Compliance

Wat te doen met privacyregels? Een praktisch model voor privacyvraagstukken

| 15-08-2011

Nu steeds meer organisaties zich bewust worden van privacyvraagstukken rijst voor vele van hen de vraag wat de regels rondom privacy voor hen betekenen. Overtreding van privacyregelgeving kan verschillende vergaande consequenties hebben. De toezichthouder, het College bescherming persoonsgegevens (CBP), kan boetes opleggen, wat tevens kan leiden tot imagoschade. In het ergste geval vindt strafrechtelijke vervolging plaats. Goed omgaan met privacyregelgeving is daardoor niet alleen van belang voor degene wiens persoonsgegevens worden verwerkt, maar ook voor de organisatie die ze verwerkt.

Het aanpassen van de organisatie aan de privacyregelgeving vraagt vaak veranderingen die van invloed zijn op de gehele organisatie en niet alleen op de technische informatiebeveiliging. Over wat organisaties kunnen doen om hun privacydoelstellingen te bereiken, schreef ik samen met Carolien Jobse en Sander Gellaerts een artikel. Hierin gaan we in het kader van privacyvraagstukken  op zoek naar antwoorden op vragen als: waar sta ik, waar wil ik naar toe en hoe moet ik daar komen? Hiervoor geven we een praktisch model mee aan de lezer.

Voor meer uitleg verwijs ik u naar het artikel, dat u hier kunt downloaden (PDF).

Cloud computing: David en Goliath

| 06-09-2010

Sommige cloud computing-leveranciers behandelen, als waren zij een moderne Goliath, hun wederpartij als dwergen. Betekent dit dat een kleine ‘David’ elk contractsvoorstel dat zo een Goliath hem voorlegt, moet accepteren? In dit artikel wordt een recent cloudcontract bekeken waarbij twee ‘reuzen’ een overeenkomst hebben gesloten die onderhandelingsmogelijkheden toont die David misschien nog niet had gezien (of had mogen zien). Deze mogelijkheden zouden David nieuwe inzichten kunnen geven voor als hij zich in de cloud waagt, of hij nu een contract sluit met Goliath of met zijn vriendelijke cloudleverancier verderop in de straat.

ACTA, een voorlopig geheim verdrag

| 01-07-2010

Op 1 juli hield Prof. Charles McManis bij het CIER in Utrecht een lezing over ACTA (The Anti-counterfeiting Trade Agreement). Het was een prachtig verhaal, hier een korte impressie.

ACTA is geheim

ACTA is een plurilaterale handelsovereenkomst, die niet onder het toezicht van de WTO tot stand komt en tot doel heeft internationale standaarden voor handhaving van intellectuele eigendomsrechten tot stand te brengen in de strijd tegen namaakgoederen (counterfeit goods) en piraterij (pirated goods). De ACTA gaat verder dan TRIPs. Daar waar het onder toezicht van het WTO opgestelde TRIPs minumum standaarden stelt, wil men bij ACTA specifiekere handhavingsstandaarden formuleren. Het overleg tot nu toe redelijk geheim overleg geinitieerd door de ‘ontwikkelde’ landen, waarbij inmiddels ook Mexico en Marokko zich hebben aangesloten. De Verenigde Staten doen erg hun best de onderhandelingen geheim te houden, wat vrij goed lukt. Canada publiceert iets meer informatie op haar websites.

De Electronic Frontier Foundation (EFF) en Public Knowledge zijn een rechtszaak begonnen over de de geheimhouding begonnen en eisen toegang tot stukken. Ook de Juridische commissie van de Senaat van de Verenigde Staten heeft zijn zorgen hierover geuit. De EFF heeft echter ook al te horen gekregen dat de stukken gekwalificeerd zijn als ‘classified in the interest of national security’, waardoor men zich beraad op de vraag of het nog zin heeft te procederen. In Europa heeft de FFII een klacht ingediend bij de Europese ombudsman over het gebrek aan transparantie rondom ACTA.

Wat zijn de algemene zorgen?

– NGOs maken zich zorgen over grotere handhavingsbevoegheden. Onder andere van douanebeambten bij de landsgrenzen. Gaan laptops, nog meer dan nu, doorzocht worden? Hoe ver moeten de provider straks gaan bij het controleren?

