CBP-SIOD: 1-0

juni 25, 2010 at 10:12 am (Achtergrond, Columns, Privacy) (, , , )

In 2009 heeft het College Bescherming Persoonsgegevens (CBP) een onderzoek verricht bij de Sociale Inlichtingen en Opsporings Dienst (SIOD), onderdeel van het ministerie van SZW. De SIOD doet onderzoek naar fraude onder uitkeringsgerechtigden en maakt hierbij gebruik van gekoppelde bestanden met persoonsgegevens. Bij het onderzoek van het CBP werd de nadruk gelegd op een aantal aspecten uit de Wet bescherming persoonsgegevens (Wbp). Het rapport is leesbaar en bevat relevante informatie over de wijze waarop het CBP het onderzoek heeft uitgevoerd. Datzelfde rapport laat enkele vragen onbeantwoord. Vandaar dat ik wat dieper inga op de onderzoekswijze en op zoek ga naar onbeantwoorde vragen.

Toen de SIOD begon met het inrichten van een organisatie en het opstellen van een onderzoeksmethode om uitkeringsfraude te herkennen hebben zij het CBP hierbij betrokken. Dit wekt de indruk dat de onderzoeksmethode de initiële goedkeuring heeft van het CBP.

Het CBP heeft de uitgangpunten in de documenten van de SIOD getoetst. Daarnaast heeft het CBP een of meer huisbezoeken afgelegd en medewerkers op verschillende locaties geïnterviewd. Het conceptrapport met de bevindingen is gedeeld met het ministerie van SZW en op basis van (toelichtende) antwoorden is de definitieve versie vastgesteld. Dit lijkt mij een correcte wijze van onderzoeken, waarbij ik er gemakshalve van uit ga dat het CBP zich netjes heeft gemeld bij de SIOD met een verzoek om interviews af te mogen nemen en niet in het geniep heeft gehandeld.

Bij het lezen van het rapport vroeg ik mij meteen af wat de aanleiding is geweest voor het onderzoek. Zelfs als dit is afgesproken in het voorgaande traject, dan zou je hier nog steeds een verwijzing naar deze afspraak verwachten.

De onderzoekers zijn diep in de door de SIOD toegepaste werkwijze gedoken. Wat ik niet aantrof is een beoordeling van de mate waarin het geoorloofd is dat bestanden (van uitkeringsgerechtigden, waterverbruik en kadastergegevens) worden gekoppeld. Tevens blijkt nergens dat er toestemming is van de in deze registraties opgenomen personen, of dat zij over de koppeling geïnformeerd zijn. In het rapport staat wel een bevinding dat men over de koppeling voor het SIOD onderzoek geïnformeerd had moeten worden. Mijn punt gaat echter over de bronbestanden, vóór de koppeling. Daar heeft het CBP een kans laten liggen.

Een andere vraag waar het CBP niet over schrijft heeft betrekking op de doelbinding, proportionaliteit en subsidiariteit. Is de schending van de privacy wel voldoende beperkt en waren er geen lichtere middelen mogelijk om kennelijke frauduleuze praktijken in beeld te brengen? Zelfs als dit in orde is dan nog was het een goed punt geweest van de onderzoekers van het CBP om dit mee te nemen in de rapportage.

Ik zie nieuwe mogelijkheden (en risico’s, afhankelijk van je standpunt) voor de “slimme” elektriciteitsmeters die op afstand kunnen worden uitgelezen. Wie zegt dat big brother SIOD niet meeleest?

Advertenties

Permalink Geef een reactie

Onzinnige IB maatregelen – email disclaimers

maart 26, 2010 at 10:04 am (Columns) (, , )

In het kader van, omdat het kan, het eerste deel van mijn nieuwe en onregelmatig te verschijnen serie columns waarin ik onzinnige (lees: nutteloze) informatiebeveiligingsmaatregelen van dichtbij bekijk. Vandaag: de emaildisclaimer.

