheid

Door | privacy | Geen reacites

Het is me de afgelopen tijd een aantal keer overkomen. Een IT architect/ontwerper/engineer die begeesterd praat over alle mooie mogelijkheden die beschikbare nieuwe techniek biedt, en vervolgens en passant zegt dat de privacyregels eigenlijk maar lastig zijn. ‘We mogen wel iets minder privacybewust zijn, want we moeten door’.

Is privacy werkelijk achterhaald? En zijn het dan de techneuten die bepalen wat mag?

Dit is het vierde deel van een privacy vijfluik. In deel 1 keek ik naar de persoonlijke kant van dit vraagstuk. Deel 2 ging dieper in op wat een slimme data-analist zoal kan met grote hoeveelheden persoonsgegevens. Deel 3 ging over de taken en verantwoordelijkheden van persoonsgegevens verzamelende en verwerkende organisaties. Dit deel 4 behandelt de rol van de overheid. In deel 5 zal ik proberen een conclusie te formuleren.

De rol van de overheid

De overheid heeft drie petten op als het gaat om de bescherming van de privacy van haar 16,8 miljoen aandeelhouders, namelijk als wetgever, als beschermheer en als grootverzamelaar. Soms komen deze rollen met elkaar in conflict.

De overheid als wetgever en toezichthouder

De EU en in het verlengde daarvan Nederland zijn in beweging op het privacyvlak. De noodzaak om privacygevoelige informatie te beschermen is erkend, zowel op Europees niveau als in Nederland wordt de wet aangescherpt. Als onderdeel hiervan krijgt de toezichthouder College Bescherming Persoonsgegevens (CBP) scherpere tanden. Recente acties van Amerikaanse (cloud) providers bewijzen dat dit effectief is. De Amerikaanse wet schrijft relatief beperkte privacyregels voor. Bovendien vindt de Amerikaanse overheid dat zij onbegrensd in de informatie mag rondsnuffelen, ook als de data in Europa is opgeslagen. Daardoor hebben de providers een minder goede business propositie dan hun Europese collega’s. Ze komen nu in verzet omdat ze bang zijn voor omzetderving.

De paradox is dat momenteel aan de ene kant scherpere regels die het verzamelen en verwerken van persoonsgegevens door organisaties inperken ontstaan, terwijl aan de andere kant burgers zelf met groot genoegen hun complete doopceel ‘op Internet gooien’. Alles beschermen is een uitdaging die we waarschijnlijk gaan verliezen. Wat nodig is, is een debat over wat we als privacygevoelig materiaal beschouwen. Een kleine(re) set aan persoonsgegevens waar we ons met z’n allen echt druk om maken is in mijn ogen beter.

Mijn advies aan de overheid: beperk de privacywetgeving tot het doel en vermijd het vermelden of verbieden van techniek. De cookie wetgeving is hierbij het slechte voorbeeld. Die is zijn doel ver voorbij geschoten door de techniek in de wet te benoemen en niet het doel. De verplichting om toestemming te vragen bij het plaatsen van cookies is functioneel onhandig en lost helaas slechts een deel van het probleem op. Alle andere mogelijkheden om gebruikers te volgen blijven buiten schot. De wet raakt bovendien de kern niet, want de vraag ‘ik wil een cookie plaatsen, mag dit?’ laat de achterliggende bedoeling ‘ik wil jouw gegevens doorverkopen, mag dit?’ volledig buiten schot. Een privacylabel naar analogie van het energielabel, of naar analogie van het ‘roken kan dodelijk zijn’ op een pakje sigaretten, werkt misschien beter. Dit moet natuurlijk ook afgedwongen worden voor niet-EU partijen. Zou Facebook net zo populair blijven als het een dieprode “G” zou scoren als privacylabel? Of Instagram als het verplicht wordt een boodschap te tonen in de trant van “gebruik van deze website is dodelijk voor uw privacy”?