– De tekst zou gaan over ‘commercial interests’, maar uit een in 2007 gelekte brief zou blijken dat de Verenigde Staten verder zouden willen gaan: ‘significant willful infringements without motivation for financial gain to such an extent as to prejudicially affect the copyright owner (e.g., Internet piracy)’

National security

De eerder genoemde classificatie ‘national security’ is bijzonder te noemen. Het kan een afleidingsmanoevre zijn voor willen van meer handhavingsbevoegheden. Maar het is ook goed mogelijk dat er inderdaad een nationaal belang is in het kader van terrorisme bestrijding. De georganiseerde misdaad zou velen miljoenen zo niet miljarden maken door het verhandelen van namaak- en inbreukmakende goederen. Interpol heeft tegen deze beweging al enkele grote operaties uitgevoerd. De handel in deze goederen brengen minder risico met zich met dan de handel in drugs. Het gaat dan niet alleen over luxe namaakgoederen maar ook over medicijnen, zoals anti-malariamiddelen en hormonen. De omvang mag ook groot genoemd worden, 10 % van alle medicijnen zijn namaakgoederen en in sommige aziatische landen kan dit oplopen tot 50%. De WHO denkt dat er in deze wereld $ 32 miljard omgaat en $ 75 miljard in 2010. Ook in andere namaakgoederen en inbreukmakende producten is de handel groot, zo meldt de Rand Corporation dat filmpiraterij een kernonderdeel is geworden van russische mafia. De link tussen intellectuele eigendom en georganiseerde misdaad danwel terrorisme is daarmee niet eens zover gezocht.  

Zorgen van een land als Mexico

De piraterij heeft neveneffecten en Mexico ondervindt daar ook de nadelen van. Uit een industrierapport uit 1998 blijkt dat 90% van alle video’s piraterij zijn en 65% van de CD’s. Vele (verhuur)winkels sloten om die reden hun deuren. Mexico behoorde in 2008 tot de acht grootste muziekmarkten ter wereld en valt nu buiten de top 10. De CD-bootleggers hebben zelfs al een eigen awards in het leven geroepen.

Nuancering

De economische en culterele gevolgen worden mogelijk overdreven. De sluiting van de ene markt opent vaak een andere. Het rapport Ups and Downs, uitgevoerd door o.a. het IVIR en SEO laat evenals en rapport van de Harvard universiteit zien dat er ook weer niet overdreven moet worden. Niettemin is de aandacht voor de georganiseerde criminaliteit terecht. Vanwege het besloten karakter is het lastig om in te schatten wat de stand van is. Acta ziet in beginsel op auteursrecht- en merkenrecht gerelateerde rechten. Maar niemand weet waar het eindigd. Ook de strafrechtelijke insteek kan te ver doorschieten. Dus voor ACTA geldt, zoals ook McManis afsloot: stay tuned.

Privacy, risico’s en niveau van compliance

| 22-09-2009

Vele organisaties zijn de afgelopen tijd geconfronteerd met de huidige en toekomstige regelgeving op het gebied van Privacy. Bij privacybeleid gaat het o.a. om risico’s die voortvloeien uit het gebruik van techniek, informatievoorziening, werkprocessen en / of een combinatie van deze drie. Een goed privacybeleid onderkent de relevante risico’s en is in staat deze te ondervangen of te voorkomen.

Een goed privacybeleid is mooi, maar kost ook veel ontwikkeltijd. De eerste vraag is, waar staat mijn organisatie als het gaat om het onderkennen en invoeren van de privacy wet- en regelgeving. Daarna volgt vanzelfsprekend de vraag: welke activiteiten kan ik het beste en in welke volgorde uitvoeren? Om een handreiking te bieden hebben wij hiervoor een overzicht ontwikkeld van vijf fasen.

