Best practices bij naleven WBP in een outsourcingsrelatie
Best Practices bij naleven WBP in een outsourcingsrelatie
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 1 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Inhoud Inhoud ....................................................................................................................... 2 1. Inleiding ............................................................................................................... 3 1.1 Aanleiding ......................................................................................................... 3 1.2 Object van onderzoek en de kwaliteitsaspecten ........................................................ 3 1.3 Vraagstelling en onderzoeksmethode...................................................................... 4 2. Kaderstelling en afbakening ..................................................................................... 5 3. Aansluiting BiSL en ITIL .......................................................................................... 8 3.1 De business en BiSL ............................................................................................ 8 3.2 De ICT-serviceorganisatie en ITIL ........................................................................ 12 3.3 Aansluiting BiSL & ITIL ...................................................................................... 15 3.3.1 Service team en regieorganisatie ...................................................................... 15 3.3.2 Overeenkomst tussen functioneel- en technisch beheer ........................................ 17 3.4 Bevindingen aansluiting BiSL en ITIL .................................................................... 19 4. Aanknopingpunten BiSL en ITIL voor invulling Wbp .................................................... 21 4.1 Wettelijke verplichtingen vanuit de Wbp ............................................................... 21 4.2 Passende maatregelen ....................................................................................... 25 4.2.1 Aanknopingspunten in BiSL ............................................................................. 26 4.2.2 Aanknopingspunten in ITIL .............................................................................. 27 4.2.3 Bevindingen passende maatregelen .................................................................. 27 4.3 Overeenkomst .................................................................................................. 28 4.3.1 Aanknopingspunten in BiSL ............................................................................. 28 4.3.2 Aanknopingspunten in ITIL .............................................................................. 29 4.3.3 Bevindingen overeenkomst.............................................................................. 29 4.4 Toezicht .......................................................................................................... 30 4.4.1 Aanknopingpunten in BiSL ............................................................................... 30 4.4.2 Aanknopingspunten in ITIL .............................................................................. 31 4.4.3 Bevindingen toezicht ...................................................................................... 32 5. Praktijk onderzoek ............................................................................................... 33 5.1 Beschrijving case .............................................................................................. 33 5.2 Opzet onderzoek ............................................................................................... 34 5.3 Service team en regieorganisatie ......................................................................... 34 5.4 Overeenkomst tussen functioneel en technisch beheer ............................................ 35 5.5 Passende maatregelen ....................................................................................... 35 5.5.1 Gebruikersorganisatie..................................................................................... 35 5.5.2 ICT-Serviceorganisatie ................................................................................... 36 5.5.3 Bevindingen passende maatregelen .................................................................. 37 5.6 Overeenkomst .................................................................................................. 37 5.6.1 Gebruikersorganisatie..................................................................................... 37 5.6.2 ICT-dienstverlener ......................................................................................... 38 5.6.3 Bevindingen overeenkomst.............................................................................. 39 5.7 Toezicht .......................................................................................................... 39 5.7.1 Gebruikersorganisatie..................................................................................... 39 5.7.2 ICT-dienstverlener ......................................................................................... 40 5.7.3 Bevindingen toezicht ...................................................................................... 41 6. Conclusie en aanbevelingen ................................................................................... 42 7. Reflectie ............................................................................................................. 45 8. Bijlage................................................................................................................ 46
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 2 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
1. Inleiding 1.1
Aanleiding
Het opstellen van een scriptie maakt onderdeel uit van het derde jaar van de opleiding IT-audit van de Vrije Universiteit Amsterdam. In de scriptiewijzer van opleiding IT – Audit van de VU wordt geadviseerd de scriptie met twee personen uit te werken en onderwerpen te zoeken uit de dagelijkse praktijk.
Wij zijn afkomstig uit verschillende bedrijven, een zelfstandig bestuursorgaan (ZBO) en een wereldwijde ICT-dienstverlener, en hebben daarom gezocht naar een onderwerp dat vanuit beide perspectieven interessant is. Het ZBO heeft zijn ICT uitbesteed aan verschillende bedrijven, waaronder het technisch beheer aan deze ICT-dienstverlener.
Wij zien in de praktijk dat uitbestedingprojecten vaak een moeizaam verloop hebben. Dit ondanks dat er vanuit diverse best practices handvatten worden gegeven over hoe ICT-beheer kan worden beheerst in een uitbestedingsituatie. Wij vroegen ons daarom af waarom organisaties het moeilijk vinden om bij een uitbesteding in control te blijven. In het bijzonder zien we dat enerzijds het beveiligingsbeleid dat is vastgesteld op strategisch niveau, niet “landt” op het operationele niveau. Anderzijds zien we dat de risico’s op operationeel niveau niet “opstijgen” naar de juiste beslisniveaus. Er lijkt sprake te zijn van een “kloof”. Een situatie die niet uniek is voor uitbesteding, maar die duidelijker zichtbaar lijkt te worden als de relaties tussen de business en de ICTserviceorganisatie meer wordt geformaliseerd onder invloed van een uitbesteding.
Voor de overheid is de kwetsbaarheid van de vertrouwelijke persoonsgegevens een punt van zorg. De toegenomen hoeveelheid gegevens in het bezit, en de verbeterde toegankelijkheid van deze gegevens, maakt de overheid kwetsbaar voor het uitlekken van deze gegevens. De publieke opinie lijkt zeer gevoelig voor mogelijke kwetsbaarheden en incidenten waarbij persoonsgegevens en/of een overheidsinstantie zijn betrokken. Zo kunnen zelfs onbetekenende incidenten imagoschade veroorzaken.
1.2
Object van onderzoek en de kwaliteitsaspecten
Zoals in de aanleiding beschreven, is momenteel de bescherming van persoonsgegevens in het publieke debat een belangrijke kwestie. Daarom hebben we in deze scriptie de Wet Bescherming Persoonsgegevens (Wbp) als uitgangspunt genomen. Volgens deze wet moeten persoonsgegevens worden beschermd tegen “verlies of tegen enige vorm van onrechtmatige verwerking”. De beveiliging van persoonsgegevens kent drie kwaliteitsaspecten: 1. Exclusiviteit: Uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van persoonsgegevens. 2. Integriteit: De persoonsgegevens moeten in overeenstemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 3 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
3. Continuïteit: De persoonsgegevens en de daarvan afgeleide informatie moeten zonder belemmeringen beschikbaar zijn in overeenstemming met de overeengekomen afspraken en de wettelijke voorschriften. Continuïteit wordt gedefinieerd als de ongestoorde voortgang van een gegevensverwerking.
In deze scriptie wordt ervan uitgegaan dat in de meeste organisaties en bedrijven, omwille van het bedrijfsbelang,
de
integriteit
en
continuïteit
van
de
informatiesystemen
voldoende
zijn
gewaarborgd. De bescherming van de privacy van de personen over wie persoonsgegevens worden verwerkt, vereist dan in het bijzonder dat de exclusiviteit voldoende gewaarborgd wordt.
1.3
Vraagstelling en onderzoeksmethode
Zoals in de aanleiding aangegeven heeft ons onderzoek betrekking op het uitbesteden van technisch beheer door overheidsonderdelen en de aansluiting tussen de business en de ICTdienstverlening. We hebben daarom als onderzoeksobject twee best practices gekozen die op het raakvlak van business en ICT door de overheid veel worden gebruikt: BISL en ITIL.
Dit leidt tot de centrale vraagstelling: •
In hoeverre ondersteunen de best practices BiSL en ITL de naleving van de Wbp in een outsourcingssituatie?
De subvragen vanuit de context van de outsourcing van het technisch beheer die daar bij horen zijn: •
In hoeverre sluiten BiSL en ITIL op elkaar aan voor de beheersing van het technische ICTbeheer?
•
In hoeverre ondersteunen BiSL en ITIL de naleving van de Wbp?
Deze vragen zullen wij zowel in theorie als in de praktijk op basis van een casussituatie onderzoeken.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 4 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
2. Kaderstelling en afbakening In dit hoofdstuk wordt het onderzoeksdomein afgebakend en worden de kaders gesteld waarbinnen het onderzoek wordt uitgevoerd. Vormen van uitbesteden Het uitbesteden van werkzaamheden is een breed begrip. Looijen1 maakt bijvoorbeeld onderscheid tussen: •
Het uitbesteden van beheer (Outsourcing),
•
Het uitbesteden van onderhoud (Third Party Maintainance),
•
Inhuren (Detachering).
Iedere vorm van uitbesteding kent zijn eigen dynamiek. Bij uitbesteding kan zowel de ontwikkeling als het beheer bij een andere partij worden belegd. In dat geval heeft de uitbestedende partij, in tegenstelling tot inhuren, geen direct toezicht meer op de activiteiten van het ICT-beheer. In deze scriptie zal de focus worden gelegd op het uitbesteden van het ICT-beheer, dus “outsourcing”.
Definitie: Outsourcen is het uitbesteden van een deel van de taken van de organisatie aan een andere partij, waarbij de verantwoordelijkheid voor de uitvoering bij de andere partij komt te liggen (“hoe”) en sturing plaats vindt op basis van voorafbesproken resultaten (“wat”). Outsourcen vindt vaak plaats als onderdeel van een strategisch besluit van een organisatie om zich te beperken tot haar kerntaken.
Het outsourcingsproces Het traject van outsourcing betreft in veel gevallen een langdurig proces bestaande uit verschillende achtereenvolgende stappen. Het itSMF2 noemt de onderstaande stappen: •
Besluitvorming;
•
Leverancier selectie;
•
Transitie;
•
Dienstverlening;
•
Beëindiging overeenkomst.
Hoewel alle fasen van belang zijn voor het slagen van een outsourcingsovereenkomst ligt binnen deze scriptie de focus primair op de fase dienstverlening. Onder deze fase wordt verstaan de levering
door
de
dienstverlenende
partij
gedurende
de
afgesproken
periode
van
de
overeengekomen diensten.
Vormen van beheer Binnen het begrip outsourcing kunnen verschillende varianten van beheer worden onderscheiden. Uitgaande van de indeling van Looijen zijn dit:
1 2
Looijen, M., Beheer van informatiesystemen, 1997 G. Wijers, D. Verhoef, De RfP voor IT-outsourcing management guide
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 5 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
•
Het functioneel beheer: verantwoordelijk voor de instandhouding van de functionaliteit van de informatievoorziening. Business Information Systems Library (BiSL) is een verzameling best practices voor het functioneel beheer;
•
Het technisch beheer: verantwoordelijk voor de instandhouding van het informatiesysteem, bestaande uit de apparatuur, programmatuur en gegevensverzamelingen. Information Technology Infrastructure Library (ITIL) is een verzameling best practices voor het technisch beheer;
•
Het applicatiebeheer: verantwoordelijk voor het beheer, onderhoud en vernieuwing van informatiesystemen en applicaties. Application Services Library (ASL) is een verzameling best practices voor het applicatie beheer. ASL is nieuwer dan en deels geïnspireerd op ITIL.
Het service team in onderstaande figuur functioneert als integrator tussen de drie hierboven genoemde functies. Opdrachtgever
Leveranciers
Applicatie beheer
Functioneel beheer
Service team
Technisch beheer
Figuur 1 service team Primair zal de focus binnen deze scriptie liggen op outsourcing van het technisch beheer en de aansturing van het technische beheer door het functioneel beheer via het Serviceteam. Best practises & outsourcing In een outsourcing situatie kan, binnen de context van de Wbp, gebruik gemaakt worden van verschillende best practices en van verschillende normen. Van belang binnen deze context zijn de best practices op het gebied van beheer en de beveiligingstandaarden ISO 27001 en ISO 27002. Primair zal in deze scriptie aandacht worden besteed aan de best practices voor het beheer. ISO 27001 en ISO 27002 worden binnen deze scriptie gebruikt als algemene kaders voor het inrichten van de informatiebeveiliging.
Op het gebied van beheer kan onderscheid gemaakt worden tussen een best practice gericht op het beheer met als primair doel de gebruikersorganisatie Business Information Services Library (BiSL) en een best practice met meer de focus op het rekencentrum Information Technology Infrastructure Library (ITIL). Het gebruik van deze laatste twee best practices binnen een outsourcingsrelatie, zal de hoofdlijn vormen binnen deze scriptie.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 6 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Bescherming persoonsgegevens en outsourcing Bij het uitbesteden van het technische beheer krijgt de uitbestedende partij te maken met de Wet Bescherming persoonsgegevens. De Wbp bevat wettelijke bepalingen betreffende de verwerking van persoonsgegevens. Deze bepalingen hebben onder andere betrekking op de gewenste beveiligingsniveaus en de eisen bij het uitbesteden van werkzaamheden. In hoofdstuk 4.1 van deze scriptie zal verder worden uitgewerkt wat de verplichtingen zijn die voortkomen uit deze wet.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 7 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
3. Aansluiting BiSL en ITIL In de volgende secties worden de business met BiSL en de serviceorganisatie met ITIL eerst onafhankelijk van elkaar beschreven. Daarna wordt de aansluiting tussen de twee onderzocht. Op basis van de theorie is het niet noodzakelijk om voor de inrichting van het functioneel beheer en het technische beheer gebruik te maken van verschillende best practices. Looijen laat bijvoorbeeld het change management proces uit ITIL over drie beheer domeinen lopen3. Toch is in deze scriptie gekozen om BiSL te gebruiken voor de vraagzijde of het functioneel beheer en ITIL voor de aanbodzijde of het technische beheer. Deze keuze is gemaakt omdat BiSL minder redeneert vanuit de techniek en beter aansluit bij de business. Deze keuze wordt door de literatuur ondersteund4,5.