De overheid als beschermheer

De overheid heeft de unieke opdracht om ons te beschermen tegen (digitaal) onheil. Nu opnieuw na de aanslagen in Parijs is de roep om op grote schaal verkeersgegevens te verzamelen, en om de inhoud van al onze berichten op het Internet in te kunnen zien weer sterker geworden. Het lijkt wel geregisseerd hoe ministers uit Engeland, België en de VS (om er een paar te noemen) allemaal te keer gaan tegen de encryptie die tegenwoordig steeds vaker door communicatieprogramma’s standaard zijn ingebouwd. Blijkbaar is het massaal afluisteren van intercontinentale glasvezelkabels, radio of satellietverkeer en binnenkort ook vaste verbindingen, kabel en glasvezel niet meer effectief (genoeg). Nu kan ik me bij de wens iets voorstellen als er gericht naar bepaalde boeven wordt gespeurd. Maar zodra de rechter hier niet meer aan te pas hoeft te komen, zoals nu het geval is bij Justitieel Aftappen van telefoonverkeer, worden deze geïnstitutionaliseerde backdoors al snel Weapons of Mass Surveillance. Daarnaast zullen die backdoors al snel een gewild doelwit worden voor het boevengilde.

monitoring

Een beetje schizofreen is onze reactie weer wel. Aan de ene kant juichen we de stappen van Whatsapp, Facebook en Google toe om net als banken het verkeer naar hun datacentra te encrypten (https, groen slotje). Maar waarom zou je het verkeer naar zo’n dienst beschermen als diezelfde dienst aan de achterkant ongestoord en op grote schaal commercieel met jouw gegevens aan de haal kan gaan, vaak met jouw onbewuste toestemming. Blijkbaar mogen de Apple’s en Facebook’s van deze wereld ‘meer’ van ons dan de veiligheidsdiensten.

De overheid als grootverzamelaar van persoonsgegevens

Zonder twijfel zijn de dataverzamelingen van de overheid de grootste die in ons land te vinden zijn. Het privacygevaar schuilt hem in de mogelijkheid om gegevens voor iets anders te gebruiken dan in eerste aanleg de bedoeling was. Nederland heeft hierin een niet al te best track record. Zo gebruikt de overheid camerabeelden voor trajectsnelheidscontrole of verkeersveiligheid nu ook om te bewijzen dat bepaalde personen op moment X op plaats Y zijn geweest. En vonden opsporingsinstanties de centrale opslag van vingerafdrukken op het paspoort, die bedoeld zijn voor identificatie aan de grens, ook heel handig om de ‘eigenaar’ van ‘onbekende’ vingerafdrukken op een Plaats Delict te bepalen. De centrale opslag is uiteindelijk door de Tweede Kamer afgewezen.

Door combinatie van gegevens tussen verschillende overheidsinstanties kan een zeer nauwkeurig beeld van burgers worden opgebouwd. Denk aan de koppeling van datasets van belastingdienst, uitkeringsinstanties, etc. om fraude op te sporen (project SyRi). Maar ander afwijkend gedrag valt er net zo goed uit te halen, of dit nu gaat om strafbare feiten of om volstrekt legitiem gedrag dat anders is dan de norm. En wie bepaalt die norm dan?

En als je de semipublieke sector hier bij betrekt wordt het beeld nog donkerder. Denk aan woningbouwverenigingen die een inkomenstoets moeten uitvoeren, en de verkregen broninformatie vast wel ergens opslaan. Denk aan het Elektronisch Patiënten Dossier, dat vanwege privacy gerelateerde problemen niet door de Tweede Kamer kwam, maar nu als Landelijk Schakel Punt min of meer onder water en onder regie van de zorgaanbieders alsnog wordt ingevoerd. Je moet persoonlijk toestemming geven voordat jouw gegevens met andere zorgaanbieders ‘gedeeld’ mogen worden. Maar die toestemming wordt een beetje een farce als je bij de apotheek wordt gevraagd ‘Meneer van Wijk, wilt u dit formuliertje even ondertekenen, want dat is handig voor het delen van uw informatie’, zonder dat daarbij de nadelen en reserves van de Kamer worden vermeld.

Dat de Big Brother Awards in 2014 voor de zoveelste keer aan minister Ivo Opstelten zijn toegekend maken mij niet geruster op het inherent betrouwbare karakter van ‘mijn’ overheid.

Dus overheid: houd je aan je eigen regels en luister naar de toezichthouder!

Is privacy lastig? Of uit de tijd? (3/5)

Door | privacy | Geen reacites

Is privacy lastig? Of uit de tijd? (3/5)

Het is me de afgelopen tijd een aantal keer overkomen. Een IT architect/ontwerper/engineer die begeesterd praat over alle mooie mogelijkheden die beschikbare nieuwe techniek biedt, en vervolgens en passant zegt dat de privacy regels eigenlijk maar lastig zijn. ‘We mogen wel iets minder privacybewust zijn, want we moeten door’.

Is privacy werkelijk achterhaald? En zijn het dan de techneuten die bepalen wat mag?

