Techniek

Handmatig verwerken is geen optie

Los van de praktische beperkingen die handmatig verwerken van data zou hebben, is het ook geen kans om aan de Privacywetgeving te ontsnappen. De Privacywetgeving is nadrukkelijk ook van toepassing op verwerking van Persoonlijke Informatie (PI) die geen gebruik maakt van Informatie en Communicatie Technologie (ICT). Dat gezegd hebbende, is de opkomst van de geautomatiseerde verwerking van grote gegevensverzamelingen eind de jaren 60 van de vorige eeuw één van de factoren achter de ontwikkelingen in de privacy-wetgeving. Een globaal inzicht in wat er op ICT-gebied rond beveiliging van data speelt is dan ook erg handig.

Information Security in hoofdlijnen.

Informatiebeveiliging, ofwel Information Security (IS), is gericht op het waarborgen van Vertrouwelijkheid, Integriteit en Beschikbaarheid van gegevens. Waarborgen worden gezocht in de Fysieke wereld, in de Techniek en in de Administratieve Organisatie.

Geheel in lijn met het binnen de ICT populaire systeemdenken is IS redelijk helder gedefinieerd en voorzien van stappenplannen, standaards en hulpmiddelen. Een mooie samenvatting van wat bij IS komt kijken vind je hier. NB: neem vooral de tijd om de vorige link door te nemen! De technische “good practices” (encryptie, firewalls, twee-factor authenticatie, VPN, logs, et cetera) zijn opgenomen in de ISO:27002 standaard, waarvan de beschrijving helaas alleen tegen een financiële vergoeding aan te schaffen is.

Een opkomend fenomeen is Privacy by Design, waarbij privacy al bij de ontwikkeling van software wordt meegenomen. Dit zou lapwerk en hoge kosten achteraf vermijden. Privacy by Design is vooralsnog meer een benadering dan een gestructureerde aanpak en is meerduidig. Het lijkt er dan ook op dat het door alfa’s (politici en juristen) meer als nuttige aanvulling wordt beschouwd dan door beta’s (wiskundigen, informatici).

Incident Management & Response.

Een van de meest effectieve manieren om de ingerichte veiligheidsmaatregelen te omzeilen is “social engineering“. Hierbij misbruikt de hacker de “zwakste schakel” in het systeem, de mens, (te) vaak met succes. Daarnaast bestaat altijd het risico op onbekende lekken die actief misbruikt kunnen worden. Geen IS-inrichting kan daarom met 100% zekerheid garanderen dat er geen inbreuken plaats zullen vinden.

Het is dan ook verstandig voorzieningen te treffen die doorlopend de bestaande ICT-middelen aftast op zwakheden, monitort en per direct ingezet kan worden bij een inbreuk. Een Security Operations Center (SOC) heeft die taak. De SOC heeft idealiter ook contact met centrale CERT organisaties, zoals het NCSC, zodat het kan opschakelen bij dreigingen die verder gaan dan alleen de eigen organisatie.

Of een SOC ook de response bij een Privacy-inbreuk moet verzorgen is zeer de vraag. Dit vanwege het al eerder aangehaalde verschil tussen Data Security en Privacy (zie de laatste paragraaf op de pagina Toezicht).

Laat commentaar achter