Hiervoor hebben wij een model ontwikkel d  waarin per fase en per aandachtsgebied aangegeven wordt welke handelingen een organisatie dient uit te voeren in de ontwikkeling van een privacybeleid. Wij hebben vier aandachtsgebieden onderscheiden, te weten:

  • Regelgeving en processen: De organisatie inventariseert aan de hand van  een risicoanalyse wat de gevolgen voor de werkprocessen zijn.
  • Externe relaties: De organisatie inventariseert welke aanpassingen in afspraken (o.a. contracten en SLA’s) met externe partijen gemaakt moeten worden en hoe zij dit gaan aanpakken.
  • Besturing & Beheersing: Aan de hand van de inventarisaties en risicoanalyse wordt gekeken in hoeverre de wijze van belonen en aansturen van de organisatie aangepast moet worden.
  • Cultuur: Medewerkers passen hun gedrag aan en voldoen aan de eisenvan de privacy wet- en regelgeving.

Wilt u weten hoe uw organisatie ervoor staat? Neem dan contact met me op.

Risicoanalyse en privacy in de zorg

| 25-06-2009

Als je niet weet waar risico’s worden gelopen, kun je ook geen serieuze informatiebeveiliging ontwikkelen” zo meldt een publicatie van het College Bescherming Persoonsgegevens . Zonder een goede risicoanalyse kan je ook geen goed privacybeleid voor  informatievoorziening ontwikkelen.Waar gaat het dan in deze risicoanalyses om. Het gaat niet alleen om de risico’s die voortvloeien uit de techniek zoals de mogelijkheid dat iemand op een PC inbreekt om achter credit card nummers te komen. Maar ook om risico’s op gebied van de applicatie / informatievoorziening zelf. Bijvoorbeeld of de portier van het ziekenhuis (onterecht) gevoelige medische gegevens in een verzekeringsapplicatie kan wijzigen. Een andere set van risico’s heeft te maken met de inrichting van de werkprocessen. Kan bijvoorbeeld iedere bezoeker van een ziekenhuis een operatiekamer, waar geopereerd wordt betreden? En om het wat lastiger te maken zijn er ook risico’s die een combinatie van genoemde drie types zijn.

Risicoanalyse beoogt dus de uitvoering van  de werkzaamheden zo te ondersteunen dat uitgaande van de vraagstelling (project, regelgeving als privacy) de situatie wordt onderzocht en vastgesteld of er mogelijke, potentiële en of reële bedreigingen / risico’s zijn. De relevante risico’s dienen tijdig onderkend, voorkomen dan wel ondervangen te worden. Dit laatste betekent ook dat je expliciet vaststelt of een risico via maatregelen wilt voorkomen. Bijvoorbeeld de gevolgen van het neerstorten van een vliegtuig op een kantoorgebouw zullen niet in alle situaties via maatregelen ondervangen worden. Dit klinkt allemaal prachtig maar ook als zeer veel werk. Hoe stel je zo’n analyse op? Is een dergelijke analyse goed onderhoudbaar? Hierop zijn vele antwoorden mogelijk.

Een praktische methode, die ik zelf gebruik is het gebruik van landkaarten. Bij deze methode begin je met het in kaart brengen van de verschillende mogelijke risico’s. Je maakt in wezen een soort landkaart en gaat daarna per risicovol gebied de risico’s verder definiëren. Op deze wijze weet je sneller waar de pijnpunten zitten en waar je wat aan moet doen wat ook erg prettig is voor anderen die er belang bij hebben zoals opdrachtgevers, directie en toezichthouders.

HTTPS en Google

| 24-06-2009

Zo’n 37 vooraanstaande beveiligingsexperts en IT-juristen (waaronder de Nederlandse hoogleraren Nico van Eijk van het IViR en Bart Jacobs van de Radboud Universiteit) hebben in een open brief (PDF) Google gevraagd om alle webapplicaties standaard door middel van het HTTPS- protocol aan te bieden. Dit in plaats van het momenteel gebruikte HTTP- protocol. Een ogenschijnlijk technisch verzoek wat bij inwilliging mogelijk meer zou betekenen dan alleen verbetering van de privacy van Google’s cloud computing- gebruikers.