Je ziet ze (nog) steeds, de disclaimer onder emailberichten. Daarin tref je allerhande opmerkingen aan die de kracht van de boodschap proberen teniet te doen. Of ze stellen dat je – als je het bericht ten onrechte hebt ontvangen – de afzender moet informeren en verder niets met de gegevens mag doen, behalve het mailtje verwijderen. Ik zal ze beiden behandelen.

De disclaimer die alle gedane uitspraken in het bovenstaande bericht ongeldig maakt is volgens mij verouderd. Inmiddels gaat het grootste deel van de afspraken per email, waardoor deze variant van de disclaimer geen bestaansrecht meer heeft. Daarnaast is het een belediging van de ontvanger. Immers, deze neemt de gelegenheid en tijd om je emailbericht te lezen, terwijl jij onderaan het mailtje de (ongetwijfeld juridisch correcte) mededeling plaatst dat hij in feite zijn tijd zat te verdoen. Beter is het dan om de disclaimer bovenaan het bericht te zetten: trek je niets aan van hetgeen hieronder staat, je kunt er immers toch geen rechten aan ontlenen. Een ontvanger kan het bericht dan direct weggooien en verspilt zo niet meer tijd dan nodig is.

De andere variant van de disclaimer gaat er kennelijk van uit dat de afzender erg veel fouten maakt bij het versturen van emails, anders had hij hiervoor nooit een mooie standaardtekst opgesteld. Toch is het een raar verhaal. Je ontvangt een bericht, je opent het en leest het. Gaandeweg trek je de conclusie dat het niet voor je bestemd is. Onderaan lees je dat je het bericht niet had mogen lezen en dat je er niets mee mag doen. Maar je moet wel de afzender informeren. Van deze disclaimer kun je stellen dat hij overbodig is. En: “What has been seen cannot be unseen”. Een organisatie die zijn processen op orde heeft verstuurt geen structureel verkeerd geadresseerde emailberichten. Bedrijven die deze disclaimers nodig denken te hebben kunnen beter hun energie in andere zaken steken.

Mijn conclusie: disclaimers onder (of boven) emails zijn overbodig. Vaak worden ze pas op de mailserver automatisch aan berichten toegevoegd en ziet de opsteller van het bericht ze niet eens. Daarmee verdwijnt zelfs het laatste beetje nut van deze bits en bytes.

Permalink Geef een reactie

Clean desk voor beginners

maart 17, 2010 at 11:40 am (Columns, Oplossingen) (, , )

Alles na werktijd opgeruimd en achter slot en grendel, is de vaak gehoorde vertaling van een clean desk policy. “O, daar heb je die veldwachter weer, met zijn moeilijke praatjes” is de reactie van het grootste deel van de gebruikersgroep als er gele kaarten worden uitgedeeld. De werkelijkheid ligt zoals gewoonlijk ergens in het midden.

Is het wel nodig om alles op te bergen na werktijd? Een organisatie moet goed nadenken over de verwachte veiligheidsopbrengst van een maatregel en over de wijze waarop deze wordt ingevoerd en gecontroleerd. Voor veel bedrijven zal het bij de meeste afdelingen geen grote noodzaak zijn om alles op te bergen – er ligt gewoon geen interessante informatie. Pas als je op financiële afdelingen, de voorraadadministratie, rekenkamer, Research & Development afdelingen, personeelszaken of bij IT beheer komt kun je bijzondere informatie aantreffen. Mocht daar een deel van in handen komen van (sensatie) journalisten of concurrenten, dan kan dat behoorlijke schade aanrichten voor de organisatie als geheel. Op dit soort afdelingen is men zich vaak wel bewust van de aard van de gegevens en wordt daarnaar gehandeld.

Desondanks wordt de clean desk policy vaak alleen na werktijd toegepast, terwijl de afdeling verlaten is tijdens de lunchpauze, afdelingsvergaderingen of productpresentaties.