Bij deze scriptie wordt voorondersteld dat zowel de business als de ICT-serviceorganisatie eigen beveiligingsdoelstellingen, aangevuld met eisen vanuit de wetgeving en uit de ISO 27001 6en ISO7 27002, omzetten naar hun eigen beleid. Het beleid van de vragende partij, zal vervolgens worden vertaald in maatregelen die (deels) worden uitgevoerd door de serviceorganisatie. Deze maatregelen zullen worden vastgelegd in een formele overeenkomst.
3.1
De business en BiSL
Functioneel beheer Het functioneel beheer is verantwoordelijk voor de informatievoorziening. Het beleid van de organisatie is kaderstellend voor de inrichting van de informatievoorziening. Het functioneel beheer zal rekeninghoudend met het organisatiebeleid de informatievoorziening moeten vormgeven. Bij de inrichting zullen keuze worden gemaakt voor al dan niet geautomatiseerde oplossingen. Bij een keuze voor een geautomatiseerde oplossing zullen door het functioneel beheer de behoefte van het bedrijfsproces vertaald worden naar gewenste ICT-diensten met daaraan gekoppeld gewenste kwaliteitsniveaus (bijv. Exclusiviteit). Deze eisen worden gesteld aan het technische beheer. BiSL BiSL is een standaard in het publieke domein, die wordt beheerd door de ASL BiSL Foundation. Anders dan frameworks als ASL en ITIL richt BiSL zich niet op ICT-organisaties (supply), maar juist op de gebruikersorganisatie (demand). In het BiSL framework staat beschreven, hoe een gebruikersorganisatie ervoor kan zorgen dat informatievoorziening adequaat werkt, hoe men behoeften in het bedrijfsproces vertaalt naar ICT-oplossingen en niet-ICT-oplossingen, hoe men de informatievoorziening en ICT-dienstverlening vanuit een gebruiksoptiek stuurt en hoe men de informatievoorziening op lange termijn vorm geeft. Het BiSL framework geeft een beschrijving van de processen en systemen op hoofdlijnen. BiSL besteed weinig aandacht aan informatiebeveiliging.
3 4
5 6 7
Looijen, Beheer van informatiesystemen, 1997 NORA, Nederlandse Overheid Referentie Architectuur, 2007 Meijer / Hagen, Demogelijkerol van ITIL v3 voor BiSL, Meijer / Hagen, 2008 ISO, Information security management systems — Requirements,2005 ISO, Code of practice for information security management, 2005
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 8 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Het ontbreken van aandacht voor informatiebeveiliging wordt in de literatuur als gemis gezien8. Hierna is het BiSL model in een figuur weergegeven en wordt het model globaal beschreven:
Figuur 2 BiSL Model op hoofdlijnen: BiSL kent processen op het strategische (richtinggevend), tactische (sturend) en operationele niveau (uitvoerend).
Strategische processen Het strategische niveau Op het strategische niveau wordt in BiSL onderscheid gemaakt tussen de clusters die bepalen hoe de informatievoorziening er op lange termijn gaat uitzien en de clusters die bepalen hoe de sturing op de informatievoorziening er uit moet zien.
Opstellen IV-organisatie strategie Het productcluster opstellen IV-organisatie strategie houdt zich bezig met de wijze waarop de uitvoering van en de besluitvorming over de informatievoorziening wordt ingericht. Extern wordt gekeken naar de leveranciers en de ketenpartners. Intern wordt gekeken naar de ontwikkelingen in de gebruikersorganisatie. Het productcluster bestaat uit de onderstaande processen: •
Leveranciers
management:
het
proces
heeft
als
doel
te
bepalen
welke
partijen
(leveranciers) het meest geschikt zijn om voor de informatievoorziening de benodigde kennis en middelen in te brengen en te bepalen welke rol de leveranciers daarbij spelen. Hierbij wordt beleid opgesteld ten aanzien van o.a. de verantwoordelijkheden die bij een leverancier worden belegd en de wijze waarop de overeenkomsten met de leveranciers worden ingericht; •
Relatie management gebruikersorganisatie: het doel van het proces is het vormgeven en het
8
bewaken
van
de
consistentie,
samenhang
en
communicatie
tussen
de
Meijer, De mogelijke rol van ITIL v3 bij het managen van de informatievoorziening, 2008
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 9 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
informatievoorzieningfunctie en de gebruikersorganisatie. Dit gebeurt o.a. door de ontwikkelingen in de gebruikersorganisatie te volgen en de informatievoorzieningfunctie daarop aan te passen; •
Ketenpartners management: dit proces maakt het mogelijk dat tussen organisaties informatie
wordt
uitgewisseld.
Hiertoe
worden
de
relaties
met
de
ketenpartners
onderhouden en worden afspraken gemaakt over de wijze waarop de samenwerking wordt georganiseerd en de wijze waarop binnen de keten wordt ingespeeld op veranderingen; •
Strategie inrichting IV-functie: het doel van dit proces is het definiëren van de gewenste inrichting van de IV functie en geeft hierbij aanknopingspunten voor de inrichting van het functioneel beheer.
Opstellen informatie strategie De informatievoorziening op de lange termijn (3-5 jaar) wordt bepaald met behulp van de processen: •
Bepalen keten ontwikkelingen: het doel van het proces is het in kaart brengen van de ontwikkelingen op het terrein van informatisering over organisaties heen en het vertalen van deze ontwikkelingen naar gevolgen voor de inhoud van de informatievoorziening voor de eigen organisatie. Dit met als doel het aansluiten van de eigen bedrijfsprocessen op de omgeving. Volgens BiSL9 zijn daarbij o.a. van belang: autorisatie, beveiliging en privacy aspecten binnen de keten;
•
Bepalen technologische ontwikkelingen: het proces heeft als doel het bijhouden van de technologische ontwikkelingen en het beoordelen van het belang voor de organisatie of de informatievoorziening;
•
Bepalen bedrijfsproces ontwikkelingen: het doel van het proces is het in kaart brengen van de ontwikkelingen op lange termijn binnen de organisatie en de bedrijfsprocessen. Dit om op de lange termijn de bedrijfsprocessen aan te sluiten op de informatievoorziening;
•
Informatie lifecycle management: het doel van het proces is het opstellen van een strategie voor de informatievoorziening en het vertalen naar investeringen en acties. In het proces worden de hoofdlijnen van de toekomstige functionaliteit van de informatievoorziening vastgesteld;
•
Informatie porfolio management: dit proces zorgt voor de overkoepelende afstemming en uniformiteit over het geheel van de informatievoorziening.
Informatiecoördinatie Informatiecoördinatie heeft als doel de plannen met betrekking tot de informatievoorziening en de invulling van de organisatie van het functioneel beheer met elkaar in overeenstemming te brengen. Dit wordt o.a. bereikt door het afstemmen van verschillende beleidsplannen.
Tactische processen De tactische processen binnen BiSL sturen op geld, tijd, kwaliteit en overeengekomen afspraken. De primaire focus ligt op het sturen van de eigen organisatie. 9 BiSL: een framework voor Functioneel Beheer en Informatiemanagement, Remco van der Pols, 2005, van Haren Publishing
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 10 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
•
Planning en control: het doel van het proces is het aansturen van de organisatie ten aanzien van de tijd en de inzet van mensen. Planning en control kijken daarbij naar de noodzakelijke capaciteit en de beschikbare capaciteit bij het functioneel beheer en de lijn organisatie;
•
Financieel Management: dit proces is verantwoordelijk voor de kosten en baten kant van de
•
Behoeftemanagement:
informatievoorziening; behoeftemanagement
stelt
eisen
aan
de
kwaliteit
van
de
informatievoorziening en de IV-ondersteuning en bewaakt de kwaliteit van de behaalde resultaten.
Het
monitoren
van
incidenten
geeft
input
voor
het
proces
behoeftemanagement; •
Contractmanagement: het doel van dit proces is het opstellen van een overeenkomst met afspraken
over
de
geautomatiseerde
informatievoorziening
en
dienstverlening,
het
bewaken van de geleverde diensten en het verbeteren van de dienstverlening. Belangrijke producten zijn de Service Level Agreements (SLA’s) en de dossiers afspraken en procedures (DAP).
Operationele processen Op
het
operationele
niveau
zijn
de
werkzaamheden
opgedeeld
in
Gebruikersbeheer
en
Functionaliteitenbeheer.
Gebruikersbeheer Gebruikersbeheer is gericht op de dagelijkse ondersteuning van de gebruikersorganisatie met als doel om de bedrijfsprocessen zo effectief en efficiënt mogelijk te laten verlopen. Binnen het cluster gebruikersbeheer worden de onderstaande processen onderscheiden: •
Gebruikersondersteuning: dit proces is gericht op de dagelijkse ondersteuning van de gebruikers o.a. door proactieve communicatie naar de gebruikers en het afhandelen van calls en het toekennen van autorisaties;
•
Beheer bedrijfsinformatie: het proces is verantwoordelijk voor een correcte opzet en inhoud van de gegevens in de informatievoorziening. Binnen dit proces worden o.a. de stuurgegevens gewijzigd;
•
Operationele aansturing: het proces richt zich op het geven van opdrachten aan de dienstverlener en het bewaken van de uitvoering van deze opdrachten. Bij de bewaking wordt aandacht besteed aan het bewaken van de beschikbare capaciteit en de beschikbaarheid. De resultaten van de bewaking wordt aan het proces beschikbaarheid beheer gemeld.
Functionaliteiten beheer Functionaliteiten beheer is gericht op het veranderen van zowel de geautomatiseerde – als de niet geautomatiseerde informatievoorziening. Van belang is dat de geautomatiseerde en de niet geautomatiseerde informatievoorziening is samenhang wordt aangepast. Functionaliteiten beheer is opgebouwd uit de onderstaande processen:
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 11 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
•
Specificeren: dit proces houdt zich bezig met het vormgeven van de gewenste functionaliteit.
Het
gaat
hierbij
om
de
eisen
en
wensen
ten
opzichte
van
de
geautomatiseerde informatievoorziening; •
Vormgeven niet geautomatiseerde informatievoorziening: dit proces is verantwoordelijke voor het aanpassen van de niet geautomatiseerde informatievoorziening, bijvoorbeeld het aanpassen van de handboeken en instructies;
•
Toetsen en testen: hierbij worden de voorgestelde wijzigingen in de geautomatiseerde en niet geautomatiseerde informatievoorziening getest;
•
Voorbereiden transitie: dit proces is bedoeld om een probleemloze ingebruikname van de aanpassingen mogelijk te maken.
Verbindende processen operationeel niveau Tussen gebruikersbeheer en functionaliteiten beheer bestaan twee verbindende processen: •
Wijzigingenbeheer: een administratief proces bedoeld om te komen tot de juiste besluiten over het aanbrengen van wijzigingen in de informatievoorziening;
•
Transitie: dit proces heeft als doel het op gecontroleerde wijze implementeren van nieuwe functionaliteit in de gebruikersorganisatie.
3.2
De ICT-serviceorganisatie en ITIL
Information Technology Infrastructure Library, meestal afgekort tot ITIL, is ontwikkeld als een referentiekader voor het inrichten van de beheerprocessen binnen een ICT-organisatie. ITIL is eigendom en een geregistreerd merk van het Britse OGC (Office of Government Commerce). ITIL V1 ging vooral uit van het bieden van best practices op het gebied van IT-operations. De meest bekende versie is ITIL versie 2. Op basis van deze versie is ISO 20000 ontwikkeld. In 2007 is ITIL V3 uitgekomen. In ITIL V3 wordt uitgegaan van de levenscyclus van de ICT-producten en ICTdiensten. Iedere fase is beschreven in een apart ITIL handboek. In deze nieuwe versie van ITIL wordt meer aandacht besteed aan de positie van de klant10.
ITIL pretendeert best practices te geven voor het gehele beheer van de ICT-infrastructuur in de breedste zin des woords (inclusief applicaties, documentatie etc.). Desondanks zijn in Nederland vooral de service support en delivery sets populair (Service design en Service operation in ITIL V3) en worden voor applicatie en functioneel beheer respectievelijk ASL en BiSL gebruikt.
Hieronder is ITIL V3 in schema weergegeven en wordt het model kort toegelicht:
10
Thiadens, , Sturing en organisatie van ICT –voorzieningen, 2008
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 12 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Figuur 3 ITIL ITIL V3 ITIL V3 bestaat uit vijf Handboeken:
Services strategie In het boek service strategie wordt de dienstverlening op de lange termijn bepaald. Binnen dit boek worden de onderstaande processen beschreven: •
Financial management: dit proces heeft als doel het in financiële termen bepalen van de waarde van een dienst en toewijzing van de kosten aan de diensten;
•
Service Portfolio Management: dit proces heeft als doel het bepalen van de optimale mix
•
Demand management: het proces demand management heeft als doel het aansluiten van
van diensten;
de ITIL processen op de vraag.
Continual Service Improvement Het boek Continual Service Improvement is onder andere opgebouwd uit de onderstaande hoofdstukken: •
Het 7 stappen model dat bedoeld is om gestructureerd de kwaliteit van de dienstverlening te verhogen, door doelen vast te stellen, deze te meten en zo nodig bij te sturen. Gewenste verbeteringen worden vastgelegd in een Service Improvement Plan.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 13 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
•
Service reporting: dit proces maakt onderdeel uit van het verbeterproces en is bedoeld om rapportages op te stellen, ten behoeve van de business in de taal van de business.