In deel 1 van mijn privacy reeks keek ik naar de persoonlijke kant van dit vraagstuk. Deel 2 ging dieper in op wat een slimme data-analist zoal kan met heel veel persoonlijke data. Dit deel 3 heeft de taken en verantwoordelijkheden van de verantwoordelijke en de verwerker van persoonsgegevens als onderwerp. Deel 4 kijkt naar de overheid en in het laatste deel probeer ik een conclusie te formuleren.

Wat is er aan de hand?

Organisaties verzamelen, bewaren en bewerken steeds vaker steeds grotere hoeveelheden persoonsgegevens. En niet altijd bewust. Een deel van deze dataverzamelingen zijn nodig voor de directe dienstverlening: een zorgverzekeraar moet bijhouden bij welke arts je bent geweest, een telecom operator moet weten via welke radiomasten een telefoontoestel contact heeft en hoeveel belminuten er zijn gebruikt, een webshop heeft naam en adres nodig om aangekochte spulletjes te kunnen versturen.

Van een ander deel van de vergaarde informatie is de noodzaak minder duidelijk of niet rechtstreeks gekoppeld aan de geadverteerde initiële doelstelling. Denk aan cameragegevens voor trajectcontrole op de snelweg. Denk aan de grote database waarin alle vingerafdrukken van onze paspoorten zouden worden opgeslagen (ging uiteindelijk niet door).

Soms wordt deze informatie zonder expliciete toestemming verzameld. Denk aan klantvolgsystemen in winkels of zelfs gemeentes. Een ander goed bijvoorbeeld zijn alle trackers op websites waarmee ons surfgedrag vrijwel volledig te monitoren is.

Dat deze informatie zeer interessant is en commerciële waarde vertegenwoordigt maakt PostNL dochter Cendris duidelijk met de wijze waarop de welbekende ‘verhuisdienst’ ook aan de ‘achterkant’ te gelde wordt gemaakt.

Soms wordt de informatie alleen maar verzameld ‘omdat het kan’ (vooral mobiele apps zijn hier berucht om) en er niet wordt stil gestaan bij de impact voor de gebruiker. Welke hotelketen bewaart geen verzameling ‘kopietje identiteitsbewijs’ van iedere bezoeker hoewel dat wettelijke niet is toegestaan?

index

bron: http://www.dilbert.com

De waarde voor de verzamelende organisatie zelf is duidelijk. Maar ook voor kwaadwillenden is zo’n berg persoonsgegevens een mooi doelwit. En dat laadt een bijzondere verantwoordelijkheid op de schouders van iedere organisatie die persoonsgegevens ontvangt, verzamelt en verwerkt. Deze verantwoordelijkheid is wettelijk vastgelegd (Wet bescherming persoonsgegevens, Telecom wet). De strakke regels en hoge boetes uit de Telecom wet, zoals de meldplicht datalekken, worden nu op Europees niveau vastgelegd en zullen op termijn voor alle organisaties gaan gelden. Maar lang niet iedere organisatie is zich hier van bewust, en bereid zich hier dus ook niet op voor.

Wat moet ik doen?

Verzamelingen met persoonsgegevens moeten volgens de wet adequaat worden beschermd. Dit werd vroeger gevat in de termen ‘gepaste technische en organisatorische maatregelen’, tegenwoordig geven de Richtsnoeren beveiliging van persoonsgegevens van het College Bescherming Persoonsgegevens een handreiking. Maar het gaat nog al eens mis. In de afgelopen jaren zijn in een schier eindeloze rij met inbraken en ongelukken grote hoeveelheden privacygevoelige informatie vrijgekomen [link1] [link2]. Dat Nederland niet is vergeten door het boevengilde bewijzen de inbraak bij KPN en de Nederlandse Publieke Omroep. Soms blijven gevolgen uit omdat de ‘vinder’ van de informatie de door hem/haar getroffen organisatie inlicht zoals bij De Hogeschool van Amsterdam en de Nederlandse Zorgautoriteit (NZa). Maar altijd zijn de gevolgen voor de betrokken personen groot, net als de reputatieschade voor getroffen organisaties.

Bedrijfsprocessen

Om te weten hoe je de persoonsgegevens die je verzamelt moet beschermen, moet je eerst weten wat je verzamelt, en welke systemen daarbij een rol spelen. Het begint dus bij een analyse van de bedrijfsprocessen. Veel organisaties zullen hun automatisering hebben aangepakt als een 1-op-1 vervanging van bestaande papieren processen.