Voor een goed uitgevoerd clean desk beleid is het wenselijk dat betrokkenen zich realiseren dat het om het belang van de informatie voor de organisatie gaat en niet om het op afstand houden van de lokale veldwachter. Als het kwartje eenmaal gevallen is zal de vertrouwelijke informatie nog beter beschermd worden en ook bij tussentijdse afwezigheid worden opgeborgen. Door medewerkers persoonlijk verantwoordelijk te maken voor het afsluiten van kasten en ladenblokken wordt de betrokkenheid vergroot. Afdelingen onderling met elkaar laten strijden voor de minste gele kaarten is een van de manieren om het doel (clean desk) te bereiken.

Voor deze maatregel geldt dat zichtbare betrokkenheidvan het management (geen vertrouwelijke informatie laten liggen) noodzakelijk is voor het slagen van de invoering. Zoals het spreekwoord gaat: “Zo de ouden zongen, piepen de jongen”.

En populair gezegd: “Apie ziet – Apie doet”.

Permalink Geef een reactie

Big brother krijgt een neus

maart 6, 2010 at 11:53 pm (Columns, Oplossingen) ()

Big brother is smelling you, lijkt de nieuwe leus te worden op vliegvelden. Voor de vroegtijdige detectie van potentiële terroristen worden elektronische snuffelaars ingezet die typische luchtjes kunnen herkennen. Zoals angstzweet.

Op zich is dit geen vreemde handelwijze, hij past goed in de verzameling maatregelen waarmee afwijkingen van het normale patroon worden gedetecteerd. Zoals mensen die zich langdurig op vreemde plaatsen ophouden, een patroon van verplaatsingen en ontmoetingen en andere onregelmatigheden. Het zijn allemaal kleine stukjes van een grote puzzel die het vliegen moet behoeden tegen aanslagen. Zoals de aanschaf van bodyscanners. Of zit daar een luchtje aan?

Ik vraag mij af hoe vliegangstigen zullen reageren als zij apart genomen worden.

Permalink Geef een reactie

Het waarom van wachtwoorden

maart 4, 2010 at 11:51 am (Achtergrond, Columns, Oplossingen) (, , , , )

Mensen zijn lui en houden niet van hindernissen. Wachtwoorden worden vaak beschouwd als een noodzakelijk kwaad. Je moet ze onthouden en als je ze vergeten bent moet je een procedure door om een nieuw wachtwoord te krijgen. Dat neemt niet weg dat wachtwoorden en gebruikersnamen (meestal komen ze samen voor) nuttig zijn bij het opwerpen van beveiligingsdrempels. Met een goed wachtwoordbeleid en voldoende begrip voor beveiliging bij de gebruikers is het mogelijk een serie drempels op te werken die onbekenden van buiten tegen kan houden.

Wachtwoorden dienen meerdere doelen. Samen met de gebruikersnaam geven ze een gebruiker van netwerkdiensten toegang tot diensten, zoals email, internet en (zakelijke) toepassingen. Wachtwoorden beschermen de waardevolle gegevens van een organisatie tegen pottenkijkers, of voorkomen dat iemand belangrijke gegevens aanpast.

Gebruikersnamen en wachtwoorden worden toegepast om medewerkers hun persoonlijke verantwoordelijkheid te laten nemen. Elke handeling in de ICT infrastructuur moet te koppelen zijn aan een account. Controle daarop maakt deel uit van het normale proces van in control zijn over de ICT omgeving en de daaraan verbonden informatiebeveiliging. Als het delen van accounts of wachtwoorden is toegestaan kunnen de medewerkers niet meer aansprakelijk worden gesteld. Het is immers niet meer helder wie verantwoordelijk is voor welke handelingen. Dat dit tot ongewenste situaties kan leiden mag duidelijk zijn.

Natuurlijk zijn er meer maatregelen te bedenken die vreemden de toegang tot het netwerk moeten ontzeggen. Deze vullen voornamelijk de hiaten, maar zijn geen vervanger voor het wachtwoord.

Permalink Geef een reactie

Alu-hoedje voor iPad

maart 2, 2010 at 9:50 pm (Columns, Techniek) (, )

Net wat ik altijd al niet wilde hebben, een tablet pc die niet in mijn zak past, op een iPhone lijkt en waar je niet mee kan bellen. Om hem veilig te maken tegen browser exploits en phishing activiteiten kun je hem voorzien van een echt iPad aluminium hoedje.