Service Design Het boek service design bevat de processen die van belang zijn bij het ontwerpen van een product of dienst. In het boek wordt onder andere aandacht besteed aan de onderstaande processen: •
Service Level Management: dit is het proces dat zorgt voor het overeenkomen en bewaken van een optimale dienstverlening tussen de ICT-serviceorganisatie en de business. In dit proces worden de SLA’s en DAP’s afgesloten;
•
Service Catalogue Management: dit proces heeft als doel het opstellen en het onderhouden van een service cataloque. In de service cataloque worden de gewenste eigenschappen van de services beschreven en de samenhang tussen de diensten aangegeven. Onderscheid wordt gemaakt tussen de business service cataloque en de technical service cataloque. De business service cataloque is opgesteld vanuit het klantperspectief. In het ITIL v2 Security management1 boek is aangegeven dat de service catalogue ook de maatregelen bevat die standaard zijn geïmplementeerd. Dit basis niveau van beveiliging wordt ook wel de Security baseline genoemd.;
•
Service Continuity en Availability Management: deze processen hebben als doel het zekerstellen van de beschikbaarheid en continuïteit van de dienstverlening. Hieronder valt het periodiek uitvoeren van risicoanalyses en het indien nodig treffen van risico verlagende maatregelen.
•
Information Security Management: dit proces heeft als primaire scope de bewaking van de beveiligingsaspecten van de dienstverlening. Dit gebeurt o.a. door het opstellen van een beveiligingsbeleid en het inrichten van een Informatie Security Management Systeem (ISMF). ITIL verwijst voor het ISMF naar ISO 27001. Bij het opstellen van het tactische beveiligingsbeleid van de ICT-dienstverlener wordt uitgegaan van de eisen van de business, zoals die zijn vastgelegd in de overeenkomsten tussen de partijen (o.a SLA’s) en, en service catalogue van de ICT-dienstverlener (inclusief de security baseline).
Service Transition: Binnen het boek service transition worden onder andere de onderstaande processen beschreven: •
Change management: dit proces heeft als doel het gecontroleerd doorvoeren van wijzigingen. Binnen change management wordt het besluitvormingsproces administratief begeleid. Voor spoedwijzigingen bestaat een noodprocedure;
•
Release en Deployment Management: dit proces heeft als doel geaccepteerde wijzigingen op gecontroleerde wijze naar de productie omgeving over te zetten;
•
Service validation & testing: het doel van het proces is om bij wijzigingen de juiste kwaliteit van de wijzigingen te borgen.
Service Operation Binnen het boek service operation worden onder andere de onderstaande processen beschreven: •
Incident en problem management: dit zijn de bekendste ITIL processen. Het proces incident management heeft als doel verstoringen in de verwerking van de dienstverlening
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 14 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
af te handelen. Het proces problem management probeert (pro) actief het ontstaan van fouten te voorkomen; •
Het proces Access Management is nieuw in ITIL V3. Access Management verleent geautoriseerde gebruikers het recht om een IT dienst te gebruiken. Access Management is een operationele invulling van een deel van het proces Information Security Management.
3.3
Aansluiting BiSL & ITIL
3.3.1 In BiSL
Service team en regieorganisatie 11
wordt gekozen voor een service team als eenduidig aanspreekpunt tussen enerzijds het
functioneel beheer en anderzijds het applicatiebeheer en het technisch beheer. Het service team is de integrator voor het geheel van applicatieve en technische diensten van de verschillende aanbieders. In veel gevallen zal het om een virtueel team gaan, waarbij één van de leveranciers de coördinatie op zicht neemt. Schematisch is deze situatie hieronder weergegeven.
Figuur 4: Service team als onderdeel drievoudig model beheer Thiadens12 onderschrijft de behoefte aan de coördinatie van de vraag naar ICT-diensten en de behoefte tot het aansluiten van vraag en aanbod. Dit leidt tot de inrichting van een vraag organisatie. De belangrijkste doelen van de vraagorganisatie zijn: •
Een helder communicatie kanaal te hebben met de aanbodorganisatie;
•
De afspraken over ICT-diensten met de aanbodorganisatie te coördineren;
•
Ondersteuning te geven bij het gebruik van ICT-diensten.
Bij het uitbesteden van de dienstverlening aan derden zal de uitbestedende organisatie minimaal een aantal functies moeten inrichten om de externe partijen aan te sturen. Thiadens duidt deze organisatie gericht op de aansturing van de externe partij aan met de term regieorganisatie. De kern van de regieorganisatie wordt gevormd door:
11
R. Pols, BiSL een framework voor functioneel beheer en Informatiemanagement, 2005
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 15 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
•
op strategisch niveau het management van de portfolio van producten en diensten;
•
op tactisch niveau de planning van en de controle over de processen aan vraag- en aanbodzijde;
•
op operationeel niveau het functionaliteitenbeheer en de transitie van producten of diensten naar exploitatie.
Dit vertaalt zich aan de vraagzijde naar de regie over de processen op productontwikkeling, het sturen van de eisen en het bieden van gebruikersondersteuning. Aan de aanbodzijde vindt de vertaling van de vraag naar de inkoop en de operationele aansturing van de levering plaatst. Spanjer13 ontwikkelde een model voor een regieorganisatie gebaseerd op o.a. BiSL, ISPL en CMMI. Information Services Procurement Library (ISPL) is een best practice voor het inkopen van diensten en het aansturen van leveranciers. ISPL wordt binnen het model van Spanjer op het gebied van aanbesteden als aanvulling op BiSL gebruikt. De niveaus van werken binnen een regieorganisatie worden door Spanjer met behulp van het Customer Maturity Model Integration (CMMI) getypeerd. Dit geeft het volgende model:
12 13
Thiadens, , Sturing en organisatie van ICT –voorzieningen, 2008 Spanjer, Niveaus in de vraag organisatie,2007
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 16 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Figuur 5 regieorganisatie
Overeenkomst tussen functioneel- en technisch beheer
3.3.2
Bij het opstellen van een overeenkomst met een serviceorganisatie zijn verschillende BiSL processen van belang. Primair is het proces contractmanagement van belang. In dit proces staan de overeenkomsten centraal die gerelateerd zijn aan de diensten die door de serviceorganisatie geleverd worden. In het proces worden de eisen vanuit de organisatie vertaald naar SLA’s (Service Level Agreements) en Dossiers afspraken en procedures (DAP). De SLA’s zijn een verdere uitwerking van de overeenkomst en bevat de afspraken over de kwaliteit en de kosten van de ICTvoorziening. De DAP’s bevatten een vastlegging van de overeenkomst op het operationele niveau. Ook het monitoren van de overeenkomsten en het evalueren van de dienstverlening valt binnen de scope
van
dit
proces.
Buiten
het
proces
contractmanagement
zijn
ook
het
proces
“wijzigingsbeheer” en de processen op het strategisch niveau van belang. Uit de processen op het strategische niveau volgt het beleid dat dient als kader voor de invulling van de overeenkomst met de serviceorganisatie.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 17 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Vanuit
het
wijzigingsbeheer
contractmanagement
worden
worden ingevuld
de
opdrachten
door
inhoudelijke
gegeven
die
afspraken
op
door te
het
nemen
proces in
de
overeenkomst met de serviceorganisatie. Ook vanuit het change management aan de technische beheer kant is contractmanagement het loket voor de serviceorganisatie. Overeenkomst
Wbp
Strategisch
Contract Management
Tactisch
SLA DAP
Service team
Operationeel
Business
Service organisatie
Figuur 6 Overeenkomst tussen functioneel- en technisch beheer Dit geeft de onderstaande situatie: Vanuit ITIL dient het proces Service Level Management er voor om te borgen dat de geleverde ICTdiensten aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen voldoen. Bij ITIL wordt uitgegaan van standaard diensten vanuit een service catalogue. Het koppelvlak tussen de business en de serviceorganisatie ligt tussen Contract Management (BiSL) en Service Level management (ITIL). Door middel van afspraken in de overeenkomst en SLA’s wordt invulling gegeven aan dit koppelvlak. De BiSL kant van het koppelvlak (Contract Management) en de gerelateerde processen is op het gebied van informatiebeveiliging nauwelijks ingevuld14,15. Tevens geeft ITIL v316 aan dat het moeilijk kan zijn voor de business om de juiste beveiligingseisen te stellen omdat ze vaak niet weten wat ze willen. Dit geldt naast beveiligingeisen ook voor capaciteit, beschikbaarheid en continuïteit. Hiermee lijkt een theoretische kloof te ontstaan op het koppelvlak tussen de vragende aan de aanbiedende partij. In het praktijk onderzoek zullen we hier nader onderzoek naar doen. In de voorafgaande paragraaf is ook gesteld dat zowel de vragende partij als de aanbiedende partij zal beschikken over een eigen beveiligingsbeleid en dat dit eigen beleid vertaald wordt naar de SLA’s en dat de aanbiedende partij beschikt over een service catalogue. Het basis niveau van beveiliging wordt ook wel de security baseline genoemd. De business kan aanpassingen van
14
Meijer / Hagen, De_mogelijke_rol _van _ITIL _v3 _voor _BiSL, Meijer / Hagen, 2008 Spanjer, Niveaus in de vraag organisatie,2007 16 ITIL Service design boek v3. pagina 70 15
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 18 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
maatregelen verlangen op de baseline indien nodig. Een dergelijke service catalog geeft de vragende partij de mogelijkheid om vast te stellen of de serviceorganisatie een passend beveiligingsniveau heeft en of er mogelijk extra maatregelen dienen te worden afgesproken. In onderstaand plaatje is de vraag schematisch weergegeven hoe BiSL en ITIL op elkaar aansluiten. AB Beleid (Wbp)
Strategisch Tactisch
FB Contract management
SLA
Service level management
Beleid TB
Operationeel
Service catalog ue
Business
Maatregel
Service organisatie
Figuur 7 Aansluiting business en serviceorganisatie
3.4
Bevindingen aansluiting BiSL en ITIL
Het toetsten van de theorie voor de beheersing van het technisch beheer op de aansluiting van BiSL op ITIL heeft geleid tot de onderstaande bevindingen: •
BiSL is vanuit het gezichtspunt van de business beschreven. Dit komt tot uiting door o.a. de gewenste geautomatiseerde ondersteuning uit te drukken in gewenste functionaliteit. ITIL is vanuit het gezichtspunt van een ICT-dienstverlener beschreven. Dit komt tot uiting in een technische benadering van de problematiek. ITIL 3 is ten opzicht van ITIL 2 naar de vraagkant geschoven door meer aandacht te besteden aan business eisen en wensen. Het verschil in focus bij de business ten op zicht van de focus bij de ICT-serviceorganisatie rechtvaardigt het gebruik van twee modellen;
•
BiSL is een volledig model en beschrijft processen op zowel het operationele, tactische als strategische niveau. BiSL besteedt zowel aandacht aan het specificeren van gewenste wijzigingen als aan het doorvoeren van deze wijzigingen. ITIL beschrijft met name de processen op het operationele en tactische niveau en legt de focus vooral op het beheer. De aansluiting tussen de twee modellen is hierdoor vooral mogelijk voor het beheer op het operationele en tactische niveau;
•
In BiSL wordt de aansluiting tussen BiSL en ITIL door middel van een serviceteam genoemd, maar niet uitgewerkt. In ITIL zijn geen aanknopingspunten te vinden voor de aansluiting van ITIL op BiSL. Een gedetailleerde beschrijving van de aansluiting van BiSL op ITIL is in de literatuur niet gevonden. Een centrale rol in het raakvlak tussen de twee modellen lijkt weggelegd voor contractmanagement (BiSL) en Service Level Management (ITIL). Deze centrale rol wordt aangevuld met diverse raakvlakken tussen andere, vooral operationele processen;
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 19 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
•
BiSL biedt een beschrijving van de processen op hoofdlijnen en biedt daarmee veel ruimte tot een eigen invulling. ITIL biedt een beschrijving van de processen op een redelijk detailniveau. ITIL biedt daarmee de mogelijkheid
om processen bij verschillende
organisaties te uniformeren of op elkaar te laten aansluiten; •
In BiSL wordt weinig aandacht besteed aan het onderwerp informatiebeveiliging. In ITIL wordt expliciet aandacht besteed aan informatiebeveiliging, dit komt onder andere tot uiting in het proces security management. In ITIL 3 wordt verwezen naar de ISO 27001 en ITIL 2 naar de ISO 27002 (toen nog BS7799 deel 1). De aandachtsverdeling voor informatiebeveiliging tussen BiSL en ITIL is hiermee onevenwichtig.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 20 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
4. Aanknopingpunten BiSL en ITIL voor invulling Wbp In dit hoofdstuk wordt getoetst of BiSL en ITIL voldoende houvast bieden om aan de Wbp invulling te kunnen geven. Voorafgaande aan de toetsing worden eerst de hoofdlijnen van de Wbp samengevat.
4.1
Wettelijke verplichtingen vanuit de Wbp
In september 2001 is de WPR vervangen door de Wbp De privacy wetgeving is in de Wbp op een aantal punten gewijzigd ten opzicht van de WPR. De wijzigingen, o.a. in de vorm van meer algemene bepalingen, weerspiegelen de sterk gegroeide mogelijkheden van de ICT. De Wbp is op hoofdlijnen gelijk aan de Europese richtlijn 95/46/EG, die op oktober 1995 werd aangenomen. Deze
richtlijn
beschrijft de
persoonsgegevens.
