Is privacy lastig? Of uit de tijd? (3/5)

Door 16 januari 2015 privacy Geen reacites

Is privacy lastig? Of uit de tijd? (3/5)

Het is me de afgelopen tijd een aantal keer overkomen. Een IT architect/ontwerper/engineer die begeesterd praat over alle mooie mogelijkheden die beschikbare nieuwe techniek biedt, en vervolgens en passant zegt dat de privacy regels eigenlijk maar lastig zijn. ‘We mogen wel iets minder privacybewust zijn, want we moeten door’.

Is privacy werkelijk achterhaald? En zijn het dan de techneuten die bepalen wat mag?

In deel 1 van mijn privacy reeks keek ik naar de persoonlijke kant van dit vraagstuk. Deel 2 ging dieper in op wat een slimme data-analist zoal kan met heel veel persoonlijke data. Dit deel 3 heeft de taken en verantwoordelijkheden van de verantwoordelijke en de verwerker van persoonsgegevens als onderwerp. Deel 4 kijkt naar de overheid en in het laatste deel probeer ik een conclusie te formuleren.

Wat is er aan de hand?

Organisaties verzamelen, bewaren en bewerken steeds vaker steeds grotere hoeveelheden persoonsgegevens. En niet altijd bewust. Een deel van deze dataverzamelingen zijn nodig voor de directe dienstverlening: een zorgverzekeraar moet bijhouden bij welke arts je bent geweest, een telecom operator moet weten via welke radiomasten een telefoontoestel contact heeft en hoeveel belminuten er zijn gebruikt, een webshop heeft naam en adres nodig om aangekochte spulletjes te kunnen versturen.

Van een ander deel van de vergaarde informatie is de noodzaak minder duidelijk of niet rechtstreeks gekoppeld aan de geadverteerde initiële doelstelling. Denk aan cameragegevens voor trajectcontrole op de snelweg. Denk aan de grote database waarin alle vingerafdrukken van onze paspoorten zouden worden opgeslagen (ging uiteindelijk niet door).

Soms wordt deze informatie zonder expliciete toestemming verzameld. Denk aan klantvolgsystemen in winkels of zelfs gemeentes. Een ander goed bijvoorbeeld zijn alle trackers op websites waarmee ons surfgedrag vrijwel volledig te monitoren is.

Dat deze informatie zeer interessant is en commerciële waarde vertegenwoordigt maakt PostNL dochter Cendris duidelijk met de wijze waarop de welbekende ‘verhuisdienst’ ook aan de ‘achterkant’ te gelde wordt gemaakt.

Soms wordt de informatie alleen maar verzameld ‘omdat het kan’ (vooral mobiele apps zijn hier berucht om) en er niet wordt stil gestaan bij de impact voor de gebruiker. Welke hotelketen bewaart geen verzameling ‘kopietje identiteitsbewijs’ van iedere bezoeker hoewel dat wettelijke niet is toegestaan?

index

bron: http://www.dilbert.com

De waarde voor de verzamelende organisatie zelf is duidelijk. Maar ook voor kwaadwillenden is zo’n berg persoonsgegevens een mooi doelwit. En dat laadt een bijzondere verantwoordelijkheid op de schouders van iedere organisatie die persoonsgegevens ontvangt, verzamelt en verwerkt. Deze verantwoordelijkheid is wettelijk vastgelegd (Wet bescherming persoonsgegevens, Telecom wet). De strakke regels en hoge boetes uit de Telecom wet, zoals de meldplicht datalekken, worden nu op Europees niveau vastgelegd en zullen op termijn voor alle organisaties gaan gelden. Maar lang niet iedere organisatie is zich hier van bewust, en bereid zich hier dus ook niet op voor.

Wat moet ik doen?

Verzamelingen met persoonsgegevens moeten volgens de wet adequaat worden beschermd. Dit werd vroeger gevat in de termen ‘gepaste technische en organisatorische maatregelen’, tegenwoordig geven de Richtsnoeren beveiliging van persoonsgegevens van het College Bescherming Persoonsgegevens een handreiking. Maar het gaat nog al eens mis. In de afgelopen jaren zijn in een schier eindeloze rij met inbraken en ongelukken grote hoeveelheden privacygevoelige informatie vrijgekomen [link1] [link2]. Dat Nederland niet is vergeten door het boevengilde bewijzen de inbraak bij KPN en de Nederlandse Publieke Omroep. Soms blijven gevolgen uit omdat de ‘vinder’ van de informatie de door hem/haar getroffen organisatie inlicht zoals bij De Hogeschool van Amsterdam en de Nederlandse Zorgautoriteit (NZa). Maar altijd zijn de gevolgen voor de betrokken personen groot, net als de reputatieschade voor getroffen organisaties.