Kost een paar euro, maar dan heb je ook niks.

Permalink Geef een reactie

Geen contant geld meer?

februari 11, 2010 at 10:02 pm (Columns, Privacy, Techniek) (, )

De consumentenbond roept en Telfort doet – contant geld verdwijnt. Ondanks de lachwekkende complottheoriën die je aan een dergelijk bericht kunt ophangen wil ik hier wel op ingaan.

Het opheffen van de mogelijkheid tot contante betaling is in wezen een grote aanslag op de privacy. Door de geavanceerde kassystemen met automatische voorraadcontrole en het register van elektronische betalingen waar banken over beschikken (en daar mee de overheid – tegenwoordig zelfs letterlijk) is het steeds eenvoudiger om te zien waar iemand zijn geld aan heeft uitgegeven. Dit was natuurlijk al mogelijk met behulp van de RFID chips in de bankbiljetten, de gelduitgifte automaten en de pinpas combinatie, maar het wordt zonder contant geld veel eenvoudiger om iemand te volgen.

Het eerste dat bij mij opkomt is dat de ruilhandel het goed zal gaan doen. Wie onder de radar van de overheid wil blijven zal moeten ruilen om in leven te blijven. Een winkeloverval levert namelijk geen geld meer op – een prettige bijkomstigheid van het voorstel. Keerzijde is wel dat overvallen op woningen of voorbijgangers (waar waardevolle te ruilen artikelen te vinden zijn) vaker zullen voorkomen. Daarnaast wordt het betaalsysteem wel bijzonder kwetsbaar. Bij stroomstoringen is er geen alternatieve betaalwijze meer als de kassa’s zijn uitgevallen (vooropgesteld dat er nog cassières zijn die kunnen rekenen). Op eenvoudige wijze kunnen kwaadwillende sujetten de economie stilleggen, zeker een handelsnatie als Nederland kan lijden onder een grote storing in het betalingsverkeer.

In de praktijk zal blijken dat fysiek geld blijft bestaan, al was het maar voor het muntje in de winkelwagen, voor de Straatkrant of de kroket uit de muur. Voor microbetalingen in winkels hebben we de chipknip, voor de rest een pinpas of creditcard.

Zul je net zien, heeft de overheid een bank gekocht, gaan ze het geld afschaffen. Dat is pas kapitaalvernietiging!

Permalink Geef een reactie

Toezicht op EPD moeilijk?

februari 7, 2010 at 10:42 pm (Columns, Oplossingen, Privacy) (, , , )

Sinds de invoering van het Elektronisch Patiëntendossier (EPD) is er veel gedoe geweest rondom de borging van de privacy. Die leek namelijk op voorhand al niet gegarandeerd of waterdicht. Naar nu blijkt mogen er wel heel veel mensen kijken in het dossier, zolang de patiënt daar geen bezwaar tegen maakt. De standaard instelling is “iedereen mag kijken”. Hetgeen in in tegenstelling is tot een best-practice voor vertrouwelijke informatie, die normaal gesproken alleen op “need-to-know” basis toegankelijk is. Dit betreft niet alleen de directe zorgverleners , maar ook hun assistenten, en collega’s die gevraagd worden naar hun visie. Dat is nog wel verklaarbaar, maar ik het er meer moeite mee dat de secretariële ondersteuning, de functionele beheerders van het feitelijke dossier en de financiële afdeling ook inzage hebben in de patiëntendossiers. Dat kun je nauwelijks meer proportioneel noemen.

Aan deze ruimhartige toekenning van inkijkrechten is geen streng toezicht gekoppeld. In tegendeel, controle vindt alleen achteraf plaats. Maar omdat voor elke inzage in een dossier een registratieregel wordt geschreven levert dat onnoemelijk veel werk op. De mogelijke verantwoordelijke afdelingen van het ministerie van VWS (IGZ, NICTIZ) zijn, net als het CBP, te klein om deze taak naar behoren uit te kunnen voeren. De enige garantie tegen misbruik is het ethisch normbesef dat alle gebruikers moet het EPD moeten hebben. Wat je ook volgens het CBP niet erg goed kunt noemen.