Dat daarbij de plank kan worden misgeslagen bewijst een grote verzekeraar.
Bij de aanvraag voor een arbeidsongeschiktheidsverzekering moet de aanvrager een uitgebreide vragenlijst over de gezondheid invullen, die volgens de richtlijnen van het verbond van verzekeraars alleen door bevoegd medisch personeel mag worden beoordeeld. Vroeger ging die vragenlijst in een envelop via de post (briefgeheim!). Tegenwoordig word hij echter opgestuurd naar de tussenpersoon (wel vertrouwelijk maar niet medisch bevoegd), die hem vervolgens digitaliseert (en dus de inhoud kan bekijken, als bijvangst staat het bestand nu bij de tussenpersoon op de/een harde schijf, of in de cloud) en via de email bij de verzekeraar bezorgt (geen briefgeheim, wie weet op welke servers allemaal wel geen kopietje achterblijft). Hier is in mijn optiek geen sprake van gepaste maatregelen ter bescherming van deze informatie. Een betere analyse van het proces had deze misser kunnen voorkomen.

Systemen en applicaties

Als het proces in kaart is gebracht, dan zullen de betrokken systemen op een goede manier beveiligd moeten worden. Het hele scala van patchen, hardening, autorisatiebeheer, netwerksegmentering, die samen eigenlijk een basis beschermingsniveau vormen, zal ingericht moeten worden. Ook hier gaat het wel eens mis, zoals bijvoorbeeld het Groene Hart Ziekenhuis bewees. Daarnaast zal er aandacht moeten zijn voor detectie en response op ongewenste activiteiten in het netwerk of op de systemen en applicaties. Dit zal zeker in een wereld waarbij (grote) delen van het applicatie- en systeemlandschap bij derde partijen in beheer zijn (cloud, outsourcing) geen vanzelfsprekendheid zijn. Maar de wet is duidelijk: de organisatie die persoonsgegevens verzamelt (verantwoordelijke in WBP termen) houdt ten alle tijde de eindverantwoordelijkheid en zal dus in contracten met leveranciers (verwerkers in WBP termen) bescherming van persoonsgegevens expliciet moeten benoemen.

Ontwikkelen van applicaties en systemen

“Ik wil ook een app”. In hoeveel directiekamers zijn deze woorden het afgelopen jaar niet voorbij gekomen? Op zich een goed teken dat de moderne tijd ook hier zijn intrede doet. Maar die app ontwikkeling zal wel zorgvuldig moeten gebeuren, want anders wordt de organisatie potentieel opgescheept met een privacy- en securityprobleem. Hetzelfde speelt natuurlijk ook bij ‘normale’ applicatie- en systeemontwikkeling onder eigen verantwoordelijkheid. Helaas moeten ook commerciële off the shelf producten beoordeeld worden. Hard- en softwareleveranciers brengen momenteel spullen met securitygaten op de markt. Het is zo erg dat Jaya Baloo, CISO van KPN, oproept om regels te maken die dit moeten voorkomen. Haar Red Team met “knuffel hackers” vindt blijkbaar zoveel zaken die niet in orde zijn dat een noodkreet op zijn plaats is.

Governance

Het hier boven beschreven bouwwerk is net zo stevig als de governance structuur van de organisatie. Als de verantwoordelijkheid voor persoonsgegevens die een organisatie verzamelt en verwerkt niet op het hoogste niveau ‘geleefd’ wordt, dan wordt het erg moeilijk om informatiebeveiliging goed te implementeren in de organisatie. Bescherming van persoonsgegevens kost geld, moeite en menskracht, en kan gemakkelijk sneuvelen in het geweld van snelheid, budgetten en onkunde. In mijn ogen is dit wat er bij het Groene Hart Ziekenhuis is gebeurd: we doen wat (we denken dat) voorgeschreven is (pdf, pagina 18). Impliciet zegt de directie van het GHZ hier dat zij zich niet heeft gerealiseerd dat zij hier ook een eigen verantwoordelijkheid heeft om risico’s te beoordelen en om maatregelen te implementeren.

Nieuwe EU regels verplichten middelgrote en grote ondernemingen om een een Data Protection Officer aan te stellen. Als deze functionaris echter ‘te diep wordt weggestopt in de organisatie’, zal hij/zij weinig invloed kunnen uitoefenen en worden de doelen voor de organisatie mogelijk niet gehaald.