Meestal, als ik hoor dat het de dag van dit of de dag van dat is, overvalt mij een gevoel van meewarigheid. Zo was het gisteren de Dag van het Leerlingenvervoer en Internationale Knuffeldag (ai, die kwam dit jaar natuurlijk te vervallen). Vandaag is even een dagloze dag, maar morgen kunnen we weer door met de volgende: het is dan de Internationale Dag van het Handschrift. Vooruit, nog eentje dan, om dat gevoel van meewarigheid te onderstrepen: zondag vieren we de Nationale Dag van de Pindakaas.
Volgende week vrijdag vieren we er eentje die mij wél na aan het hart
gaat: de Internationale Dag van de Privacy. Ik heb het hier wel vaker over
privacygerelateerde onderwerpen, omdat zij nauw verwant zijn aan
informatie-beveiliging: de V van BIV staat immers voor vertrouwelijkheid, dat
naast beschikbaarheid en integriteit één van de pijlers van mijn vakgebied is.
In het digitale tijdperk is privacy zonder informatiebeveiliging ondenkbaar,
want zo’n beetje al onze privacygevoelige informatie is gedigitaliseerd,
waardoor het maar al te gemakkelijk is om het zicht erop te verliezen. Kortom:
informatiebeveiligers zijn ook privacyvoorvechters.
Soms staan privacy en informatiebeveiliging echter op gespannen voet met
elkaar. Als beveiliger wil ik onze systemen veilig houden, en daar heb ik log-
en meetgegevens voor nodig. Hoe meer gegevens ik heb, hoe beter ik kan sturen. De
privacywetgeving staat daar zowat haaks op: zoveel mogelijk verzamelen is daar
uit den boze, de grens ligt zo’n beetje bij het absolute minimum dat nodig is
om je werk te kunnen doen. En dan is er ook nog de doelbinding: gegevens, die
je verzamelt voor een bepaald, welomschreven doel, mag je niet zomaar voor iets
anders gebruiken. Soms jeuken je vingers dan: de gegevens zijn er wel, maar
niet voor jou.
Met name als er een incident is gemeld, loop je wel eens tegen grenzen
aan. Je krijgt dan bijvoorbeeld uit de techniek de melding dat een medewerker
een mailtje ‘naar buiten’ wilde sturen en dat dat mailtje is tegengehouden
omdat de bijlage versleuteld was, waardoor er geen viruscontrole kon
plaatsvinden. In zo’n melding zie je naast datum en tijdstip ook de adressen
van de afzender en de geadresseerde, en de naam van de bijlage waar het om te
doen is. Stel, de bijlage heet klantgegevens.xlsx. Dan gaan er wel wat
alarmbellen rinkelen. Probeert hier iemand om bedrijfsgegevens naar buiten te
sluizen? En waarheen dan – naar een concurrent, of ‘gewoon’ naar het eigen
privé-adres, om er thuis aan te kunnen werken? Hoe dan ook, als het bestand de
inhoud heeft die zijn naam belooft, dan heb je een mogelijk datalek te pakken.
Het kan immers niet anders dan dat een bestand met klantgegevens
persoonsgegevens bevat, die je als organisatie dient te beschermen.
Voor de beheerders van het mailsysteem is het een fluitje van een cent
om desgevraagd het bewuste mailtje op te zoeken. Ik zou ze ook kunnen vragen om
te speuren naar een tweede mailtje, dat wél door de controle kwam omdat de
verzender dacht: met die versleutelde bijlage lukte het niet, laat ik het dan
maar zonder wachtwoord proberen. En ik zou ze kunnen vragen om dat mailtje naar
mij door te sturen, zodat ik kan nagaan wat er nou precies in dat bestand
staat, om vast te stellen of er sprake is van een datalek. Ik zou ze zelfs
kunnen vragen om mij toegang te geven tot de complete mailbox van de persoon in
kwestie, zodat ik naar meer onregelmatigheden kan speuren. Vanuit
beveiligingsoogpunt zou dat best zinvol kunnen zijn.
Maar gelukkig mag dat niet. Het zou een grote inbreuk op de privacy van
de betrokken medewerker zijn. Ik heb daar volgens de wet niks te zoeken, punt
uit. Ook dat levert een spanningsveld op: de privacy van de medewerker versus
de privacy van de klanten. Die laatste is mogelijk geschonden, de eerste
zou je zeker gaan schenden door zo’n onderzoek. De AVG kent het
proportionaliteitsbeginsel: je mag niet met een kanon op een mug schieten. Als
je je doel kunt bereiken op een wijze die minder impact heeft, dan moet je
daarvoor kiezen. En dus vrágen we het gewoon aan de collega in kwestie: “Zeg,
we hebben een melding gehad over dat mailtje dat je naar buiten wilde sturen.
Wat staat er in dat bestand? En wist je dat je niet zomaar bedrijfsgegevens
naar buiten mag mailen?” En misschien blijkt dan dat het bestand privégegevens
bevatte, bijvoorbeeld de klantnummers van die collega bij zijn provider, zijn
verzekeringsmaatschappij en zijn boekenclub. Dan ben je blij dat je zijn
privacy niet hebt geschonden.
Vanuit het oogpunt van gegevensbescherming dien je de belangen te
beschermen van degene over wie de gegevens gaan. Vanuit beveiligingsoogpunt
moeten we de risico’s beperken voor de organisatie die deze gegevens verwerkt.
Die beide doelen staan soms op gespannen voet. Gelukkig rekken we intern de Dag
van de Privacy op naar een hele Week van de Privacy.
En in de grote boze buitenwereld …
- wordt bij politiefunctionarissen wat meer over de schouder meegekeken.
- vindt de directeur van een coronatestbedrijf dat zijn medewerkers gegevens van klanten gewoon via een WhatsApp-groep kunnen delen “omdat er alleen werknemers in zitten”.
- nemen ze het niet overal in de westerse wereld even nauw met privacy.
- lagen de gegevens van duizenden lockdowntegenstanders op straat door een lek bij Viruswaarheid.
- geeft de EU voorbeelden van datalekken en tips over hoe daarmee om te gaan.
- moet je ook als crimineel goed nadenken over je bedrijfscontinuïteit.
- moet je als cybercrimineel ook goed nadenken over de plek waar je de buit opslaat.
- is cybercrime vorig jaar flink gegroeid.
- nemen cybercriminelen graag de identiteit van de Belastingdienst aan.
- gelooft ruim de helft van de security officers aan de overkant van de Noordzee dat menselijke fouten het grootste risico voor hun organisatie vormen.
- stelen de Chinezen passagiersgegevens om interessante personen te kunnen volgen.
- kun je beter niet in het midden van Nederland wonen, want dan weten ze je te vinden.
- heeft de vorige president van de VS heel wat onzin uitgekraamd over ‘the cyber’.
- is alweer iemand de toegang tot zijn bitcoins kwijt. Deze keer niet omdat hij het wachtwoord niet meer weet, maar omdat de harde schijf op de vuilnisbelt ligt. Al zeven jaar.
- kan een cryptominer ook op een NAS draaien.
- kun je natuurlijk ook e-readers hacken.
- waren diverse chatapps af te luisteren.
Geen opmerkingen:
Een reactie posten