Tevens
wijze wordt
waarop in
deze
in
de
lidstaten
richtlijn
moet
bepaald
worden
onder
omgegaan
welke
met
voorwaarden
persoonsgegevens verstrekt mogen worden aan (organisaties in) landen buiten de Europese Unie. De invulling van de Europese richtlijn 95/46/EG kan tussen de lidstaten op onderdelen verschillen. Het College Bescherming Persoonsgegevens is belast met het toezicht op de Wbp. Het college vervangt hiermee de Registratie kamer die tijdens de WPR met het toezicht belast was. Begrippen In artikel 1 van de Wbp staat een opsomming van de belangrijkste begrippen: •
Persoonsgegeven:
elk
gegeven
betreffende
een
geïdentificeerde
of
identificeerbare
natuurlijke persoon; •
Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
•
Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
•
Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
•
Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt,
•
Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
zonder aan zijn rechtstreeks gezag te zijn onderworpen;
In de context van deze scriptie verwerkt de bewerker (serviceorganisatie), namens de verantwoordelijke (business), persoonsgegevens van betrokkene die zijn vastgelegd in een bestand. Onder het verwerken worden in dit verband alle beheeractiviteiten zoals o.a. bewaren en afschermen verstaan. Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 21 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Begrenzing De Wbp heeft een begrensd toepassingsgebied, te weten: Artikel 2 lid 1: Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. In artikel 2 lid 2 en 3 worden een aantal situaties gedefinieerd die niet onder de Wbp vallen. Bijv. het vastleggen van persoonsgegevens ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden. In artikel 4 van de Wbp wordt bepaald dat de wetgeving van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. Beveiliging De beveiliging van de persoonsgegevens wordt beschreven in artikel 12-14 van de Wbp. Artikel 13 bevat de kern van de wetgeving betreffende de eisen aan de beveiliging: Artikel 13: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. In artikel 13 wordt gebruik gemaakt van de zinsnede “passende technische en organisatorische beveiliging”. De zinsnede is gebruikt om de wet ook bij toekomstige ontwikkelingen in de ICT van toepassingen te laten zijn, maar is ook aanleiding tot de vraag “wat is een passende informatiebeveiliging?”. In de publicatie “Beveiliging van persoonsgegevens”17 van de Rekenkamer wordt ingegaan op het begrip “passende” maatregel. Dit document geeft de onderstaande toelichting: In artikel 13 worden voor het bepalen van passende maatregelen drie criteria gegeven 1. De stand van de techniek: De maatregelen zijn op basis van de stand van de techniek passend als de technische maatregelen aansluiten bij de technische middelen die gebruikt worden bij de verwerking van de persoonsgegevens. Het gebruik van achterhaalde technieken wordt niet als passend gezien. 2. De kosten van de tenuitvoerlegging: De kosten van de organisatorische maatregelen moeten worden afgewogen 3. De risico’s die de verwerking met zicht meebrengt. Hierbij wordt een afweging gemaakt van de gevolgen van verlies of onrechtmatige verwerking voor de verantwoordelijke, bewerker of de betrokkenen en de risico’s die de verwerking met zich meebrengen
17
Blarkom, G.W. van , Borking, drs. J.J., Beveiliging van persoonsgegevens, Registratiekamer, april 2001
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 22 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Bijzondere gegevens In de Wbp worden een aantal bijzondere gegevens genoemd waarvoor strengere eisen worden gesteld aan de beveiliging. In artikel 16 tot 23 van de Wbp worden de richtlijnen voor de omgang met deze bijzondere gegevens genoemd. Bijzondere gegevens zijn gegevens met betrekking tot de gezondheid, godsdienst, ras, seksueel leven en lidmaatschap van een vakbeweging. Voor het verwerken van deze gegevens geldt in principe een verbod, tenzij de gegevensverwerking noodzakelijk is met het oog op een bepaald belang. Bij dit laatste wordt bijvoorbeeld gedacht aan het verwerken van gezondheidsgegevens door werkgevers in verband met de naleving van de CAO. Outsourcing In het geval de verantwoordelijke niet zelf zorg draagt voor de verwerking van de gegevens maar de verwerking overdraagt aan een andere partij (de bewerker), dan zijn buiten artikel 13 ook artikel 12 en 14 van belang. In artikel 12 wordt bepaald dat de bewerker alleen in opdracht van de verantwoordelijke persoonsgegevens mag verwerken en dat voor de medewerkers van de bewerker een geheimhoudingsplicht geldt.
Artikel 12 1. Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen. 2. De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. Artikel 272, tweede lid, van het Wetboek van Strafrecht is niet van toepassing. Artikel 14 vereist van de verantwoordelijke dat deze zorgt dat de verwerker passende technische en organisatorische maatregelen neemt om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking en dat de verantwoordelijke toeziet op het handelen van de bewerker. In artikel 14 wordt ook bepaald dat tussen de verantwoordelijke en de bewerker een schriftelijke of in gelijkwaardige vorm vastgelegde overeenkomst moet bestaan.
Artikel 14 1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen. 2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke. 3. De verantwoordelijke draagt zorg dat de bewerker a. de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 23 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
b. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13. 4. Is de bewerker gevestigd in een ander land van de Europese Unie, dan draagt de verantwoordelijke zorg dat de bewerker het recht van dat andere land nakomt, in afwijking van het derde lid, onder b. 5. Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als bedoeld in artikel 13 schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.
Gedragscodes Een organisatie of een groep van organisaties kan een gedragcode opstellen. Dit is geregeld in artikel 25 van de Wbp. In de gedragscodes kunnen bepalingen uit de Wbp worden geconcretiseerd. Een gedragcode kan worden voorgelegd aan het College Bescherming Persoonsgegevens. Het college kan hierop een verklaring afgeven dat de gedragscode een juiste uitwerking vormt van de Wbp. Deze verklaring geldt voor een periode van 5 jaar. Toezicht en maatregelen Het college bescherming persoonsgegevens (CPB) is verantwoordelijke voor het toezicht op de uitvoering van de Wbp. Het CBP kan hiermee de verantwoordelijke en de bewerker aanspreken op het niveau van beveiliging en de wijze waarop het stelsel van maatregelen is geïmplementeerd (opzet,
bestaan,
werking).
Het
CPB
heeft
de
bevoegdheid
om
in
het
proces
van
gegevensverwerking in te grijpen. Dit kan door bestuursdwang of het opleggen van een boete. De boete is een bedrag van ten hoogste € 4500,- per overtreding18. Het opzettelijk niet melden van een verwerking of het opzettelijk zonder toestemming exporteren van gegevens kan worden bestraft met een gevangenisstraf van ten hoogste 6 maanden. Relatie met de code voor informatiebeveiliging In paragraaf 15.1.4 Bescherming van gegevens en geheimhouding van persoonsgegevens van NEN-ISO 27002 (de code voor informatiebeveiliging) wordt impliciet naar de Wbp verwezen. De code voor informatiebeveiliging kan worden gebruikt om invulling te geven aan het begrip passende maatregelen zoals genoemd in artikel 13 van het Wbp. De code sluit met die verwijzing goed aan op de Wbp, op onderdelen zijn er echter kleine afwijkingen ten opzichte van de Wbp19. Een voorbeeld van een verschil is dat in de code voor informatiebeveiliging wordt gesproken over de eigenaar van de gegevens en de Wbp het heeft over de verantwoordelijke. De Wbp is echter breder dan de code voor informatiebeveiliging. Voorbeelden hiervan zijn:
18 19
•
Het doelbindingsprincipe zoals geregeld in artikel 8;
•
De eisen aan de bewaartermijn van de persoonsgegevens in artikel 10.
Uitgangspunten en beleidsregels werkwijze CBP, College beschermingspersoonsgegevens, 2005 Bert-Jaap Koop, De Code voor Informatiebeveiliging naar Nederlands recht, 2003
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 24 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
4.2
Passende maatregelen
De Wbp schrijft niet in detail voor wat door de wetgever als passend wordt ervaren. De vooronderstelling van de wetgever is dat de verantwoordelijke zelf moet bepalen wat passende maatregelen zijn. De studie beveiliging van persoonsgegevens20 van de registratiekamer geeft hiervoor het volgende advies: Aan de bepaling van de risicoklasse van persoonsgegevens hoort een analyse vooraf te gaan waarin de verantwoordelijke bepaalt welk risico aan de verwerking van persoonsgegevens is verbonden. Een dergelijke analyse kent een aantal stappen: 1. Het inventariseren van de processen waarin persoonsgegevens worden verwerkt (artikel 1 onder b Wbp); 2. Het vaststellen van de aard van de persoonsgegevens in combinatie met de omvang en het gebruik. De evaluatie dient mede aan de hand van de Wbp plaats te vinden: gegevens die in de Wbp als bijzondere persoonsgegevens worden aangemerkt, leveren een hoger risico op (artikel 16 Wbp; zie paragraaf 3.4); 3. Het inventariseren van de mogelijke vormen van onbevoegde of onzorgvuldige verwerking van de gegevens, zoals: verlies, aantasting en onbevoegde kennisneming, wijziging of verstrekking; 4. Het bepalen van de risicoklasse. De verantwoordelijke dient op basis van de aard van de gegevens vaststellen wat de kans op (maatschappelijke) schade is bij onbevoegde of onzorgvuldige verwerking. Op basis daarvan kan de data in risicoklasse worden ingedeeld. Hierbij moet worden uitgegaan van situaties die redelijkerwijs te verwachten zijn.
In de studie van de registratie kamer wordt uitgegaan van vier risicoklassen:
Risicoklasse
Omschrijving
Voorbeeld
0
Publiek niveau
Openbare gegevens
1
Basis niveau
NAW gegevens
2
Verhoogd risico
Bijzondere gegevens art 16
3
Hoog risico
DNA database
Afhankelijk van de risicoklasse dienen maatregelen genomen te worden tegen de risico’s die voortvloeien uit het verwerken van de persoonsgegevens. In de Wbp worden verschillende inbreuken op de wetgeving onderscheiden: •
Het verzamelen van persoonsgegevens zonder rechtsgrond of toestemming van de persoon,
•
Het niet respecteren van de bewaartermijnen,
•
Het incorrect wijzigen van persoonsgegevens,
20
van Blarkom drs. J.J. Borking, Beveiliging persoonsgegevens: Achtergrondstudies en Verkenningen 23 G.W, 2001
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 25 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
•
Het ontbreken van de mogelijkheid voor inzage en correctie,
•
Het verlies van persoonsgegevens.
In het kader van deze scriptie, waarbij we inzoomen op vertrouwelijkheid van gegevens als kwaliteitsaspect, kan hier nog aan toe worden gevoegd: •
Het onbevoegd raadplegen van persoonsgegevens,
•
Het onbevoegd verspreiden van persoonsgegevens.
De Wbp heeft het over technische en organisatorische maatregelen. Hoewel de exacte invulling afhangt van de specifieke situatie kan bij de risico’s met betrekking tot de vertrouwelijkheid in eerste instantie worden aangesloten op een invulling van een deelverzameling van de normen en maatregelen die in de code voor informatiebeveiliging worden genoemd. Te denken valt aan de volgende maatregelen: •
Het opstellen van een beveiligingsbeleid;
•
De organisatie van informatiebeveiliging, waaronder de geheimhoudingsovereenkomst;
•
De beveiliging van personeel, waaronder het screenen van personeel en aandacht voor het bewustzijn, de opleiding en training ten aanzien van informatiebeveiliging;
•
De toegangsbeveiliging, waaronder het beheer van de toegangsrechten van de gebruikers en het beheer van de speciale bevoegdheden;
•
Het beheer van beveiligingsincidenten.
4.2.1 In
BiSL
Aanknopingspunten in BiSL wordt
weinig
aandacht
besteed
aan
informatiebeveiliging
in
het
algemeen
en
privacybescherming in het bijzonder. De verwachte risicoanalyse als grondslag voor het privacy beleid van de onderneming wordt bij de sturende processen niet genoemd. Bij het proces ketenontwikkeling wordt als randvoorwaarde voor de ketenontwikkeling de autorisatie, beveiliging en privacy wel expliciet genoemd. Hoe deze randvoorwaarden uit de omgeving vertaald moeten worden naar maatregelen, daar wordt in BiSL geen aandacht aan besteed. In het sturende proces behoeftemanagement wordt onder andere de kwaliteit van de informatievoorziening bepaald. Het ligt voor de hand dat hier de kaders voor de gewenste informatiebeveiliging worden gelegd, maar in BiSL wordt dit niet expliciet genoemd.
Ook op operationeel niveau worden weinig aanknopingspunten gevonden voor het bepalen van passende maatregelen. Eén van de belangrijkste maatregelen vanuit het oogpunt van de Wbp, het inrichten van de logische toegangscontrole, wordt slechts in enkele woorden bij operationele aansturing genoemd. Over de wijze waarop de logische toegangscontrole moet worden ingericht biedt BiSL geen aanknopingspunten.