Contractmanagement, compliance en overheid 2.0

| 30-03-2009

Recent is wat rumoer ontstaan omdat een journalist van Webwereld () ruim vierhonderd gemeenten een Wob-verzoek (Wob staat voor Wet openbaarheid van Bestuur ) deed met betrekking tot hun ICT-huishouding, hun recente ICT-aanbestedingen en hun voortgang met de uitvoering van het plan-Heemskerk (Nederland Open in Verbinding).

Het ontstane rumoer bestaat er uit dat een aantal gemeenten weigerachtig zijn ter zake van een Wob-verzoek, met name omdat het verzoek (te) veel werk zou opleveren. Voor de volledigheid een citaat uit het verzoek zoals dat door de journalist in kwestie (Brenno de Winter) in de discussiefora van Webwereld gepubliceerd is:

Ik verzoek u om documenten die betrekking hebben op:

  1. plannen en realisatie van projecten om open source te bevorderen en open standaarden in uw organisatie te bevorderen;
  2. adviezen ontvangen met betrekking tot dit actieplan;
  3. contactmomenten met het programmabureau NOiV dat resorteert onder ICTU;
  4. bijeenkomsten, waarbij expliciet aandacht is besteed aan NOiV of daarmee samenhangende thema’s;
  5. aanbestedingen die sinds 20 december 2007 zijn gestart, uitgevoerd of lopende aanbestedingen. Daarbij verzoek ik u vriendelijk u te beperken tot aanbestedingen met softwarecomponenten en alleen het bestek.


Verder vraag ik een overzicht van:

  1. de thans gebruikte softwarepakketten, de open standaarden die ze ondersteunen, of het open-sourcesoftware betreft, de aanschaf datum en een eventuele afloopdatum van de licentie en/of onderhoudscontract. Daarbij stel ik voor de bewerkelijkheid maximaal terug te dringen door alleen pakketten te noemen. Bijvoorbeeld door Microsoft Office te beschouwen als een geheel en niet als Microsoft Word, Excel, enzovoort. Uiteraard zou een Microsoft Access-database met software een applicatie op zichzelf zijn, omdat deze een bedrijfsproces uitvoert. Eventueel zou bij het werken met ITIL een overzicht uit de CMDB ook zeker een antwoord op de vraag zijn. Immers dat sluit aan op hetgeen wordt ondersteunt;
  2. softwarepakketten, waarvan nu bekend is dat ze in de toekomst in gebruik zullen worden genomen.

Inderdaad, dit lijkt op wat de Amerikanen een ‘fishing expedition’ noemen. Nu stelt de Wet openbaarheid van Bestuur geen eisen aan de redelijkheid van een inzageverzoek en ook geen eisen aan het belang dat een verzoeker heeft bij de inzage. De systematiek is betrekkelijk eenvoudig, behoudens wat uizonderingssituaties hebben burgers recht op inzage in documenten die overheden hebben. Bestaan die documenten niet, dan is er ook geen recht op inzage.

De angel zit hem natuurlijk in de beschikbaarheid van de documenten, te vrezen valt dat niet iedere gemeente dit allemaal voorhanden heeft en dat dit nu op pijnlijke wijze aan het licht wordt gebracht. Want bij een organisatie die een concreet automatiserings- en informatiseringsbeleid voert (en de meeste gemeenten hebben één of meerdere beleidsmedewerkers op dit vlak), zouden de vragen 1 t/m 5 betrekkelijk snel te beantwoorden moeten zijn. Vraag 5 is indien de Nederlandse gemeenten na de brandbrief van de minister van binnenlandse zaken uit 2003 hun leven gebeterd hebben op het gebied van de Europese aanbestedingen ook eenvoudig te beantwoorden.

Kom ik op de beantwoording van vraag 6, dat zou inderdaad wel eens veel werk kunnen zijn. Maar er zijn genoeg redenen waarom dat niet veel werk zou mogen zijn. Om te beginnen de ‘license compliance’, een professionele organisatie houdt overzicht over het aantal licenties op software dat men heeft. Al was het maar om er zeker van te zijn dat men geen licenties schendt en daarmee aansprakelijk tegenover softwareleveranciers zou kunnen zijn. De andere reden is de Europese aanbestedingsregels, zonder overzicht te hebben op de contracten die men sluit is het heel wel mogelijk dat een gemeente ongemerkt onderhands aanbesteedt wat Europees aanbesteed had moeten zijn. Dat gevaar is eveneens aanwezig bij onderhoudscontracten.

