Privacy & Sociale Media
Danial Khalesi Jose Manuel Fuentes Rodriguez Postdoctorale opleiding tot Register EDP-auditor Scriptiebegeleider: Rob Christiaanse April 2012
Vrije Universiteit Faculteit der Economische Wetenschappen en Bedrijfskunde De Boelelaan 1105 1081 HV Amsterdam
Voorwoord Voor u ligt onze afstudeerscriptie ter afsluiting van de postgraduate IT-audit opleiding aan de Vrije Universiteit van Amsterdam. Tijdens onze scriptie hebben wij onderzoek uitgevoerd naar het gebruik van Sociale Media binnen bedrijfscontext. Het schrijven van deze scriptie was met vlagen een uitdagend proces waar soms geen eind aan leek te komen. Dit mede omdat er tijdens ons onderzoek veel is gebeurd op het gebied van Sociale Media en de wetgeving hieromtrent. Het begrip privacy vanuit de wet is ook moeilijker te omschrijven dan wij ons hadden voorgenomen. Het bestuderen van de theorie en het uitvoeren van interviews heeft onze kennis en inzichten ten aanzien van privacy (borgen van persoonsgegevens) binnen Sociale Media vergroot. Het realiseren van deze scriptie was zonder de volgende personen niet mogelijk geweest. Daarom willen wij hierbij onze dank uitspreken aan de volgende personen: • • • •
Rob Christiaanse, voor de begeleiding, sturing en motiverende rol gedurende de totstandkoming van deze scriptie; Sygol Neelen, voor alle tijd die ze gestoken heeft om onze scriptie taalkundig te beoordelen. Alle personen die wij hebben gesproken tijdens onze interviews, voor hun tijd en medewerking. Het heeft ons inzicht gegeven hoe er door verschillende beroepsgroepen tegen privacy binnen Sociale Media wordt aangekeken; Onze niet in de laatste plaats onze gezinnen die ons hebben gesteund, gemotiveerd en hebben geleden onder ons wisselde humeur tijdens het volbrengen van ons afstudeerscriptie.
30 maart 2012
Danial Khalesi & Jose Manuel Fuentes Rodriguez
Inhoudsopgave 1. Inleiding ..................................................................................................................................................... 5 1.1 Aanleiding ................................................................................................................................................ 5 1.2 Doelstelling onderzoek ............................................................................................................................ 5 1.3 Onderzoeksvragen .................................................................................................................................. 6 1.4 Methode van onderzoek .......................................................................................................................... 6 2. Het begrip privacy vanuit IT-audit perspectief ........................................................................................... 7 2.1 Privacy beleving ..................................................................................................................................... 9 3. Inleiding Wet Bescherming Persoonsgegevens (Wbp) ........................................................................... 11 3.1 Begrippen Wbp ...................................................................................................................................... 11 3.2 Taken en bevoegdheden van het CBP ................................................................................................. 14 3.3 Reikwijdte van de Wbp .......................................................................................................................... 15 4. Sociale Media in de zakelijke omgeving.................................................................................................. 17 4.1 Web 2.0 ................................................................................................................................................. 18 4.2 The Collective Intelligence Genome...................................................................................................... 20 4.3 Sociale Media uitgelicht ......................................................................................................................... 23 4.3.1 WhatsApp ........................................................................................................................................... 24 4.3.2 Facebook ............................................................................................................................................ 25 4.3.3 Twitter ................................................................................................................................................. 27 5. Van privacy naar informatiebeveiliging.................................................................................................... 28 6. Het toetsen van ons theoriekader in de praktijk ...................................................................................... 33 6.1 Het begrip privacy.................................................................................................................................. 33 6.2 De privacy beginselen ........................................................................................................................... 34 6.3 Technologie en de Wbp......................................................................................................................... 34 6.4 Territoriale werking: Wbp versus Patriot Act ......................................................................................... 35 6.5 De rol van het CBP ................................................................................................................................ 35 6.6 Internationale privacy wetgeving ........................................................................................................... 35 6.7 Risico’s gebruik van Sociale Media ....................................................................................................... 