CBP-SIOD: 1-0

juni 25, 2010 at 10:12 am (Achtergrond, Columns, Privacy) (, , , )

In 2009 heeft het College Bescherming Persoonsgegevens (CBP) een onderzoek verricht bij de Sociale Inlichtingen en Opsporings Dienst (SIOD), onderdeel van het ministerie van SZW. De SIOD doet onderzoek naar fraude onder uitkeringsgerechtigden en maakt hierbij gebruik van gekoppelde bestanden met persoonsgegevens. Bij het onderzoek van het CBP werd de nadruk gelegd op een aantal aspecten uit de Wet bescherming persoonsgegevens (Wbp). Het rapport is leesbaar en bevat relevante informatie over de wijze waarop het CBP het onderzoek heeft uitgevoerd. Datzelfde rapport laat enkele vragen onbeantwoord. Vandaar dat ik wat dieper inga op de onderzoekswijze en op zoek ga naar onbeantwoorde vragen.

Toen de SIOD begon met het inrichten van een organisatie en het opstellen van een onderzoeksmethode om uitkeringsfraude te herkennen hebben zij het CBP hierbij betrokken. Dit wekt de indruk dat de onderzoeksmethode de initiële goedkeuring heeft van het CBP.

Het CBP heeft de uitgangpunten in de documenten van de SIOD getoetst. Daarnaast heeft het CBP een of meer huisbezoeken afgelegd en medewerkers op verschillende locaties geïnterviewd. Het conceptrapport met de bevindingen is gedeeld met het ministerie van SZW en op basis van (toelichtende) antwoorden is de definitieve versie vastgesteld. Dit lijkt mij een correcte wijze van onderzoeken, waarbij ik er gemakshalve van uit ga dat het CBP zich netjes heeft gemeld bij de SIOD met een verzoek om interviews af te mogen nemen en niet in het geniep heeft gehandeld.

Bij het lezen van het rapport vroeg ik mij meteen af wat de aanleiding is geweest voor het onderzoek. Zelfs als dit is afgesproken in het voorgaande traject, dan zou je hier nog steeds een verwijzing naar deze afspraak verwachten.

De onderzoekers zijn diep in de door de SIOD toegepaste werkwijze gedoken. Wat ik niet aantrof is een beoordeling van de mate waarin het geoorloofd is dat bestanden (van uitkeringsgerechtigden, waterverbruik en kadastergegevens) worden gekoppeld. Tevens blijkt nergens dat er toestemming is van de in deze registraties opgenomen personen, of dat zij over de koppeling geïnformeerd zijn. In het rapport staat wel een bevinding dat men over de koppeling voor het SIOD onderzoek geïnformeerd had moeten worden. Mijn punt gaat echter over de bronbestanden, vóór de koppeling. Daar heeft het CBP een kans laten liggen.

Een andere vraag waar het CBP niet over schrijft heeft betrekking op de doelbinding, proportionaliteit en subsidiariteit. Is de schending van de privacy wel voldoende beperkt en waren er geen lichtere middelen mogelijk om kennelijke frauduleuze praktijken in beeld te brengen? Zelfs als dit in orde is dan nog was het een goed punt geweest van de onderzoekers van het CBP om dit mee te nemen in de rapportage.

Ik zie nieuwe mogelijkheden (en risico’s, afhankelijk van je standpunt) voor de “slimme” elektriciteitsmeters die op afstand kunnen worden uitgelezen. Wie zegt dat big brother SIOD niet meeleest?

Advertenties

Permalink Geef een reactie

Onzinnige IB maatregelen – akkoord voor inloggen

juni 22, 2010 at 10:51 am (Achtergrond, Beleid, Oplossingen) (, , , , , , )

In de serie onzinnige informatiebeveiligingsmaatregelen, vandaag het akkoord voor inloggen.

Enkele bedrijven hebben deze maatregel ingevoerd, waarbij je als gebruiker voor of na het inloggen akkoord moet gaan met de gedragscode op het netwerk. Dit is de digitale variant van het bordje “Verboden toegang, art. 461 W.v.Sr.”. Dat is tevens de zwakte van het systeem. Als je als organisatie hieraan begint, dan dien je er wel voor te zorgen dat je op alle digitale toegangen een dergelijk bordje zet. Anders kan iemand die zich toegang heeft verschaft via een onbekend kanaal stellen dat hij niet wist dat het niet mocht, er hing immers geen bordje.

Door aan gebruikerszijde deze melding te plaatsen laat je de gebruikers een of twee extra handelingen verrichten voordat zij op het netwerk zijn. Dit wordt al snel een routine, zonder dat de tekst wordt gelezen of begrepen. Dat komt het beveiligingsbewustzijn niet ten goede en is een verkeerde manier van toepassen van het informatiebeveiligingsbeleid.