Positief in BiSL is de aandacht voor het vaststellen van de functionele eisen. In het BiSL proces Specificeren dient onder andere de ICT-oplossing te worden gedefinieerd. Onderdeel hiervan is om samen met de ICT-leverancier op basis van de eisen (business) en de consequenties (leverancier) gezamenlijk tot de gewenste ICT-oplossing te komen. Het ligt voor de hand dat met dit proces op basis van eisen in Wbp en de data classificatie passende maatregelen worden vastgesteld. Hierbij
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 26 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
zal veelal de security baseline van de service catalogue van de ICT-leverancier als uitgangspunt dienen. Additionele maatregelen in de niet geautomatiseerde informatievoorziening dienen hier te worden vastgesteld. Dit om binnen het aanbod van de ICT-leverancier de beveiliging op een passend niveau voor de business te krijgen. In BiSL wordt deze werkwijze niet expliciet genoemd. 4.2.2
Aanknopingspunten in ITIL
Het bepalen van de passende maatregelen zoals vereist vanuit de Wbp
en het implementeren
daarvan is terug te vinden in ITIL onder: •
Information Security Management;
•
Access Management;
Hierin zijn de volgende aanknopingspunten terug te vinden: •
De beveiligingsactiviteiten vinden plaats volgens het beveiligingsbeleid;
•
De beveiligingseisen moeten voortkomen uit organisatie eisen;
•
De beveiligingseisen moeten passen in de organisatieprocessen;
•
Bij het opstellen van het beveiligingsbeleid wordt gebruik gemaakt van een risicoanalyse;
•
De eisen worden vastgelegd en onderhouden in Informatie Security Management Systeem. Dit systeem wordt gebaseerd op ISO27001;
•
De overeenkomsten (SLA’s) refereren aan het beveiligingsbeleid;
•
Accesmanagement geeft invulling aan de autorisatie aspecten uit security management;
•
Goed toegangsbeheer is van belang voor het naleven van regelgeving;
•
Verzoeken tot toegang worden ontvangen in de vorm van een RFC of een standaard request;
•
Bij het opstellen van toegangsverzoeken wordt rekening gehouden met de HR processen;
•
Access management autoriseert in opdracht binnen door servicedesign de gestelde kaders;
•
Rol conflicten krijgen speciale aandacht;
•
Het toekennen en wijzigen van de autorisatie wordt ondersteund door een tool die
•
Incidenten worden vastgelegd.
levensloop van de gebruiker ondersteund en een audit trail vastlegt;
4.2.3
Bevindingen passende maatregelen
Het toetsen van BiSL en ITIL op aanknopingspunten voor het bepalen van passende maatregelen voor de Wbp heeft geleid tot de onderstaande bevindingen: •
In BiSL wordt geen specifieke aandacht gegeven aan het opstellen van beveiligingseisen door de business, hierdoor wordt meer specifiek ook geen aandacht gegeven aan eisen uit de Wbp. Wel zijn de processen specificeren en behoeftemanagement de aangewezen plaats om hier invulling aan te geven;
•
ITIL biedt in de service design fase goede aanknopingspunten om passende maatregelen voortvloeiend uit de Wbp vast te stellen. Dit in de vorm van een risicoanalyse als onderdeel van het ISO27001 Information Security Management Systeem (ISMS) waarnaar wordt verwezen
in
ITIL
aanknopingspunten
Information voor het
Security.
toekennen
Tevens van
de
biedt
ITIL
autorisaties
Service in
Operations
opdracht
van
de
verantwoordelijke zoals beschreven;
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 27 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
•
De nadruk op het bepalen van passende maatregelen vanuit het oogpunt van de Wbp ligt bij de ITIL processen. De BiSL processen geven niet expliciet een aanknopingspunt om een passend totaal van maatregelen voor de geautomatiseerde (bij de leverancier) en de niet geautomatiseerde informatievoorziening vast te stellen.
Overeenkomst
4.3
De Wbp vereist dat de verantwoordelijke maatregelen neemt om de persoonsgegevens tegen verlies of onrechtmatige gebruik te beschermen. De verantwoordelijke zal een risicoanalyse uitvoeren om de risico’s en de bijbehorende beveiligingseisen voor de specifieke situatie vast te stellen. In het geval dat de verwerking van de persoonsgegevens door de verantwoordelijke aan een derde is uitbesteed, stelt de Wbp dezelfde eisen aan de bewerker aangevuld met de eis dat tussen de verantwoordelijke en de bewerker voldoende waarborgen in een overeenkomst worden vastgelegd. De verantwoordelijke mag in zijn eigen organisatie zelf bepalen welke combinatie van organisatorische en technische maatregelen worden gebruikt. Voor de maatregelen genomen door de verwerker dient de verantwoordelijke zorg te dragen voor voldoende waarborgen en dient hij op de naleving van de maatregelen toe te zien. Daarbij dient de verantwoordelijke de regie over het ´koppelvlak´
tussen
beide
organisaties
te
nemen,
want
technische-
en
organisatorische
maatregelen hoeven niet aan te sluiten!
Het opstellen van de overeenkomst met BiSL en ITIL Het proces van het afsluiten van een overeenkomst om tot service verlening en afname te komen is een onderwerp dat zowel in BiSL als in ITIL wordt behandeld. Zoals eerder in hoofdstuk 3 weergegeven is dit in BiSL onder de naam contractmanagement en in ITIL onder service level management. In deze paragraaf zullen we beide processen volgen en kijken welke elementen van toepassing zijn vanuit het oogpunt van de Wbp. Hieronder is de situatie schematisch weergegeven:
4.3.1 •
Aanknopingspunten in BiSL Het proces contractmanagement in BiSL is verantwoordelijk voor het opstellen van een overeenkomst
met
goede
en
adequate
afspraken
over
de
geautomatiseerde
informatievoorziening. De producten van dit proces zijn het ICT-service overeenkomst, de SLA (Service Level Agreement) en de OLA (Operational Level Agreement); •
Het functioneel beheer is verantwoordelijk voor het vertalen van de eisen vanuit het bedrijfsproces naar de gewenste diensten met de vereiste kwaliteitsniveaus. Het wordt in BiSL onderstreept dat vereiste kwaliteitsniveaus hun herkomst in de business moeten hebben;
•
In de SLA worden afspraken opgenomen over de wijze waarop de overeenkomst wordt bewaakt;
•
In het Dossier Afspraken en Procedures DAP wordt een beschrijving gegeven van wijze van communicatie en te volgen procedures voor de samenwerking tussen opdrachtgever en opdrachtnemer;
•
Het proces contractmanagement heeft een relatie met de uitvoerende processen en de strategische processen. Bij het uitvoerend proces specificeren worden bijvoorbeeld eisen opgesteld ten aanzien van het gebruik van de informatievoorziening, waaronder de
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 28 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
betrouwbaarheid en de beschikbaarheid. Vanuit de strategische processen volgt het beleid. Dit beleid is o.a. gericht op de technologische ontwikkelingen.
4.3.2
Aanknopingspunten in ITIL
ITIL besteed in verschillende processen aandacht aan het tot stand komen van overeenkomsten. Eerder zijn in hoofdstuk 2 de volgende processen genoemd: •
Service Level Management;
•
Service Catalogue Management;
•
Supplier Management.
De processen bieden vanuit het oogpunt van de Wbp en het opstellen van een overeenkomst de onderstaande aanknopingspunten •
De dienstverlening wordt door de serviceorganisatie vastgelegd in een overeenkomst. In de overeenkomst
(SLA)
worden
de
haalbare
en
service
meetbare
levels
over
de
dienstverlening door de serviceorganisatie vastgelegd. (ITIL 143) •
Bij het opstellen van de SLA wordt gebruik gemaakt van input van zowel de klantorganisatie als de eigen IT beheerorganisatie (bijvoorbeeld de beheerders). De SLA geeft invulling aan de wens van de business (ITIL 143)
•
De ICT-serviceorganisatie heeft een
service catalogue met daarin
beschreven de
beveiligingsbaseline die de Serviceorganisatie hanteert om te voldoen aan haar eigen beveiligingsbeleid
en
bedrijfsdoelstelling.
Dit
is
een
opsomming
van
beveiligingsmaatregelen die als een minimaal niveau altijd voor alle klanten wordt geïmplementeerd. Uitgangspunt voor een dergelijke lijst kan bijvoorbeeld zijn de ISO 2700221 of de NIST 800-5322. •
In de service catalogue moet onderscheid worden gemaakt naar: 1. De business service catalogue, de diensten vanuit het klantperspectief. 2. De technical service catalogue, de diensten en hun opbouw in IT componenten.
•
Per klant wordt de algemene service catalogue op maat gemaakt voor de specifieke situatie.
Bijvoorbeeld
door
additionele
maatregelen
toe
te
voegen
voor
extra
beveiligingseisen voor data die extra geschemerd dient te worden. •
Aan het aansluiten van de algemene services catalogue op de specifieke beveiligingseisen ligt een business risico analyse (en data classificatie) ten grondslag
4.3.3
Bevindingen overeenkomst
Het toetsen van BiSL en ITIL op aanknopingspunten voor het opstellen en het invullen van het contact met eisen vanuit de Wbp heeft geleid tot de onderstaande bevindingen: •
Positief is dat BiSL aandacht besteed aan het opstellen van overeenkomsten en veronderstelt dat zowel van af het operationele niveau als van het strategisch niveau input wordt verwacht. Negatief is dat in BiSL weinig tot geen aandacht wordt besteed aan het
21 ISO, Informatie beveiligingsstandaard gepubliceerd door de Internationale Organisatie voor standaardisatie 2005 22 Nist, recommended Security Controls for Federal Information Systems,2007
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 29 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
begrip vertrouwelijkheid, terwijl de continuïteit en de beschikbaarheid wel worden genoemd. •
ITIL bevat elementen die kunnen helpen bij het opstellen van schriftelijke overeenkomsten om invulling te geven aan de eisen die vanuit de Wbp worden gesteld. ITIL benadrukt dat de eisen vanuit de business moeten worden vastgelegd en tevens dat voor de geleverde diensten het beveiligingsniveau dient te worden beschreven. ITIL geeft ook aan dat deze beveiligingsniveaus van diensten voor de specifieke klant op maat kan worden gemaakt. De wijze waarop de eisen bij de business moeten worden opgesteld, wordt in ITIL niet verder uitgewerkt.
•
BiSL en ITIL gegeven beide aandacht aan het opstellen van schriftelijke overeenkomsten. In beide modellen wordt benadrukt dat de eisen voor het opstellen hiervan vanuit de business moet komen. Met het opstellen van een overeenkomst en het beleggen van de verantwoordelijkheid voor het stellen van eisen bij de business, wordt invulling gegeven aan de Wbp.
Toezicht
4.4
De Wbp zegt dat de verantwoordelijke toezicht moet houden op de naleving van de maatregelen door de bewerker. De classificatie van de gegevens en de uitkomsten van de risicoanalyse bepalen het niveau van de maatregelen. In het geval van bijzondere gegevens, zoals medische gegevens, worden hogere eisen gesteld aan de maatregelen dan bij gegevens met een min of meer openbaar karakter. In de overeenkomst tussen de verwerker en de bewerker zullen bepalingen moeten worden vastgelegd die voor de verantwoordelijke het toezicht op de bewerker mogelijk maken. In de Wbp wordt niet beschreven op welke wijze het toezicht moet plaatsvinden. De registratiekamer noemt de onderstaande maatregelen van toezicht: •
Het overleggen van een Third Party Mededeling,
•
Het bijhouden van log bestanden voor controle doeleinden,
•
Rapportage door de bewerker,
•
Het controleren of laten controleren van het beleid van de bewerker,
•
Het uitvoeren van een steekproefsgewijze controle bij de bewerker.
Het uitoefenen van controle of het verantwoorden over de uitgevoerde handelingen zijn onderwerpen die zowel in BiSL als in ITIL worden behandeld. Hieronder zullen we de processen volgen en kijken welke elementen van toepassing zijn vanuit het oogpunt van de Wbp
4.4.1
Aanknopingpunten in BiSL
In BiSL is het uitvoeren van controle handelingen in een aantal processen terug te vinden: •
Bij contractmanagement,
•
Bij behoeftemanagement,
•
Bij operationele ICT-aansturing.
Deze processen bieden vanuit het oogpunt van de Wbp en het uitoefen van toezicht de onderstaande aanknopingspunten: Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 30 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
•
Een met de ICT-leverancier afgestemde service level rapportage in contractmanagement geeft een overzicht van de daadwerkelijk geleverde ICT-diensten en de geleverde kwaliteitsniveaus. Dit overzicht dient ter controle te worden vergeleken met de gewenste kwaliteitsniveaus en de verstrekte opdrachten
•
De geleverde ICT-diensten worden in contractmanagement vergeleken met de afgestemde diensten en afhankelijk van het resultaat wordt bijgestuurd. Indien nodig gebeurt dit via de strategische processen (o.a. leveranciers management).
•
De kwaliteitsniveaus worden bewaakt. In een kwaliteitsplan worden verbeterpunten opgenomen en worden in een verbeterplan aangegeven.
•
In de operationele aansturing worden opdrachten gegeven aan de leverancier. In dit proces wordt ook bewaakt of deze opdrachten volgens de overeenkomst worden uitgevoerd. Het gaat hierbij om de operationele controle, al dan niet in relatie tot de SLA.
•
In het proces operationele aansturing wordt o.a. gestuurd op capaciteit, beschikbaarheid en continuïteit. Onder de beschikbaarheid valt ook het geven van opdracht tot het autoriseren van een medewerker en de bewaking van de uitvoering van de opdracht tot autoriseren.
4.4.2
Aanknopingspunten in ITIL
De volgende ITIL processen zijn vanuit het oogpunt van de uit de Wbp vereiste toezicht van belang •
Continual service improvement,
•
Security management,
Deze processen bieden voor het uitoefen van controle de onderstaande aanknopingspunten: •
In continual service improvement is het opstellen van rapportages ten behoeve van de klant een belangrijk element. De service rapportages bevatten geen ruwe gegevens, maar zijn het resultaat van geanalyseerde meetwaarden. Bij het presenteren wordt de inhoud van de rapportage vertaald naar een rapportage opgemaakt vanuit het klantperspectief en toespitst op de specifieke business en de specifieke gebruikersgroep. In deze rapportage wordt met kruisverwijzingen de relatie met SLA gelegd. Afwijkingen en incidenten worden niet alleen als % in de rapportage opgenomen, maar worden toegelicht en voorzien van de genomen maatregelen.