Bedrijfsprocessen

Om te weten hoe je de persoonsgegevens die je verzamelt moet beschermen, moet je eerst weten wat je verzamelt, en welke systemen daarbij een rol spelen. Het begint dus bij een analyse van de bedrijfsprocessen. Veel organisaties zullen hun automatisering hebben aangepakt als een 1-op-1 vervanging van bestaande papieren processen.

Dat daarbij de plank kan worden misgeslagen bewijst een grote verzekeraar.
Bij de aanvraag voor een arbeidsongeschiktheidsverzekering moet de aanvrager een uitgebreide vragenlijst over de gezondheid invullen, die volgens de richtlijnen van het verbond van verzekeraars alleen door bevoegd medisch personeel mag worden beoordeeld. Vroeger ging die vragenlijst in een envelop via de post (briefgeheim!). Tegenwoordig word hij echter opgestuurd naar de tussenpersoon (wel vertrouwelijk maar niet medisch bevoegd), die hem vervolgens digitaliseert (en dus de inhoud kan bekijken, als bijvangst staat het bestand nu bij de tussenpersoon op de/een harde schijf, of in de cloud) en via de email bij de verzekeraar bezorgt (geen briefgeheim, wie weet op welke servers allemaal wel geen kopietje achterblijft). Hier is in mijn optiek geen sprake van gepaste maatregelen ter bescherming van deze informatie. Een betere analyse van het proces had deze misser kunnen voorkomen.

Systemen en applicaties

Als het proces in kaart is gebracht, dan zullen de betrokken systemen op een goede manier beveiligd moeten worden. Het hele scala van patchen, hardening, autorisatiebeheer, netwerksegmentering, die samen eigenlijk een basis beschermingsniveau vormen, zal ingericht moeten worden. Ook hier gaat het wel eens mis, zoals bijvoorbeeld het Groene Hart Ziekenhuis bewees. Daarnaast zal er aandacht moeten zijn voor detectie en response op ongewenste activiteiten in het netwerk of op de systemen en applicaties. Dit zal zeker in een wereld waarbij (grote) delen van het applicatie- en systeemlandschap bij derde partijen in beheer zijn (cloud, outsourcing) geen vanzelfsprekendheid zijn. Maar de wet is duidelijk: de organisatie die persoonsgegevens verzamelt (verantwoordelijke in WBP termen) houdt ten alle tijde de eindverantwoordelijkheid en zal dus in contracten met leveranciers (verwerkers in WBP termen) bescherming van persoonsgegevens expliciet moeten benoemen.

Ontwikkelen van applicaties en systemen

“Ik wil ook een app”. In hoeveel directiekamers zijn deze woorden het afgelopen jaar niet voorbij gekomen? Op zich een goed teken dat de moderne tijd ook hier zijn intrede doet. Maar die app ontwikkeling zal wel zorgvuldig moeten gebeuren, want anders wordt de organisatie potentieel opgescheept met een privacy- en securityprobleem. Hetzelfde speelt natuurlijk ook bij ‘normale’ applicatie- en systeemontwikkeling onder eigen verantwoordelijkheid. Helaas moeten ook commerciële off the shelf producten beoordeeld worden. Hard- en softwareleveranciers brengen momenteel spullen met securitygaten op de markt. Het is zo erg dat Jaya Baloo, CISO van KPN, oproept om regels te maken die dit moeten voorkomen. Haar Red Team met “knuffel hackers” vindt blijkbaar zoveel zaken die niet in orde zijn dat een noodkreet op zijn plaats is.

Governance

Het hier boven beschreven bouwwerk is net zo stevig als de governance structuur van de organisatie. Als de verantwoordelijkheid voor persoonsgegevens die een organisatie verzamelt en verwerkt niet op het hoogste niveau ‘geleefd’ wordt, dan wordt het erg moeilijk om informatiebeveiliging goed te implementeren in de organisatie. Bescherming van persoonsgegevens kost geld, moeite en menskracht, en kan gemakkelijk sneuvelen in het geweld van snelheid, budgetten en onkunde. In mijn ogen is dit wat er bij het Groene Hart Ziekenhuis is gebeurd: we doen wat (we denken dat) voorgeschreven is (pdf, pagina 18). Impliciet zegt de directie van het GHZ hier dat zij zich niet heeft gerealiseerd dat zij hier ook een eigen verantwoordelijkheid heeft om risico’s te beoordelen en om maatregelen te implementeren.

Nieuwe EU regels verplichten middelgrote en grote ondernemingen om een een Data Protection Officer aan te stellen. Als deze functionaris echter ‘te diep wordt weggestopt in de organisatie’, zal hij/zij weinig invloed kunnen uitoefenen en worden de doelen voor de organisatie mogelijk niet gehaald.

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.