Privacy- en informatiebeveiliging, een maatschappelijk vraagstuk

Belangenorganisaties beschikken vaak over grote hoeveelheden digitaal verwerkte persoonsgegevens. Dit kunnen gegevens zijn van leden, donateurs, individuen uit de achterban of andere specifieke doelgroepen. Misbruik van deze gegevens kan nadelige gevolgen hebben voor betrokkenen en leiden tot reputatie- en / of financiële schade. Het is daarom van groot belang voor belangenorganisaties om de risico’s van digitalisering te kennen, deze periodiek te evalueren en passende maatregelen hierop te treffen en te zorgen voor handhaving. En hoe zorgt u er dan voor dat u als belangenorganisatie grip heeft op uw privacy- en informatiebeveiliging?

Het maatschappelijke belang van gegevensbescherming

De digitalisering van onze samenleving grijpt steeds dieper in onze maatschappij in en niet altijd met positieve gevolgen. Misbruik van persoonsgegevens kan leiden tot identiteitsfraude, diefstal van financiële middelen, afpersing en kan uiteindelijk nadelige invloed hebben op de vrijheid en zelfbeschikking van ieder individu. Het goed beveiligen en behandelen van gegevens is dus van groot belang voor de maatschappij en individuen. Dit is de reden dat onze overheid met regelgeving is gekomen om onze maatschappij, organisaties en zeker ook individuen te beschermen tegen nadelige effecten van digitalisering. De Algemene Verordening Gegevensbescherming (AVG) is hiervan een goed voorbeeld. Hiermee beoogt de overheid organisaties, en dus ook belangenorganisaties, te dwingen tot passende beveiligingsmaatregelen voor het verwerken van persoonsgegevens en de daarvoor gebruikte IT systemen. Iedere organisatie dient aan de wet te voldoen, ook als het om het gebruik van digitale systemen gaat.

Setting the scene

De praktijk leert dat de risico’s van digitalisering niet altijd even duidelijk in beeld zijn bij het management en soms ook slecht worden beheerst. De oorzaak is dat de gebruikte IT technologie niet altijd even transparant is voor het verantwoordelijke management. Vaak is bijvoorbeeld sprake van uitbesteding van IT processen aan derde partijen waardoor er minder zicht is op de IT risico’s.

Belangenorganisaties gebruiken volop digitale (communicatie)middelen voor contact met hun stakeholders. Denk aan het gebruik van websites, portals, apps, open source software en sociale media. Veelal gaat dit via IT middelen van derde partijen door hosting of andere vormen van uitbesteding van IT processen. Misbruik van persoonsgegevens is daarmee een organisatie-overspannend probleem geworden. Een datalek of cybersecurity incident bij de ene organisatie kan ondermijnend werken op de veiligheid en privacybescherming bij een andere organisatie. De belangenorganisatie blijft uiteraard verantwoordelijk en dient onder alle omstandigheden controle te houden op de beveiliging en het gebruik van persoonsgegevens die zij verzamelt en verwerkt.

Praktijkvoorbeeld “Hacking via cloud logservice”

Een belangenorganisatie maakt gebruik van een webapplicatie van een IT provider voor het koppelen van hulpvragers aan hulpverleners. De IT provider maakt op zijn beurt gebruik van een externe clouddienst voor logging. Een kwaadwillende hacker was in staat om wachtwoorden op te halen uit het loggingsysteem en had hiermee toegang tot alle gegevens.

Vanuit haar eigen verantwoordelijkheid is het belangrijk dat de belangenorganisatie inzage krijgt in de gebruikte IT middelen en beveiligingsmaatregelen van de IT provider. Indien de IT provider periodiek een penetratietest had laten uitvoeren op haar systemen dan was deze kwetsbaarheid onderkend en hadden maatregelen getroffen kunnen worden.

De impact van onbewust gegenereerde persoonsgegevens

U zult er wellicht niet altijd bij stilstaan, maar er worden ook persoonsgegevens onbewust gegenereerd door het gebruik van uw systemen en netwerken. Denk aan het verwerken van IP-adressen, GPS-locaties, browsergegevens en gegevens over inlog- en zoekgedrag. Deze gegevens worden vaak aangeduid als “metadata”. Metadata kan misbruikt worden voor bijvoorbeeld identiteitsfraude. Gegevens lijken niet te herleiden naar een persoon, maar via GPS-data en IP-adressen is dat vaak toch mogelijk. De Algemene Verordening Gegevens-bescherming wijst specifiek op de risico’s van IP-adressen en andere digitale identifiers.

Praktijkcasus “Hacking van metadata”

Tijdens de uitvoering van een cybersecurity onderzoek bleek bij een organisatie dat op systemen was ingebroken vanaf een IP-adres in het buitenland. Hoewel gevoelige gegevens “geanonimiseerd” waren, bleek in diverse bestanden ook IP-adressen, GPS-locaties, hardware- en browsereigenschappen en mailhistorie te zijn opgeslagen. Kwaadwillenden kunnen relatief eenvoudig, door deze data te matchen met andere data (eerder buitgemaakte of vrij op het internet beschikbaar), de identiteit en woonplaats van personen achterhalen. Deze organisatie was niet op de hoogte dat de door hen gebruikte systemen deze metadata genereerde. Iedere organisatie is volgens de AVG verplicht om inzichtelijk te maken welke gegevens zij verwerkt en dient dit vast te leggen in een register van verwerkingen, met vermelding van het doel van de data. Dit specifieke incident is gemeld bij de Autoriteit Persoonsgegevens als datalek, ook omdat er een dreiging bestond voor alle betrokken personen. Gezien de ernst ervan besloot de Autoriteit een nader onderzoek in te stellen naar de stand van de beveiliging van systemen.