•
Security management beschrijft dat de beveiligingseisen zoals overeengekomen in de SLA’s opgenomen worden in een information security management systeem. Op deze eisen wordt gecontroleerd en over de behaalde resultaten wordt gerapporteerd. Op basis van de behaalde resultaten kunnen de SLA’s en de eisen worden bijgesteld. Bij de controle hierop wordt o.a. gebruik gemaakt van Interne en Externe audits. Voor de rapportage specifiek op vertrouwelijkheid is er een directe link met access management. Vanuit dit operationele proces zijn er diverse gegevens te rapporteren om toezicht te kunnen houden op de vertrouwelijkheid van de gegevens. Te denken valt hierbij aan overzichten van wie er toegang hebben (gehad) tot bepaalde data, beveiligingsincidenten en niet succesvolle inlogpogingen.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 31 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
4.4.3
Bevindingen toezicht
Het toetsen van BiSL en ITIL op aanknopingspunten voor het toezicht op de handelingen van de bewerker heeft geleid tot de onderstaande bevindingen: •
In BiSL wordt aandacht besteed aan de het bewaken van de werkzaamheden van de ICTdienstverlener. Dit gebeurt zowel op het niveau van contractmanagement als op het operationele niveau. In het proces operationele ICT-aansturing ontbreekt een sturing specifiek op informatiebeveiliging of vertrouwelijkheid. In ITIL wordt aandacht besteed aan het opstellen van rapportages ten behoeve van de klant, het onderdeel beveiliging maakt hier expliciet onderdeel van uit. ITIL meldt ook dat de rapportage moet worden opgesteld in de bewoording van de klant en moet aansluiten op de eisen van de klant. Aan het onderdeel vertrouwelijkheid wordt geen aandacht besteed.
•
ITIL en BiSL lijken op hoofdlijnen goed op elkaar aan te sluiten. In BiSL wordt uitgegaan van controle op basis van rapportages en ITIL voorziet in het opstellen van rapportages in de taal van de klant. Het onderdeel vertrouwelijkheid krijgt in beide best practices minder aandacht dan bijvoorbeeld de beschikbaarheid.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 32 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
5. Praktijk onderzoek In de voorgaande hoofdstukken is op basis van de theorie de aansluiting tussen BiSL en ITIL onderzocht. Daarbij is aandacht besteed aan de aanknopingspunten in deze best practices voor de invulling van de Wbp-verplichtingen. In dit hoofdstuk wordt in de praktijk gekeken naar de praktische toepassing van de twee best practices, de handvatten die de best practices in de praktijk bij de invulling van de Wbp bieden en de wijze waarop in de praktijk aan de Wbp invulling wordt gegeven.
5.1
Beschrijving case
Bij het uitvoeren van het onderzoek is uitgegaan van onderstaande situatie: •
Inrichting functioneel en technisch beheer: Bij het uitbesteden van het technisch beheer wordt door de vragende partij gebruik gemaakt van BiSL en maakt de dienstverlenende partij gebruik van ITIL;
•
Het service team: Een service team zorgt voor de afstemming tussen verschillende groepen binnen de vragende partij en de verschillende dienstverleners;
•
Passende maatregelen: De vragende partij en de dienstverlenende partij voeren beide een risicoanalyse uit met als doel passende maatregelen te selecteren om te voldoen aan de Wbp. Bij het opstellen van specificaties wordt rekening gehouden met de Wbp en de code voor informatiebeveiliging;
•
De overeenkomst: De gewenste maatregelen met betrekking tot de Wbp van de vragende partij worden in de overeenkomst met de dienstverlener vastgelegd. Bij het opstellen van de overeenkomst spelen de processen contactmanagement en service level management een rol. In de overeenkomst wordt aandacht besteed aan het borgen van de gestelde eisen met betrekking tot de Wbp;
•
Toezicht: De vragende partij controleert het naleven van de overeenkomst door de dienstverlenende partij.
Het praktijkonderzoek is uitgevoerd bij twee bedrijven: •
Een Nederlands zelfstandig bestuursorgaan (ZBO). Deze organisatie heeft als voornaamste doel het uitvoeren van onderdelen van de Nederlandse wet en regelgeving. Het zelfstandig bestuursorgaan is ontstaan uit een fusie tussen verschillende organisaties. Het technisch beheer en het applicatie beheer is uitbesteed. Deze uitbesteding heeft enkele jaren geleden plaatsgevonden. Daarvoor was het technische beheer in handen van verzelfstandigde bedrijfsonderdelen. Het zelfstandig bestuursorgaan heeft een organisatie ingericht (service team) met als doel het aansturen van de externe dienstverlener en het beheersen van de interne vraag. De interne vraag vindt zijn oorsprong in verschillende afdelingen en divisies;
•
Een grote internationale ICT-dienstverlener. De dienstverlener is werkzaam op diverse gebieden binnen de ICT. Eén van die gebieden is het verzorgen van het technisch beheer voor diverse partijen. Voor het uitvoeren van het technisch beheer beschikt de dienstverlener over diverse rekencentra in verschillende landen en een internationaal opererende organisatie.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 33 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
5.2
Opzet onderzoek
Het onderzoek is uitgevoerd in de vorm van een casestudy. Bij het uitvoeren van de casestudy zijn interviews
afgenomen
bij
verschillende
functionarissen
van
de
twee
organisaties.
De
functionarissen zijn geselecteerd omdat zij een rol hebben op het raakvlak tussen het zelfstandig bestuursorgaan en de ICT-dienstverlener. Bij het zelfstandig bestuursorgaan is gesproken met een security manager, een privacy coördinator, een release manager, een functionaris betrokken bij het toekennen van de autorisaties en de coördinator van het beheer. Bij de ICT-dienstverlener is gesproken met een delivery manager, een security manager en een architect.
Bij het afnemen van interviews is de onderstaande structuur gevolgd: •
Introductie;
•
Toelichting op het onderwerp en achtergrond aan de hand van de probleemstelling in hoofdstuk 1;
•
Het eigenlijke interview waarbij open vragen zijn gesteld rond de volgende thema’s: de bekendheid van ITIL en BiSL, het gebruik van ITIL en BiSL, de wijze waarop met informatiebeveiliging in het algemeen en de wet bescherming persoonsgegevens in het bijzonder wordt omgegaan, de raakvlakken met de andere partij en verschillen in de cultuur. Voorafgaande aan de reeks van interviews is een standaard vragenlijst opgesteld. Afhankelijk van het verloop van het interview is van deze lijst afgeweken.
•
Het verslag van het gesprek is aan de geïnterviewde functionarissen ter goedkeuring voorgelegd. De verslagen zijn verwerkt tot het resultaat in het vervolg van dit hoofdstuk.
5.3
Service team en regieorganisatie
Bij de twee organisaties is gevraagd naar het gebruik van BiSL en ITIL en de bekendheid met BiSL en ITIL. Bij beide organisaties is ITIL min of meer bekend. BiSL is een onbekend model bij de ICTdienstverlener.
Bij het ZBO was er sprake van een interne ICT-afdeling en afdelingen voor het (functioneel) beheer. De interne ICT-afdeling kan worden gezien als service team. Deze laatste decentrale afdelingen zijn o.a. verantwoordelijk voor de dienstverlening naar de klant en voor het specificeren van de gewenste functionaliteit. De processen op operationeel niveau bij het functioneel beheer bij het ZBO vertoonde grote overeenkomst met de BiSL processen. Alle operationele processen waren in zekere zin herkenbaar. Op tactische en strategisch niveau zijn er minder raakvlakken met de BiSL processen.
De centrale interne ICT-organisatie bij het ZBO gericht op het aansturen van de dienstverleners maakt gebruik van de ITIL terminologie en ITIL processen. Bij het service team zijn o.a. het opstellen van de overeenkomst en de beveiligingsaspecten belegd. Bij de afdeling ligt de aandacht meer op de technische aspecten, dan op functionaliteit.
Bij ICT-dienstverlener zijn de processen van ITIL afgeleid. Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 34 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
5.4
Overeenkomst tussen functioneel en technisch beheer
De processen tussen het ZBO en de ICT-dienstverlener worden aangesloten door aan de kant van het ZBO een ICT-afdeling voor de coördinatie van de vraag en aan de kant van ICT-dienstverlener een delivery team. De ICT-afdeling aan de kant van het ZBO is o.a. gericht op het aansturen van de externe dienstverleners. Deze afdeling van het ZBO functioneert als een service team. Het delivery team van de ICT-dienstverlener heeft een bemensing die specifiek op het ZBO is gericht. Passende maatregelen Bij het bepalen van passende maatregelen wordt door het ZBO geen gebruik gemaakt van BiSL processen. Wel is gebruik gemaakt van de code voor informatiebeveiliging voor het opstellen van het tactische beveiligingbeleid. Ten behoeven van de uitvoering van het proces “specificeren”, zijn afhankelijk van de afdeling/divisie, de eisen vanuit de Wbp meegenomen in het impact analyse sjabloon meegenomen.
Bij de ICT-dienstverlener worden de passende maatregelen wereldwijd bepaald. Hierdoor ontstaat een beveiligingsbaseline die passend is voor alle klanten wereldwijd waarbij de strengste eisen leidend zijn. Hierbij wordt geen gebruik gemaakt van ITIL processen. De overeenkomst Het ZBO en de ICT-dienstverlener hebben beide processen ingericht met als doel het opstellen en onderhouden van de overeenkomsten. Bij beide partijen wordt gebruik gemaakt van de ITIL terminologie. In de overeenkomst, en de bijbehorende documenten, zijn bepalingen vastgelegd die invulling geven aan de Wbp. Toezicht Het ZBO heeft in de overeenkomst met de ICT-dienstverlener diverse bepalingen opgenomen met als doel het houden van toezicht op de handelingen van de ICT-dienstverlener. De rapportages over de uitgevoerde dienstverlening worden ontvangen door het ZBO Service team. Deze afdeling heeft de processen op basis van ITIL ingericht.
De ICT-dienstverlener levert vanuit
de ITIL
processen service
management
en
security
management diverse rapportages.
5.5 5.5.1
Passende maatregelen Gebruikersorganisatie
Binnen het ZBO is centraal een tactisch privacy en beveiligingbeleid opgesteld. De diverse divisies van het ZBO zijn verantwoordelijke voor de implementatie daarvan. Dit beleid is richtinggevend voor alle uitvoerende BiSL processen binnen het functioneel beheer van de divisies. Binnen het ZBO service team bestaat een bureau beveiliging. Dit bureau is voor het ZBO belast met de beveiligingsaspecten. Iedere divisie heeft een coördinator beveiliging en privacy. Deze medewerker Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 35 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
is aanspreekpunt voor beveiliging- en privacyvraagstukken en zorgt ervoor dat voor nieuwe vraagstukken passend beleid wordt opgezet. De coördinator zorgt er ook voor dat het vastgestelde beleid bij de divisies wordt uitgedragen en geborgd. De coördinator is hierbij een soort van ambassadeur.
De
coördinator privacy
is
niet
verantwoordelijk
voor
de
uitvoering.
Deze
verantwoordelijkheid is belegd in de lijn. Bij het opstellen van het beleid of het vaststellen van de gewenste maatregelen is geen direct contact tussen de coördinator en de ICT-dienstverlener. Dit contact loopt via het ZBO service team. Het tactische beveiligingsbeleid van het ZBO en de bijbehorende classificatie is niet bij alle medewerkers goed bekend.
Alle systemen en gegevens van het ZBO zijn door de divisies geclassificeerd. Bij het classificeren worden de beschikbaarheid, vertrouwelijkheid en integriteit meegewogen. Dit leidt tot een classificatie indeling hoog, midden en laag. Medische gegevens dienen bijvoorbeeld uitsluitend op een als hoog geclassificeerd systeem te worden opgeslagen en verwerkt. Bij het ZBO wordt ook onderscheid
gemaakt
tussen
de ontwikkel-,
test-, acceptatie- en productieomgeving. De
verschillende classificatieniveaus van het ZBO zijn niet afgestemd met de ICT-dienstverlener.
Bij het specificeren van functionele eisen wordt getoetst wat de impact is op de classificatie. De ICT-dienstverlener is niet actief betrokken bij het opstellen van de specificaties.
Voor de autorisatie van de medewerkers van het ZBO zijn verschillende processen ingericht. Bij het toekennen van de autorisaties zijn meerdere interne processen van het ZBO betrokken. Bij het toekennen van autorisaties wordt rekening gehouden met functiescheiding. De autorisatie van de standaard medewerker verloop niet via de ICT-dienstverlener. In bepaalde gevallen zijn beheersrechten noodzakelijk om op de productie te kunnen ingrijpen. De noodzaak hiervoor vanuit business perspectief wordt hierbij zwaarder gewogen, dan de bijbehorende risico’s. Deze autorisaties met beheersrechten worden via de ICT-dienstverlener toegekend.
5.5.2 De
ICT-Serviceorganisatie
ICT-dienstverlener
voert
wereldwijd
een
dienstencatalogus
voor
uitbestedingsdiensten.
Gekoppeld hieraan is een beveiligingsbaseline van beveiligingsmaatregelen die zijn gekoppeld aan de diverse diensten. Deze baseline is gebaseerd op een interne best practice. Met deze baseline kan invulling worden gegeven aan de vele verschillende, door de klanten gehanteerde, best practices voor informatiebeveiliging. Periodiek wordt deze baseline bijgewerkt op basis van de nieuwste inzichten. De ICT-dienstverlener kent een goud, zilver en brons classificering van de systemen. Deze classificering is voornamelijk gebaseerd op de beschikbaarheid van de systemen.
