Verslag Security Congres (ISACA, NOREA en PvIB)

Autoriteit Persoonsgegevens: Meldplicht datalekken en nieuwe verordening

ISACA, NOREA en PvIB organiseren jaarlijks het Security Congres. Deze keer werd het congres op 12 oktober 2016 in de Amsterdam ArenA georganiseerd onder de titel ‘Data in the Future’. Dit verslag geeft een korte impressie van deze leerzame bijeenkomst, die door 275 professionals in informatiebeveiliging en auditing werd bezocht.

Onder het dagvoorzitterschap van André Beerten kreeg een behoorlijk aantal sprekers het woord, sommigen als keynote en anderen in break-out sessies. Aan het eind van het congres was het podium voor de drie genomineerden voor de Joop Bautz Information Security Award 2016.

De eerste spreker is Wilbert Tomesen, de vicevoorzitter van de Autoriteit Persoonsgegevens. Hij meldt dat er sinds 1 januari 2016, na de invoering van de wettelijke meldplicht van datalekken, ongeveer 4.000 meldingen zijn gedaan. Daarvan is 75 procent door de Autoriteit Persoonsgegevens gecontroleerd en nagevraagd. Het lijkt in eerste instantie een behoorlijk aantal, maar klopt dit wel als er 130.000 bedrijven geregistreerd staan die persoonsgegevens verwerken? Zeer opvallend is dat niet één webwinkel een melding heeft gedaan; dat lijkt toch niet te kloppen. Veel meer wordt er ontvangen uit de financiële, zorg en gemeentelijke sectoren, wat Tomesen terugvoert op de betekenis van brancheverenigingen en toezichthouders die daar een actieve rol in spelen.

Tot nu toe zijn er nog geen boetes uitgedeeld, maar Tomesen spreekt waarschuwende woorden aan het adres van organisaties die een datalek verzuimen te melden. Hij merkt op dat een van de winstpunten van de meldplicht datalekken de toegenomen bewustwording is.

Vervolgens staat hij stil bij de nieuwe Europese Algemene Verordening Gegevensbescherming, die vanaf mei 2018 van kracht zal zijn. Deze verordening gaat de huidige Wet bescherming persoonsgegevens in Nederland vervangen. De Verordening verplicht organisaties onder meer een Privacy Impact Assessment (PIA) te doen. Wanneer dit assessment daartoe reden geeft, is de organisatie verplicht daarvan melding te maken bij de Autoriteit Persoonsgegevens. Organisaties met meer dan 250 medewerkers moeten ook een Data Privacy Officer in dienst hebben.

Tomesen pleit ervoor om privacybescherming te zien als het ‘nieuwe groen’ in de samenleving. Net zoals we graag willen dat bedrijven duurzaam opereren en dat we spijkerbroeken kopen die niet met kinderarbeid zijn gemaakt, zouden we ook bij voorkeur zaken willen doen met bedrijven die de privacy van klanten en burgers uiterst serieus nemen.

Ter afsluiting van zijn betoog becommentarieert Tomesen de actuele uitspraken van AIVD-voorman Bertholee in de Volkskrant over de disbalans tussen beveiliging en privacy. Tomesen geeft aan niet van achterdeurtjes te houden zoals Bertholee in feite propageert. Ook over de motivatie die Bertholee geeft (‘Jij zeurt nu over privacy? Moet je maar eens een aanslag van dichtbij meemaken, dan denk je daar wel anders over’) is hij uitermate kritisch. Dit vindt instemming in de zaal.

Mijn valse identiteit

Daarna is het de beurt aan Marcel van der Velde, social engineer/white hacker van het bijzondere soort. Hij weet in enkele minuten de zaal aardig in verwarring te brengen over zijn eigen identiteit en koppelt dat aan ‘vertrouwen’. Hij trekt daarbij een mooie parallel met de betekenis die het begrip ‘identiteit’ vroeger had. Toen was vertrouwen gebaseerd op het gegeven dat men elkaar persoonlijk kende. Je kon als kind naar de bank om spaargeld te storten zonder enige vorm van legitimatie, iets wat we ons nu niet meer kunnen voorstellen. Van der Velde hekelt de aanpak van minister van der Steur, die de verkoop van prepaid telefoonkaarten wil verbieden. Daarmee, zo betoogt van der Velde, ontneem je de mogelijkheid tot anonimiteit aan personen die legitieme bescherming nodig hebben, bijvoorbeeld journalisten. De criminelen tref je er niet mee, want die vinden toch wel een andere manier. Ze maken bijvoorbeeld misbruik van de zwakkeren in onze samenleving. Van der Velde geeft ook nog de volgende interessante tip: mocht je in de toekomst van een andere of valse identiteit gebruik willen maken, dan is het nu tijd om deze alvast aan te maken. Zorg dat je deze identiteit digitaal laat leven zodat deze over enige tijd, wellicht jaren, zeer betrouwbaar zal lijken.