Verder kun je je afvragen wanneer je de melding moet tonen, voor of na het inloggen. Voor het inloggen zou betekenen dat een gebruiker nog kan weigeren. Maar hij heeft een overeenkomst of opdracht, waarin al de zaken met betrekking tot beveiliging zijn geregeld. Niet accorderen is geen optie en de maatregel voegt niets toe. Na het inloggen tonen heeft evenmin een toegevoegde waarde, men is immers – logisch gezien – al binnen. Dat is het hetzelfde als een portier binnenzetten om ongewenste gasten buiten te houden.

Organisaties die iets met een akkoord verklaring willen doen kunnen dat beter regelen met algemene voorwaarden voor het gebruik van IT middelen. Door die jaarlijks te ondertekenen, bijvoorbeeld tijdens integriteitssessies of door het bij de beoordelingsgesprekken op de agenda te zetten, wordt eveneens voldaan aan het kenbaarheidsprincipe. “Ik wist het niet” is daarmee geneutraliseerd.

Gebruikers die zich regelmatig actief akkoord verklaren zijn zich daar veel meer van bewust dan degenen die dagelijks een vakje aanvinken en op OK klikken.

Permalink Geef een reactie

Instant messaging in een bedrijfsomgeving

juni 14, 2010 at 6:39 pm (Beleid, Oplossingen, Privacy) (, , , , , , , , )

Veel grotere bedrijven, waaronder (delen van) de rijksoverheid maken gebruik van instant messaging (IM). Dat kan voor intern gebruik zijn, of om contacten te onderhouden met de buitenwereld. Er zijn verschillende aanbieders van enterprise oplossingen voor IM. Zij onderscheiden zich bijvoorbeeld door IM protocollen van andere leveranciers te ondersteunen, virusprotectie of beheer van accounts.

Logging
Een functionaliteit die veel van deze producten hebben is het loggen (registreren) van verbindingen. Dan kan zowel centraal (op de server) als lokaal (bij de client op de desktop) zijn ingesteld. Iemand die deze blog volgt voelt hem al aankomen, hier zit een privacy luchtje aan.

Van e-mail weten we dat er registratie plaatsvindt bij het verzenden en ontvangen van e-mailberichten. De mails zelf worden vastgelegd in de mailbox. Dat moet ook wel, anders heb je er niets aan. E-mail kan gebruikt worden als bewijsgevend materiaal. Voor IM, dat niet echt is ingeburgerd in het bedrijfsleven, zou je soortgelijke regels verwachten. Toch komen de meeste clients met een voorinstelling waarbij de logging uitstaat.

Accounts
Een bedrijf zal eveneens zelf het beheer van de IM accounts willen uitvoeren, om de professionele uitstraling te kunnen handhaven. Dit is natuurlijk vooral van belang bij externe contacten. Iemand met de alias ‘lekkerding88@hotmail.com’ komt net zo serieus over als ‘leethaxor@yahoo.com’. Gesteld dat een accountmanager een dergelijke IM account gebruikt bij zijn zakelijke contacten, dan zal dat de professionele uitstraling van de organisatie nadelig beïnvloeden.

Het controleren van de bedrijfspolicy met betrekking tot de naamgeving is een ding. Een organisatie zal het eveneens niet waarderen als een ex-medewerker de accountnaam ‘janssen-bedrijfsnaam@hotmail.com’ blijft hanteren na zijn vertrek. Centraal beheer van IM accounts is een belangrijk punt. Bij het selecteren van de enterprise oplossing voor IM moet beheer van accounts deel uitmaken van de oplossing.

Beleid
IM berichten zijn vaak kort en informele krabbels, waarbij vastlegging – vanuit gebruikerstandpunt bezien – niet nodig of gewenst is. Voor bedrijven kan dat anders zijn, zeker als er contacten met externe partijen worden onderhouden met behulp van IM. Centrale logging van dat IM verkeer kan dan zeker gewenst zijn, bijvoorbeeld voor bewijsvoering. Meestal gaat hierbij de voorkeur naar het vastleggen van de gegevens bij de client software. Dat levert trouwens wel problemen op bij ontslag van een medewerker.

Voor mailboxen zijn vaak protocollen ingeregeld waarbij eisen zijn geformuleerd over de omstandigheden waaronder een mailbox wordt geopend, om de privacy van de medewerker te beschermen. Bij IM moet dit eveneens geregeld worden, de werkgever kan hier een belang hebben, zoals het nakomen van afspraken met derde partijen die door betrokken medewerker zijn gemaakt. Een methode om dit te borgen is het opstellen van voorwaarden voor het gebruik van IM. Daaronder kan het vastleggen van IM conversaties horen, net als richtlijnen voor het gebruik van de account.

Als dit proces goed is ingeregeld, zal het privacy luchtje niet gaan stinken.

Permalink Geef een reactie