De ICT-dienstverlener hanteert een informatie security management systeem (zoals in ITIL en ISO27001: ISMS). Met dit proces wordt invulling gegeven aan de Wbp vereiste dat er passende maatregelen dienen te worden genomen. Daarnaast kunnen op verzoek van het ZBO daar waar nodig boven op de beveiligingsbaseline extra maatregelen worden genomen. In de met de ZBO afgesproken beveiligingsbaseline komen bovenop de beveiligingsbaseline geen aanvullende maatregelen voor.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 36 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
De beveiligingsbaseline wordt eens in de anderhalf jaar opnieuw vastgesteld in overleg met het ZBO. Daar waar nodig wordt hij aangepast op basis van veranderende (wettelijke) eisen, nieuwe bedreigingen en de stand van de techniek. De beveiligingsbaseline wordt door de ICTdienstverlener geïmplementeerd in de processen en de systemen.
5.5.3 •
Bevindingen passende maatregelen Onafhankelijk van BiSL heeft het ZBO op tactisch niveau een structuur ingericht om gewenste passende maatregelen te bepalen;
•
Bij het opstellen van het beleid en bij het specificeren van de functionaliteit worden de passende maatregelen niet aangesloten op de generieke maatregelen van de ICTdienstverlener;
•
De uiteindelijke vertaling van de passende maatregelen van het ZBO naar het aanbod bij de ICT-dienstverlener vindt plaats bij het ZBO Service team. Deze vertaling is technisch georiënteerd. Hierbij wordt niet aangesloten bij het advies van ITIL (en BiSL) om de maatregelen in de termen van de business vast te leggen en blijven de procedurele en organisatorische maatregelen onderbelicht.
5.6
Overeenkomst
5.6.1
Gebruikersorganisatie
Algemene maatregelen in de overeenkomst Het ZBO heeft de uitbesteding van het technisch beheer aan de ICT-dienstverlener in een overeenkomst vastgelegd. In de overeenkomst, en de bijhorende documenten, is expliciet aandacht besteed aan beveiligingsaspecten en eisen die voortvloeien uit de Wbp. Deze beveiligingsaspecten aangevuld
met
zijn een
gebaseerd aantal
op
vanuit
de de
beveiligingsbaseline Wbp
gewenste
van
de
ICT-dienstverlener
maatregelen
zoals:
de
geheimhoudingsovereenkomst, een (op maat gemaakte) TPM, het recht op bezoek van de locatie, de rapportage over beveiligingsincidenten, de rapportage over de uitgevoerde acties en een expliciet verbod op het uitvoeren van acties zonder voorafgaande opdracht van het ZBO. Ook de minimale vereisten voor de authenticiteit, zoals de wachtwoord lengte, maken onderdeel uit van het contact.
Het tot stand komen en bijstellen van het contact Het vertalen van het beleid van het ZBO en de eisen van uit de business naar afspraken in een overeenkomst met de ICT-dienstverlener gebeurt door het ZBO service team. De bijbehorende processen worden aangeduid als service level management en tactisch leveranciersmanagement. Deze vertaling resulteert in een set technisch geformuleerde eisen. Deze eisen zijn sterk rule based georiënteerd en gedetailleerd vastgelegd. De overeengekomen eisen zijn niet in alle gevallen herleidbaar naar concreet beleid van de ZBO of naar de door de business vastgestelde passende maatregelen. De vertaling is soms verwarrend doordat bijvoorbeeld de verschillende niveaus van classificatie van het ZBO (hoog, midden, laag) wel hetzelfde lijken als die van de ICTdienstverlener (goud, zilver, brons), maar niet hetzelfde zijn. De classificatie van het ZBO gaat uit van de aspecten: beschikbaarheid, integriteit en vertrouwelijkheid. De dienstverlener classificeert Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 37 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
op de beschikbaarheid en reactiesnelheid in het geval van incidenten. De financiële aspecten spelen een belangrijke rol in het totale contact.
Periodiek worden de beveiliging en privacy gerelateerde onderdelen van de overeenkomst herzien en aangepast. Deze cyclus heeft de afgelopen jaren als resultaat gehad dat het geheel van maatregelen is opgeschoven in de richting van de standaard van de ICT-dienstverlener. Dit sluit aan bij de wens van het ZBO om de invulling van de generieke beveiligingsmaatregelen meer bij de ICT-dienstverlener te leggen.
De verwachte invloed vanuit het proces specificeren op de invulling van de overeenkomst en de overige afspraken is niet geconstateerd. In het algemeen kan worden gesteld dat vanuit het operationele niveau weinig invloed wordt, of kan worden uitgeoefend, op de inhoud van de afspraken. Het niet openbare karakter van de overeenkomsten en de bijbehorende documentatie zorgt voor onbekendheid op het operationele niveau. Op operationeel niveau ontstaat hierdoor onbegrip over de houding van het ZBO Service team en de ICT-dienstverlener. Dit maakt een goede
aansluiting
tussen
de
algemene
beveiligingsmaatregelen
en
de
organisatorische,
procesmatige maatregelen in de praktijk erg moeilijk.
Het is bij het ZBO de bedoeling dat de automatiseringsprojecten voldoen aan o.a. beveiliging- en privacyeisen. Deze eisen zouden als maatstaf moeten dienen bij het specificeren van nieuwe functionaliteit en tevens dienen te worden gebruikt als toetsingsnorm voor de overgang naar productie. In veel gevallen wordt door het stellen van andere prioriteiten in de praktijk aan deze werkwijze niet voldaan. In deze gevallen worden afwijkingen van de norm gedoogd. Het is de bedoeling dat deze gedoogsituatie na verloop van tijd wordt omgezet in een situatie die wel voldoet aan de norm.
5.6.2
ICT-dienstverlener
De ICT-dienstverlener heeft voor het ZBO de beveiligingsbaseline aangepast aan de eisen, zoals die door het ZBO worden gehanteerd, in het tactisch privacy en beveiligingbeleid. Daarbij is er een aantal maatregelen die de ICT-dienstverlener uit eigen beweging heeft geïmplementeerd, om te voldoen aan haar eigen interne wereldwijde standaarden. Deze standaarden zijn tot op detail uitgeschreven en worden door de ICT-dienstverlener strikt nageleefd.
Indien de beveiligingseisen van het ZBO onder het minimum niveau komen waarbij de ICTdienstverlener nog de afspraken in de overeenkomst kan garanderen, dan wordt dit vanuit de ICTdienstverlener niet geaccepteerd en wordt er ontheffing van de afspraken in de overeenkomst gevraagd bij het ZBO.
De afgesproken procedure in dergelijke gevallen is dat de ICT-dienstverlener aangeeft wat de ICTrisico’s en de consequenties van de betreffende uitzondering op de baseline zijn. Dat kan bijvoorbeeld zijn dat de SLA’s niet meer kunnen worden gegarandeerd of dat de vertrouwelijkheid van de data kwetsbaar is. Het is dan aan het ZBO om te overwegen of de risico’s en de Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 38 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
consequenties opwegen tegen de te maken kosten om ze op te heffen, en dus om de uitzondering te gedogen of niet. Het is hierbij aan het ZBO als verantwoordelijke van de persoonsgegevens te bepalen wat voor die gegevens de afhankelijkheid en de kwetsbaarheid van het gedogen is. Deze beslissing ligt binnen het ZBO bij het bureau beveiliging als onderdeel van contractmanagement van het ZBO Service team en niet bij de privacy coördinator in de divisie.
De ICT-dienstverlener is niet bekend met de inhoud van de data en de functionaliteit van de systemen. Mede hierdoor, en doordat er in de overeenkomst geen differentiatie is afgesproken, worden alle systemen op het aspect informatiebeveiliging hetzelfde behandeld. Dit geldt voor zowel productie-, test- en ontwikkelsystemen als voor de classificaties goud, zilver, en brons.
In de overeenkomsten zijn afspraken en termijnen opgenomen die niet altijd haalbaar bleken. Deze afspraken worden in overleg bijgesteld. Dit was bijvoorbeeld het geval waarbij de ICTdienstverlener binnen een afgesproken termijn incidenten moest oplossen, maar voor de oplossing afhankelijk was van inspanningen van het ZBO zelf.
De ICT-dienstverlener heeft een voor de klant specifiek team ingericht o.a. bestaande uit een architect, een delivery manager en een vertegenwoordiging van security management. Bij het opstellen en wijzigen van het contact heeft de ICT-dienstverlener alleen contact met het ZBO Service team. Wijzigingen in het beleid van het ZBO zijn niet altijd bekend bij de ICTdienstverlener.
5.6.3
Bevindingen overeenkomst
Op basis van het praktijk onderzoek zijn de onderstaande bevindingen gedaan: •
De afspraken in de overeenkomst worden voor het ZBO op maat gemaakt, maar worden sterk vanuit de techniek ingevuld. Dit terwijl zowel BiSL als ITIL adviseren om deze in de taal van de klant op te stellen;
•
Het ZBO lijkt bij het opstellen van de overeenkomst een voorkeur te hebben voor een principle based aanpak, terwijl de voorkeur van de ICT-dienstverlener uitgaat naar een rule based aanpak;
•
De ICT-dienstverlener stelt in het algemeen hogere beveiliging- en privacyeisen, dan het ZBO;
•
De uitgevoerde risicoanalyse op het gebied van privacy bij het ZBO leidt niet altijd tot een andere behandeling van de gegevens bij de ICT-dienstverlener.
5.7 5.7.1
Toezicht Gebruikersorganisatie
Het ZBO heeft in de overeenkomst verschillende maatregelen afgesproken om de handelingen van de ICT-dienstverlener te controleren. In de praktijk wordt jaarlijks een voor het ZBO op maat gemaakte TPM opgesteld en beoordeeld. Het ZBO heeft ook gebruik gemaakt van een bezoek op locatie.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 39 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Beveiligingincidenten en andere calamiteiten worden aan het ZBO Service team gemeld. Hetzelfde geldt voor de door de ICT-dienstverlener uitgevoerde handelingen. Deze worden door het ZBO Service team naar de business doorgezet en daar afgehandeld. Eventuele afwijkingen worden door de business aan het ZBO Service team gerapporteerd.
Op verzoek van het ZBO worden loggings van de handelingen van medewerkers aangeleverd. In de overeenkomst staan geen afspraken over het continu monitoren van de toegang of de toegekende rechten.
De tussen het ZBO Service team en de ICT-dienstverlener afgesproken beveiligingsbaseline zijn voor de gebruikersorganisatie in de praktijk niet altijd werkbaar. Dit wordt soms veroorzaakt door beperkingen in de techniek of gekozen oplossing, soms door druk op de implementatie vanuit de business
of
wetgever.
De
belangenafweging
tussen
de
beveiligingsdoelstellingen
en
de
bedrijfsdoelstellingen vraagt daarom bij het ZBO soms om alternatieve maatregelen. Voor de uitbesteding aan de ICT-dienstverlener, bij de verzelfstandigde bedrijfsonderdelen was er meer kennis van elkaars processen en konden de afspraken flexibeler worden ingericht. Bijvoorbeeld door
het
nemen
van
organisatorische
of
procedurele
maatregelen.
Door
de
vaste
beveiligingsbaseline voor alle systemen en alle omgevingen bij de ICT-dienstverlener ontstaat er nog steeds een behoefte aan de kant van het ZBO om van de overeenkomst af te wijken. De ICTdienstverlener wil zich indekken tegen de eventuele aansprakelijkheid van deze afwijkingen. Hierdoor ontstaat er een bureaucratisch proces waar beide partijen niet tevreden mee zijn.
5.7.2
ICT-dienstverlener
Bij de ICT-dienstverlener wordt zeer strak op het vastgestelde beleid en de overeenkomsten gestuurd. De ICT-dienstverlener heeft daartoe buiten het door het ZBO vereiste controle proces een aantal eigen controle processen ingericht. Zo worden alle systemen periodiek aan een Health Check onderworpen. Deze check, een periodieke integrale controle, toont de afwijken van de vastgestelde systeemparameter instellingen. Indien relevant voor het ZBO, worden deze afwijkingen in de vorm van een riskletter aan het ZBO gemeld. De risico’s in de riskletter zijn opgesteld in technische termen.
Naast de voor het ZBO vereiste TPM worden ook in opdracht van de ICT-dienstverlener jaarlijks onafhankelijke audits uitgevoerd. Deze audits zijn strenger en eenduidiger dan de eisen gesteld door het ZBO. De ICT-dienstverlener houdt deze audits om de eigen processen te kunnen garanderen en bedrijfsrisico’s zoals imago schade te voorkomen. Eventuele afwijkingen van de norm worden in verbeterplannen opgenomen.
De ICT-dienstverlener houdt op diverse niveaus, waaronder op de toegang tot de data, loggings bij. Het ZBO neemt deze loggings niet standaard af. Proactief wordt door de ICT-dienstverlener alleen periodiek een overzicht van geautoriseerde personen op systeemniveau aan het ZBO verstrekt.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 40 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Tussen security management van de ICT-dienstverlener en het bureaubeveiliging van het ZBO Service team is periodiek overleg.