Zie privacy als het ‘nieuwe groen’ in de samenleving

Informatiebeveiliging en privacyrechtelijke risico’s

In een van de break-out sessies gaat Wouter Seinen (Baker & McKenzie) in op gegevensbeveiligingsmaatregelen in het verlengde van het dataprotectierecht. Hij benadrukt dat compliance met de (nieuwe) wet- en regelgeving van groot belang is, al was het maar omdat de in het vooruitzicht gestelde boetes bij overtreding enorm kunnen zijn. Hij brengt een aantal game changers voor het voetlicht, die in de komende tijd de nodige aandacht van organisaties zullen vragen, zoals data breach notification, data processor obligations en accountability. Seinen geeft aan dat volledige compliance een hele uitdaging zal zijn en dat het om te beginnen lang niet eenvoudig is om precies helder te krijgen wat wel en niet mag. Hij pleit ervoor good practices toe te passen, dit goed te documenteren en afwegingen en genomen maatregelen inzichtelijk te maken. Dit alles vanuit een solide juridische basis.

Een andere breakoutsessie was van Paul Samwel van Rabobank Nederland met als titel ‘Future of secure banking’. De heren Erik Hoorweg en Albert Holl van Capgemini hadden een interactieve sessie getiteld ‘Everything you always wanted to know about privacy impact assessments but where afraid to ask’. Jan de Heer presenteerde een vooruitblik op de NOREA-handreiking over de meldplicht datalekken: ‘Bent u in controle met de meldplicht?’.

Jaap Kuiper en Jan Matto hielden een presentatie over de ontwikkeling van eID en Idensys, het toekomstige stelsel voor digitale identificatie.

Joop Bautz Information Security Award

De juryvoorzitter van de Joop Bautz Information Security Award, Pieter van Dijken, neemt het woord en introduceert de drie genomineerden: Yoni Linden, Joep Peeters en Hans Harmannij. Deze drie krijgen gelegenheid hun scripties toe te lichten voordat de winnaar bekend wordt gemaakt. De prijs wordt toegekend aan Hans Harmannij voor zijn thesis ‘Polymorphic Pseudonymization in Educational Identity Federations’. De genomineerde scripties zijn te downloaden op de website van de Joop Bautz Information Security Award, www.jbisa.nl.

CIO nu en in de toekomst

Het congres eindigt met een sessie van Aart van der Vlist (CTO/CIO van UWV en in zijn vrije tijd trendwatcher). Van der Vlist schetst zijn kijk op de toekomst, en geeft praktische tips voor de CIO van nu. Zijn verhaal heeft de vorm van een drieluik.

Luik 1: de snelheid en de voorspellingen

Van der Vlist beschrijft in rap tempo een aantal ontwikkelingen die we allemaal kennen: drones die pakketjes bezorgen, de Watson-supercomputer in de medische diagnostiek, datagestuurde power grids, zelfsturende auto’s. Met een tweetal bekende voorbeelden illustreert Van der Vlist dat voorspellen moeilijk is, ‘vooral als het de toekomst betreft’. Zo gaf Thomas J. Watson, de CEO van IBM in 1943 te kennen: ‘I think there is a world market for maybe five computers’. En Steve Ballmer, de CEO Microsoft van 2000 tot 2014 deed in 2007 de uitspraak: ‘There’s no chance that the iPhone is going to get any significant market share. No chance’. Oftewel: doe gerust voorspellingen, ze komen toch niet uit.

Game changers zoals Data breach notification, data processor obligations en accountability gaan veel aandacht van organisaties vragen

Luik 2: groei in IT is ook groei in IT-risico’s

Van der Vlist voert een flink aantal recente hacks en incidenten ten tonele om de enorme toename van incidenten te staven. Hij noemt onder andere de Sony-hack door de Koreaanse hacking unit ‘Bureau121’, het Isala ziekenhuis, het mogelijke Almelo-datalek, maar ook het lek bij zijn eigen UWV, waarbij 11.000 persoonsgegevens door een menselijke fout in verkeerde handen vielen.

Luik 3: welke stappen gaan we nemen?

De CIO zal worden aangesproken op alle bestaande risico’s. Hij zal dan ook snel in actie moeten komen. Van der Vlist schetst hiervoor vijf stappen (zie zijn presentatie). Wat in elk geval niet zal werken, is alsmaar maatregelen toevoegen en meer straffen. We moeten in plaats daarvan opschuiven naar handelen op basis van vertrouwen. Van der Vlist beschrijft dit onder andere als het vinden van een evenwicht tussen een ‘Al Capone’-aanpak met de inzet van wapens en bedreigingen, en de filosofische aanpak van Lucius Seneca, die kiest voor de individuele autonomie en innerlijke vrijheid. De waarheid zal ergens in het midden liggen.

De presentaties zijn te downloaden via de website van het Security Congres: www.security-congres.nl.

Geef een reactie