Tegelijkertijd is het voeren van een goed contractmanagement niet alleen wenselijk uit hoofde van ‘compliance’, maar ook vanwege potentiële kostenbesparingen. Want wellicht zijn er potentiële besparingen door volumekortingen.

Een andere praktische reden waarom deze vraag minder problematisch zou moeten zijn dan ze lijkt is dat ‘best practices’ voor beheer zoals ITIL al heel lang het voeren van configuratie en asset management voorschrijven. Nu is niemand verplicht om ITIL te implementeren, maar enige mate van invoering is vaak wel een indicatie voor het professionalisme op het gebied van beheer.

Natuurlijk is de vraag in hoeverre de softwarepakketten open source zijn of voldoen aan open standaarden er één die mogelijk buiten het reikwijdte van de Wet openbaarheid van Bestuur valt. Dat zal afhangen van de mate waarin dit gedocumenteerd is, en nogmaals: zonder documenten geen inzagerecht.

Houden we vraag 7 over, softwarepakketten waarvan in de toekomst bekend is dat deze gebruikt zullen worden. Ook hiervoor geldt: bij een beleidsmatige aanpak van automatisering zal men dit doorgaans weten en betrekkelijk eenvoudig intern op kunnen vragen.

Als ik mag speculeren denk ik dan ook dat de weigerachtigheid van de gemeenten vooral voortvloeit uit twijfels aan de mate waarin deze gemeenten aan de op hen van toepassing zijnde wet- en regelgeving en door hen aangegane contractuele verplichtingen voldoen. Want nog steeds worden de Europese aanbestedingsregels niet altijd nageleefd. Ook is het, zeker voor kleine gemeenten, bijzonder moeilijk om hun automatisering op een dusdanige wijze te organiseren dat dit recht doet aan de sleutelrol die dit speelt bij de overheid. En er is bijna geen enkele organisatie die alle licenties allemaal op orde heeft, hooguit als de Business Software Alliance (BSA) onlangs op bezoek is geweest. Toch denk ik dat het een brevet van eigen onvermogen afgeeft als deze verzoeken zoveel werk opleveren. En dat desbetreffende gemeenten zich in de kijker spelen bij de Archiefinspectie, de BSA en bij partijen die potentiële schadeclaims zien in niet correct aanbesteedde ICT-inkopen als ze hier zo dwars op gaan liggen. De conclusie is vooral dat het voor een gemeente nuttig is om inzicht te houden in haar inkoopbeleid en de verplichtingen die men aangaat. In die zin is het vreemd dat contractmanagement nog niet verplicht is voor overheden.

Dat gezegd hebbende, is het door De Winter in Livre  geuitte overwegen om aangifte te doen wegens schending van de ambtseed buitenproportioneel en weinig geloofwaardig. Wie ooit aangifte heeft proberen te doen van een computerinbraak zal begrijpen wat ik bedoel. Te ingewikkeld voor de gemiddelde politiefunctionaris, te weinig kans om te scoren. Een gang naar de bestuursrechter lijkt mij een meer logische. Want deze zal weinig sympathie hebben voor gemeenten die aantoonbaar samenspannen om een wettelijke verplichting te ontlopen. Want dat verhoudt zich inderdaad moeizaam met de ambtseed die iedere ambtenaar bij aanstelling gezworen heeft.

En op de valreep nog een aanvulling, de Vereniging Nederlandse Gemeenten lijkt het in ieder geval met mij eens te zijn met betrekking tot het contractmanagement (of contractbeheer, zoals zij dat noemen, wat inderdaad beter Nederlands is. Want in deze brief (PDF) worden de gemeenten geadviseerd gewoon te gaan antwoorden, en dat veel gegevens al aanwezig zouden moeten zijn uit hoofde van contractbeheer.

Regelt IT. Al > 20 jaar!

Stavorenweg 4
Postbus 514
2800 AM Gouda
T 0182 573 211
E info@mitopics.nl

RSS feed
Sitemap
Disclaimer
Cookies

Uitgelichte topics