5.7.3
Bevindingen toezicht
Op basis van het praktijk onderzoek zijn de onderstaande bevindingen gedaan: •
De business is betrokken bij de controle op de handelingen van de dienstverlener. De beveiligaspecten worden bij het ZBO via het service team afgehandeld. Dit sluit aan bij de verwachtingen uit de theorie;
•
De ICT-dienstverlener heeft zelf een hoge standaard van algemene beveiligingsmaatregelen om bedrijfsrisico’s te verminderen. Deze standaard overtreft de eisen van het ZBO aan de ICT-dienstverlener, maar sluit niet altijd aan op de door het ZBO geïmplementeerde organisatorische en procesmatige maatregelen. Dit zorgt voor wrijving tussen de eisen vanuit de Wbp en de eisen vanuit het ZBO business perspectief omdat de te strenge algemene maatregelen in bepaalde situaties worden ontweken en het ontwijken wordt gedoogd.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 41 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
6. Conclusie en aanbevelingen In dit hoofdstuk worden op basis van de onderzochte theorie en de resultaten van het praktijkonderzoek conclusies getrokken. Op basis van deze conclusie wordt ten slotte een advies gegeven voor verder onderzoek en/of het gebruik van de onderzochte best practices in de praktijk. Aansluiting tussen BiSL en ITIL mogelijk De beschouwde best practices in deze scriptie hebben ieder hun eigen perspectief op het beheer van de informatievoorziening. De functionele kijk in BiSL vanuit het perspectief van de gebruiker kan zeker als aanvulling worden gezien op de meer technische benadering van ITIL. Het is opvallend dat beide best practices zo weinig invulling geven aan de aansluiting tussen de best practices met elkaar. Desondanks is het combineren van de beide modellen op basis van de theorie zeker mogelijk. De kracht van de modellen ligt hierbij met name op het operationele en strategische niveau. Informatiebeveiliging vooral in ITIL De verdeling van aandacht voor informatiebeveiliging over de twee best practices is scheef. Bij de best
practice
ITIL
speelt
informatiebeveiliging
een
belangrijke
rol.
In
BiSL
wordt
informatiebeveiliging nauwelijks genoemd. Deze scheve verdeling is niet alleen zichtbaar in de literatuur, maar was bij het uitvoeren van het case onderzoek ook zichtbaar in de praktijk. Daar waar de ICT-dienstverlener de beveiligingsprocessen sterk op ITIL heeft gebaseerd, wordt bij de vragende partij voor de beveiligingsprocessen geen BiSL gebruikt. Passende maatregelen ITIL gebaseerd Een set van passende technische en organisatorische beveiligingsmaatregelen om de privacy van persoonsgegevens te beschermen vraagt om een integrale benadering van het hele stelsel van maatregelen: de technische, de applicatieve en de gebruikersmaatregelen dienen op elkaar aan te sluiten en elkaar te ondersteunen. Op basis van dit onderzoek wordt geconcludeerd dat de maatregelen sterk vanuit het technisch beheer, ondersteund door ITIL processen, worden bepaald. Dat
is
niet
verwonderlijk
omdat
de
best
practices
voor
functioneel
beheer
niets
over
informatiebeveiliging meldt. Hierdoor ontstaat het gevaar dat de gekozen “technische” set van maatregelen, mogelijk niet goed aansluiten bij de wensen van de gebruiker en het zicht op het totaal van maatregelen gaat hierbij mogelijk verloren. Overeenkomst in technische termen Zowel ITIL als BiSL geven goede aanknopingspunten voor de inrichting van de processen rondom contract beheer. Ze geven echter geen aanknopingspunten voor wat er in de overeenkomst dient te staan en op welk detail niveau e.a. dient te worden vastgelegd. Dat is begrijpelijke omdat dit per bedrijf en land erg kan verschillen. In de case studie is gebleken dat indien beide partijen andere uitgangspunten hebben het moeilijk is dit in een overeenkomst op een werkbare mannier vast te leggen. Als de ene partij een principle based uitgangspunt heeft en de andere partij een rule based aanpak gebruikt is dat een bron van misverstanden en irritaties.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 42 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Toezicht In de case studie heeft de ICT-dienstverlener een hoge standaard van algemene maatregelen en heeft daar intern een streng toezicht op. Dit sluit niet aan bij de meer principle based benadering van het ZBO met betrekking van de algemene maatregelen. Het ZBO heeft van oudsher een aantal organisatorische en applicatie maatregelen ingericht ter compensatie van een aantal algemene maatregelen, zodat ze een stuk flexibiliteit hadden ingebouwd om snel op nieuwe wetgeving en veranderende situaties te kunnen inspelen. Dit is met de uitbesteding naar een externe ICTdienstverlener
niet
aangepast.
Hierdoor
ontstaat
een
situatie
waarbij
onder
bepaalde
omstandigheden door het ZBO, de in haar ogen te strenge algemene maatregelen, worden omzeild en waarbij de ICT-dienstverlener niet meer kan instaan voor de afgesproken Service Levels. Slot conclusie De centrale vraag in deze scriptie is: •
In hoeverre ondersteunen de best practices BiSL en ITL de naleving van de Wbp in een outsourcingssituatie?
ITIL en BiSL geven geen theorie hoe ze op elkaar dienen te worden aangesloten. Het is echter in de praktijk goed mogelijk om de operationele en sturende modellen voldoende op elkaar aan te sluiten voor de beheersing van het technische ICT-beheer. Dit kan bijvoorbeeld door een regieorganisatie of een service team in te richten. Ook in de case studie is een goede aansluiting van de processen bewerkstelligd.
ITIL biedt goede aanknopingspunten voor het nemen van maatregelen om aan de Wbp te voldoen. Het gaat hierbij veelal om algemene beheersmaatregelen die voor een brede groep klanten gebruikt kunnen worden. Bij BiSL is het onderdeel informatiebeveiliging onderschikt. De applicatieve maatregelen en de maatregelen in de administratieve organisatie krijgen hiermee mogelijk onvoldoende aandacht.
Naast de bovengenoemde aspecten van BiSL en ITIL is ook gebleken dat ook qua controle cultuur de beide partners op elkaar dienen aan te sluiten. Bij het uitvoeren van het onderzoek hebben wij een sterk cultuur verschil ervaren: •
De medewerkers van het ZBO willen een principle based relatie met de ICT-dienstverlener en leunen op compenserende organisatorische en applicatie maatregelen om flexibel te kunnen omgaan met de algemene ICT-maatregelen. Dit heeft het ZBO nodig om haar kerndoelen met enige flexibiliteit te kunnen uitvoeren;
•
De ICT-dienstverlener wil een rule based relatie en leunt sterk op algemene ICTmaatregelen. Hierop heeft de ICT-dienstverlener tevens haar interne controle op ingericht. De ICT-dienstverlener heeft dit nodig om de afspraken in de overeenkomst met de klant te kunnen garanderen.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 43 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Advies Op basis van de voorgaande conclusie komen wij tot het onderstaande advies: •
De inrichting van beveiligingsaspecten, en in het bijzonder privacy, komt niet voldoende tot uiting in de best practice voor het functioneel beheer. BiSL zou op dit onderdeel verbeterd moeten worden;
•
De drang naar standaardisatie als tegenpool voor de drang naar maatwerk lijkt een oorzaak voor conflicten, in het bijzonder als maatwerk leidt tot ´verlaging´ van het overeengekomen beveiligingsniveau. Omdat de Wbp ook de mogelijk tot standaardisatie voor bijvoorbeeld bedrijfstakken biedt, is dit een goed punt voor verder onderzoek. Wellicht kan de ICT-dienstverlening komen tot een Wbp standaard voor de bedrijfstak;
•
De regiefunctie tussen BiSL en ITIL dient zodanig te worden vormgegeven dat vraag en aanbod ook voor informatiebeveiliging bij elkaar komen. De verantwoordelijke voor de persoonsgebonden data (vragende partij) komt dan dichter bij de verwerker ervan (aanbiedende partij), zodat er afstemming en aansluiting kan plaatsvinden over het geheel van de passende beveiligingsmaatregelen bij de beide partijen op het totaal van de maatregelen (usercontrols, applicationcontroles en general IT controles).
•
Bij het selecteren van een ICT-dienstverlener dient ook rekening te worden gehouden met de controle cultuur bij het betreffende bedrijf. Het niveau van en de omgang met beveiligingsmaatregelen dient te passen bij en aan te sluiten op de bedrijfscultuur.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 44 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
7. Reflectie In deze reflectie kijken wij terug op het uitgevoerde onderzoek en op de resultaten van deze scriptie. Ook gaan we in op de leerervaring.
De opleiding ICT–audit aan de VU wordt gedomineerd door studenten die afkomstig zijn van één van de vier grote accountantsbureaus. Als eenlingen binnen ons bedrijf die deze studie doen, hebben wij in een eerder stadium de samenwerking gezocht. Deze samenwerking hebben we voortgezet bij het opstellen van deze scriptie.
Onze werkgevers zijn met elkaar verbonden door een outsourcingsrelatie. Deze relatie was onderdeel van het object van onderzoek. Een gelukkige keuze, want bij beide partijen hebben wij goede medewerking ondervonden. We hebben hierdoor in een zekere openheid van een afstand kunnen meekijken.
Onze verschillende stijlen van werken zijn bij het uitvoeren van het onderzoek aanvullend gebleken. De verschillende stijlen zijn bij nadere beschouwing in zekere zin te herleiden tot de verschillen in de bedrijfscultuur bij onze werkgevers. In het onderzoek hebben wij gekeken naar de houvast die best practices BiSL en ITIL bieden bij het invullen van de Wbp. Veel tijd hebben wij besteed aan de bestudering van de literatuur, waardoor we pas laat in het onderzoek aan het praktijk gedeelte toekwamen.
Juist het praktijk gedeelte van het onderzoek bleek zeer de moeite waard, want buiten het gebruik van best practices en het bestaan van wettelijke maatregelen blijken ook de culturele verschillen in een outsourcingsrelatie een belangrijk aspect. Dit was voor ons een verassende uitkomst.
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 45 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
8. Bijlage Figuren: Figuur 1 service team ....................................................................................................... 6 Figuur 2 BiSL .................................................................................................................. 9 Figuur 3 ITIL ................................................................................................................. 13 Figuur 4: Service team als onderdeel drievoudig model beheer .............................................. 15 Figuur 5 regieorganisatie ................................................................................................. 17 Figuur 6 Overeenkomst tussen functioneel- en technisch beheer ............................................ 18 Figuur 7 Aansluiting business en serviceorganisatie.............................................................. 19 Afkortingen ASL BiSL CMMI DAP ISPL ITIL OLA Wbp SLA
Application Services Library Business Information Systems Library Customer Maturity Model Integration Dossiers afspraken en procedures Information Services Procurement Library Information Technology Infrastructure Library Operational Level Agreement Wet Bescherming Persoonsgegevens Service Level Agreement
Bronverwijzingen Boeken De onderstaande boeken zijn gebruikt bij het opstellen van deze scriptie: •
ASL: een framework voor applicatiebeheer, Remco van der Pols, 2006, Academic Services;
•
Beheer van Informatiesystemen, M. Looijen,1998, Kluwer Bedrijfsinformatie;
•
BiSl: een framework voor Functioneel Beheer en Informatiemanagement, Remco van der Pols, 2005, van Haren Publishing;
•
De kleine ITIL; L. Peters, M. Bordewijk, J. Ermers, 2008, Academic Service;
•
ITIL Service design, Office of Government Commerce, 2007, The Stationery Office;
•
ITIL Service Operation, Office of Government Commerce, 2007, The Stationery Office;
•
Outsourcing van IT, Werkgroep taxonomie Outsourcingsplatform Outsourcing Nederland, van Haren Publishing;
•
Sturing en organisatie van ICT-voorzieningen, Theo Thiadens, 2008, van Haren Publishing;
•
Wet bescherming persoonsgegevens, H. H. de Vries, D.J Rutgers, 2001, Kluwer.
Artikelen De onderstaande artikelen zijn gebruikt bij het opstellen van deze scriptie: •
Beveiliging van Persoonsgegevens, van Blarkom, J.J. Borking, 2001, Sdu Grafisch Bedrijf bv
•
Burgers en hun privacy, Raoul Schildmeijer, Chantal Samson, Harro Koot, 2005, TNS-NIPO;
•
De mogelijke rol van ITIL v3 bij het managen van de informatievoorziening, Meijer, 2008, IT Beheer Magazine;
•
De Code voor Informatiebeveiliging naar Nederlands recht, Bert-Jaap Koop, 2003, Informatiebeveiliging
•
Drie beheermodellen in plaats van één, René Sieders, 2009, automatiseringgids;
•
Handleiding voor verwerkers van persoonsgegevens, Mr. L.B. Sauerwein en Mr. J.J. Linnemann, 2002, Ministerie van Justitie;
•
ISO 27001, ISO/IEC, 2005;
•
ISO 27002, ISO/IEC, 2005;
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 46 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
•
Niveaus in de vraag organisatie, Spanjer, 2007, M&I & Partners;
•
NORA, Nederlandse Overheid Referentie Architectuur, 2007
•
Raamwerk Privacy Audit, Samenwerkingsverband Audit Aanpak, College bescherming persoonsgegevens, 2001, SDU Grafisch Bedrijf bv;
•
Uitgangspunten en beleidsregels werkwijze CBP, College Beschermingspersoonsgegevens, 2005, Staatscourant.
Websites • http://wetten.overheid.nl/zoeken/ • http://www.aslbislfoundation.org/ http://www.cbpweb.nl/Pages/home.aspx •
Datum: 6-4-2010 Status: Definitief
Versie: 1.0 Pagina 47 van 48
Best practices bij naleven WBP in een outsourcingsrelatie
Auteurs:
Plaats: Datum: Versie:
Datum: 6-4-2010 Status: Definitief
Rob Meijer Studentennummer 1783866 Ronald de Groot Studentennummer 1784676 Amstelveen 25 maart 2010 1.0
Versie: 1.0 Pagina 48 van 48