Het is een verplichting van de AVG dat u als belangenorganisatie een register van verwerkingen beschikbaar heeft. In dit register dient een beschrijving van alle typen verwerkte persoonsgegevens te zijn opgenomen, alsmede een beschrijving van de doelstelling en grondslag waarop deze gegevens worden verwerkt. De Autoriteit kan deze informatie opvragen.

AVG-verplichtingen

De AVG vereist niet alleen dat gegevens aantoonbaar goed worden beveiligd, maar ook dat er zo min mogelijk gegevens worden verwerkt binnen beperkte doelstellingen (doelbinding en data minimalisatieprincipe) en dat de verwerkingen controleerbaar zijn voor de betrokkenen (transparantieprincipe). Vanuit de AVG heeft u als belangenorganisatie in ieder geval de volgende verplichtingen:

  • Inrichten van een register van verwerkingen met hierin onder andere: welke persoonsgegevens, met welk doel, en waarom worden ze opgeslagen
  • Informatie verstrekken over hoe en waarom persoonsgegevens verwerkt worden (privacy statement)
  • Iedereen bij de belangenorganisatie moet bekend zijn met de manier waarop met een datalek omgegaan moet worden (awareness / datalekprocedure)
  • Beschikbaar hebben van verwerkingsovereenkomsten (vooral van belang bij het uitbesteden van diensten aan derde partijen die persoonsgegevens verwerken)
  • Voorbereiden op uitvoering van rechten van betrokkenen (onder andere: inzicht in welke persoonsgegevens bewaard worden, verzoek tot verwijdering)

Grip op uw “IT werkelijkheid”

De set van eisen voortvloeiend uit de AVG is de “bril” waardoor stakeholders en toezichthouders naar een organisatie kijken als het gaat om de beveiliging van gegevens. Niet iedereen is zich ervan bewust dat als een systeem gekoppeld is aan het internet en een IP-adres (vergelijkbaar met een persoonlijk telefoonnummer) heeft, er vaak al veel informatie in het openbaar zichtbaar is over de mate van beveiliging en het gedrag van systemen. Informatie die soms ook misbruikt kan worden om in te breken in systemen. Het is dus niet alleen belangrijk om periodiek te toetsen of uw organisatie voldoet aan de procedurele eisen van de AVG, maar ook of de digitale risico’s voldoende in beeld zijn en de beveiliging in de “IT werkelijkheid” op orde is.

Praktijkvoorbeeld “Open Source Intelligence (OSINT)”

OSINT is een methodiek om, op basis van openbare informatie op het internet en met behulp van zoekmachines, inzicht te krijgen in de aard, robuustheid en soms zelfs toegangspaden van op het internet zichtbare systemen van een organisatie. De uitkomsten van een goed uitgevoerde OSINT kunnen verrassend zijn. Soms worden systemen ontdekt waarvan de organisatie zich niet bewust is dat deze (nog) bestaan. Denk aan achtergebleven testportals of slecht beveiligde toegangspaden die zijn aangelegd voor onderhoud, maar waarvan niet bekend is dat deze toegangspaden “open staan”. Soms staan zelfs userIDs en wachtwoorden gepubliceerd op het internet, bijvoorbeeld afkomstig uit eerdere hacks. Ook het reguliere bezoek aan een website geeft al inzicht in bepaalde zaken. Het bezoeken van een website met een webbrowser (Internet Explorer, Edge, Safari, Firefox of Chrome) en het drukken op “control-U” geeft al inzicht in het gebruik van Google Analytics, cookies, of andere ongewenste doorgifte van data aan derde partijen. Een hele globale indicatie van de veiligheid van de bereikbaarheid van een website kan getoetst worden via de overheidswebsite www.internet.nl.

Privacybescherming is niet alleen een juridisch vraagstuk

Privacybescherming wordt te vaak als een juridisch vraagstuk gezien met een sterke focus op het beperken van aansprakelijkheid. Het is natuurlijk verstandig om zaken juridisch goed te regelen, maar wordt hiermee de privacy van betrokkenen beter en is het maatschappelijk belang hiermee gediend? Worden risico’s beter beheerst en systemen daarmee veiliger? Vermoedelijk niet. Uiteindelijk gaat het erom wat er werkelijk gebeurt met gegevens en of IT systemen daadwerkelijk goed beveiligd zijn.

Privacybescherming en informatiebeveiliging vereisen een managementcyclus

De AVG schrijft voor dat privacy- en gegevensbescherming periodiek getoetst en geëvalueerd moeten worden volgens een managementcyclus. Daarbij moet de beveiliging worden ingericht naar de stand van de techniek, wat ook periodieke ijking vereist. Een andere verplichting vanuit de AVG is dat bij relevante wijzigingen in beleid, processen of systemen de gevolgen voor privacybescherming moeten worden geëvalueerd door het uitvoeren van een privacy impact assessment. Afgezien dat de AVG een managementcyclus vereist, is een dergelijke cyclus ook verstandig ten behoeve van bedrijfsvoering om geen onnodige risico’s te lopen. Daarnaast voorkomt u hiermee dat verkeerde investeringen worden gedaan in bijvoorbeeld systeemaanpassingen. Het biedt u als belangenorganisatie inzichten om in control te komen en te blijven.

Meer weten?

Wilt u meer weten over het thema Privacy- en informatiebeveiliging voor belangenorganisaties? Neem dan contact op met Jan Matto per e-mail of per telefoon: +31 (0)88 277 19 92 of Jaap Rauw per e-mail of per telefoon: +31 (0)88 277 19 70. Zij helpen u vraag verder.