Er is wel een manier om misbruik aan te tonen. Iedere burger heeft volgens de Wet bescherming persoonsgegevens het recht te weten wat er over hem is vastgelegd en wie zijn medische gegevens heeft geraadpleegd.

De bal ligt nu bij ons.

Permalink Geef een reactie

3 Setjes wachtwoorden

februari 5, 2010 at 9:29 am (Columns, Privacy, Techniek) (, , , , )

“Gebruik van wachtwoorden is ouderwets!”, stelt een Franse staatssecretaris. “Iedereen een certificaat! Dat is pas veilig!”. Deze ambtenaar werd onvolledig geïnformeerd, ook een certificaat moet je beschermen met een wachtwoord. Dat noemen we two-factor authentication. Certificaten kunnen wel veilig zijn, mits goed toegepast. Datzelfde geldt voor wachtwoorden. Uit onderzoek blijkt dat mensen hun wachtwoorden en gebruikersnaam van bijvoorbeeld internetbankieren hergebruiken voor allerlei andere (minder beveiligde) websites. Dat vormt een risico voor deze gebruikers, omdat een aanvaller die op de ene site de gegevens heeft achterhaald, deze op andere plaatsen kan hergebruiken.

Een betere manier om veilig met wachtwoorden om te gaan is er drie setjes op na te houden. De eerste combinatie van gebruikersnaam en wachtwoord gebruik je voor internetbankieren, de tweede combinatie voor je webmail en profielsites (hyves, linkedin) en de derde combinatie gebruik je voor al die onzinnige websites waar je toch moet inloggen om mee te kunnen kletsen op het forum.

Als je een certificaat van de overheid of je bank krijgt, kies dan een apart wachtwoord dat niet in je combinaties voorkomt.

Permalink Geef een reactie

Meldplicht voor gegevenslekken?

januari 25, 2010 at 9:59 pm (Columns, Privacy, Problemen, Quotes) (, , , , )

BOF stelt een uitbreiding van de Wet bescherming persoonsgegevens (Wbp) voor. Bewerkers van verzamelingen persoonsgegevens moeten het publiekelijk bekend maken als zij gegevens hebben gelekt. Ik vraag mij af wat hier de toegevoegde waarde van is. Behalve de onrust die een dergelijke melding zal of kan veroorzaken, en het daarbij behorende (terechte, begrijp mij niet verkeerd) ongemak van deze bewerker, levert het verder niets op. Bewerkers gaan door met het verzamelen en bewerken van persoonsgegevens. En als het meezit hebben ze de beveiliging een beetje (goed) op orde. Tegen een inside-job is geen organisatie bestand, net zoals stommiteiten ook in de strengst dichtgeregelde situaties voor kunnen komen.

Laten we ons eens buigen over de vraag waarom er zo paniekerig wordt gereageerd op verloren of gestolen persoonsgegevens. Primair is dat omdat ze veel waarde hebben. De gegevens hebben die waarde omdat ze eenvoudig te verhandelen zijn en daarna – met de juiste middelen – eenvoudig gebruikt kunnen worden. Bij veel aanhoudingen in bijvoorbeeld Amsterdam wordt geconstateerd dat de arrestant valse persoonsgegevens opgaf. Kennelijk is het met de goede informatie eenvoudig om je een andere identiteit aan te meten.

Het zwaartepunt van de bescherming van persoonsgegevens zou bij de voorkoming van illegaal hergebruik moeten liggen. Natuurlijk horen de gegevens met passende maatregelen te worden omgeven en beschermd te worden naar de actuele stand der techniek Maar vooral moet het veel moeilijker worden de gestolen gegevens opnieuw te gebruiken.

En dat melden dan? Dat moet wel worden gedaan. Je hebt tenslotte je persoonsgegevens afgegeven in goed vertrouwen van het beheer. Dan is het wel zo netjes om te melden dat je gegevens kwijt zijn geraakt.

Permalink Geef een reactie

Next page »