Luciën Sikkens

Luciën Sikkens

Director OT Security Centre of Excellence

Er speelt nogal wat op het gebied van security én privacy en deze elementen lijken elkaars vriend en vijand te zijn voor uw dagelijkse operatie. Tijd om deze zaken eens in een samenhang te bekijken.

Een aanleiding vormt natuurlijk het ongeldig verklaren van het “Safe Harbor” verdrag door het Europese hof van justitie. Het Safe Harbor verdrag diende ter waarborging dat wij, ingezetenen van de EU, met vertrouwen onze data in de Verenigde Staten konden laten “verwerken” in de wetenschap dat Amerikaanse bedrijven die handelden onder het Safe Harbor verdrag onze privacy wetgeving volledig zou respecteren.

Aangezien we over wetgeving spreken is het noodzakelijk om voor bewoording de juiste interpretatie te kiezen. Wellicht heeft u uw data “opgeslagen” in een datacenter in de VS maar bent u van mening dat de “verwerking” volledig en alleen door uzelf in Nederland plaatsvindt.

De wetgever kent echter een brede betekenis toe aan het woord verwerken; elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Velen onder u waren al terughoudend met het opslaan van data in het land dat de term “Big Brother” heeft uitgevonden en de openbaringen van Edward Snowden hebben het vertrouwen verder afgebroken. Het Europese hof stelt nu feitelijk dat uw vertrouwen in het privacy respecterende aspect van de VS terecht weg is.

Het College Bescherming Persoonsgegevens gaat een stap verder dan slechts adviseren waar u uw data wel en niet kunt opslaan. Het CBP stelt immers: Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag alléén als een land voldoende bescherming biedt. Het CBP heeft hiertoe een lijst opgesteld van landen die hieraan voldoen en op het moment van schrijven van dit artikel staat de VS onder voorwaarde van het Safe Harbor verdrag hier nog keurig bij vermeld. Deze vermelding is dus nu ongeldig verklaard door het Europese hof van justitie.

Waar is volgens de EU uw data dan nog wel “veilig” buiten de EU? Dit vindt u in de landenlijst zoals opgesteld door de Europese commissie en dit blijkt in de praktijk een beperkt lijstje te zijn; Noorwegen, Liechtenstein, IJsland, Andorra, Argentinië, Canada, Faeröer eilanden, Guernsey, Isle of Man, Israël, Jersey, Uruguay en Zwitserland. Niet al deze landen zullen relevant zijn wanneer u landen weg streept met een beperkte bandbreedte om data te verwerken.

Nu moet ik eerlijkheidshalve bekennen dat “data” wellicht een te groot container begrip is. Het gaat hier immers om “persoonsgegevens” en niet alle data zijn persoonsgegevens. Maar ook op dat vlak vindt een aanscherping plaats. Wat dacht u immers van het vastleggen van een IP adres? Dit gebeurt op meer plekken dan u wellicht weet…

Is een IP adres een persoonsgegeven? In 2001 liet het CBP daar nog een stukje “grijze” ruimte in zitten en het afhangen van de context. De Nederlandse advocatuur stelt dat de “heersende leer” er vanuit gaat dat IP adressen (in de meeste gevallen) een persoonsgegeven zijn. Kortom, in een rechtszaak nog steeds ruimte voor interpretatie en uitleg, zij het dat de nodige jurisprudentie al richting geeft. De onomstotelijke vaststelling zal echter wederom van het Europese hof van justitie komen die zich momenteel óók over dit onderwerp buigt naar aanleiding van een verzoek van het Duitste Bundesgerichtshof. De aanname hierbij is dat het hof zal vaststellen dat een IP adres een persoonsgegeven is.

Nu wilt, of sterker nog u moet, uw privacy gevoelige data beschermen en levert dit dus een beperking op ten aanzien van bijvoorbeeld de opslaglocatie en wie er toegang heeft tot uw data.

Maar dit heeft óók effect op de hedendaagse security maatregelen die u moet nemen. Inmiddels raakt iedereen er immers van overtuigd dat preventieve security maatregelen noodzaak zijn, maar niet meer voldoende om u en uw data te beschermen. Uw steeds intelligenter wordende firewalls houden veel kwaadwillenden buiten, maar helaas niet alle en bovendien werkt dit niet in situaties waar uw eigen medewerker zich tegen u keert of zijn/haar login gegevens worden misbruikt door een derde.

Het antwoord ligt in detectieve maatregelen en het toepassen van razendsnelle big data analyse op uw dataverkeer. Dit is het hét werk van een modern Security Operations Center (SOC), welke u zelf intern kunt implementeren of als Managed Security Service kunt afnemen in de markt.

Een SOC verwerkt vooral zogenaamde “metadata”, maar zal ook IP adressen raken. En voila, daar ontstaat ineens een potentiele beperking in de SOC dienstverlening welke u wilt of kunt afnemen. Het klinkt immers aantrekkelijk en modern om een SOC dienst af te nemen bij een partij die het follow the sun principe toepast in haar 7 x 24 dienstverlening. Of wat dacht u van het bundelen van data van klanten wereldwijd om tot een betere beveiliging van uw data te komen? Betekent dat dat hiervoor uw data óók “verwerkt” wordt in landen die géén passend beschermingsniveau hebben, zoals vastgesteld door het CBP?

Kortom, ik raad u van harte aan om voor het inzetten van een Managed Security Service zoals een SOC een dieper gesprek met uw IT-partner aan te gaan over hoe deze zich kan conformeren aan de privacy wetgeving en waarborgt dat uw data inderdaad in een veilige haven is die de stormen kan trotseren. En eerlijk gezegd blijft het waarschijnlijk niet bij een advies; er geldt al een verplichting voor het uitvoeren van een Privacy Impact Assesment voor de Rijksoverheid en dit komt ongetwijfeld in het licht van al het voorgaande ook naar de private sector.

Wilt u weten hoe CGI haar dienstverlening een veilige haven kan bieden voor uw data en/of wat wij voor u kunnen betekenen op het gebied van Managed Security Services en PIA, dan sta ik u graag te woord.

Whitepaper

Is a cyber breach inevitable? Cyber Security Challenges in the Netherlands

Uit onderzoek, dat PAC uitvoerde in opdracht van CGI, blijkt dat Nederlandse organisaties onvoldoende zijn voorbereid op de onvermijdelijke cyber breach.

Download nu de whitepaper

 

Over de auteur

Luciën Sikkens

Luciën Sikkens

Director OT Security Centre of Excellence

I have the pleasure of working in the exciting world of security. Security is an ever growing hot topic and challenges are increasing every day. The biggest of them all is to align a security approach with day to day business as security should not ...