35 6.8 Sociale Media en beveiligingsbeleid ..................................................................................................... 36 6.9 Bewustzijn van het personeel ................................................................................................................ 36 6.10 Verantwoordelijkheid bij gebruik Sociale Media binnen bedrijfscontext.............................................. 36 6.11 Koppeling AV23 document en de Code voor informatiebeveiliging .................................................... 37 6.12 Stelling: Grootste gevaar van je privacy bij Sociale Media ben je zelf ................................................ 37 7. Conclusie ................................................................................................................................................. 38 Bijlage 1: Begrippenlijst ............................................................................................................................... 41 Bijlage 2a: Normen per hoofdstuk Sociale Media ....................................................................................... 44 Bijlage 2b: Brug ISO27002 .......................................................................................................................... 57
Bijlage 2c: Kwaliteitscriteria ......................................................................................................................... 59 Bijlage 3a: Gespreksverslag geinterviewde I .............................................................................................. 66 Bijlage 3b: Gespreksverslag geinterviewde II ............................................................................................. 70 Bijlage 3c: Gespreksverslag geinterviewde III............................................................................................. 73 Bijlage 3d: Gespreksverslag geinterviewde IV ............................................................................................ 77
4
1. Inleiding 1.1 Aanleiding Door toename van nieuwe technologieën en het feit dat steeds meer mensen tijd doorbrengen op het internet dienen Sociale Media aanbieders zoals Google of Facebook discreet om te gaan met onze persoonlijke gegevens. In dit licht is het des te belangrijker dat deze aanbieders persoonsgegevens van burgers slechts in overeenstemming met de Wet bescherming persoonsgegevens (Wbp) verzamelen en gebruiken. De praktijk wijst echter uit dat deze bedrijven regelmatig negatief in het nieuws komen doordat 1 zij de privacy van hun gebruikers schenden. De aanbieders hebben zelf privacy juristen aan boord om binnen de mazen van de wet “onze” gegevens te verzamelen, ons surf gedrag te monitoren en zelfs onze aankopen via het internet te analyseren om vervolgens deze informatie te verkopen voor marketing doeleinden. Het merendeel van de gebruikers van deze internetdiensten gaat een vertrouwensrelatie aan met de aanbieder en gaan ervan uit dat deze aanbieders proper omgaan met hun persoonsgegevens. In ons onderzoek zijn wij uitgegaan van het gebruik van Sociale Media binnen de zakelijke context. Sociale Media is een verzamelnaam voor internet toepassingen waarmee het mogelijk is om informatie met elkaar te delen op een gebruiksvriendelijke wijze. Het betreft niet alleen informatie in de vorm van tekst, zoals nieuws en artikelen, maar ook geluid- en beeldbestanden worden gedeeld via Sociale Media websites. De gebruikers leveren de inhoud en delen informatie binnen Sociale Media. Zo kan de gebruiker via YouTube eigengemaakte video’s uploaden en kan bij Wikipedia kan iedereen zelf artikelen maken, publiceren en bewerken. De organisaties die gebruik (willen) maken van Sociale Media verwachten belangrijke voordelen te behalen op het gebied van verkopen, promotie, ondersteuning en naamsbekendheid. Ondanks deze voordelen kunnen er ook nadelen zijn aan het gebruik van Sociale Media. Het grootste risico bij het gebruik van Sociale Media is imagoschade ontstaan door het lekken van bedrijfsgegevens via medewerkers en medewerkers die zich niet correct uiten. Wij zijn van mening dat de IT-auditor een belangrijke rol kan spelen in het toetsen en adviseren van een bedrijf of organisatie om de juiste maatregelen te treffen bij het gebruik van Sociale Media.
1.2 Doelstelling onderzoek Voor dit onderzoek zal de Wbp als uitgangspunt gebruikt worden. Deze wet stelt dat persoonsgegevens dienen te worden beschermd tegen “verlies of tegen enige vorm van onrechtmatige verwerking”. Tijdens ons onderzoek hebben wij de privacy beginselen gebruikt die afgeleid zijn van de Wbp. Het aspect beveiliging heeft de meeste raakvlakken met onze IT-audit opleiding en hiervoor hebben wij deze uitgelicht en gekoppeld aan de NEN-ISO/IEC 27001. Gezien het gegeven dat de bescherming van privacy gevoelige persoonsgegevens een belangrijke kwestie heeft deze scriptie het doel om inzichtelijk te maken in hoeverre de privacy bij het
1
http://news.bbc.co.uk/2/hi/8632517.stm & http://www.zdnet.nl/news/129939/gezichtsherkenning-opfacebook-is-niet-wettelijk/ 5
gebruik Sociale Media gewaarborgd wordt door de Wbp. Tijdens onze interviews hebben wij het normenkader voorgelegd aan de geïnterviewde personen.
De beveiliging van persoonsgegevens omvat de volgende drie kwaliteitsaspecten die tevens binnen dit onderzoek worden getoetst: 1. Exclusiviteit: Uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van persoonsgegevens. 2. Integriteit: De persoonsgegevens moeten in overeenstemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of verdwijnen. 3. Continuïteit: De persoonsgegevens en de daarvan afgeleide informatie moeten zonder belemmeringen beschikbaar zijn in overeenstemming met de overeengekomen afspraken en wettelijke voorschriften. Continuïteit wordt gedefinieerd als de ongestoorde voortgang van een gegevensverwerking.
1.3 Onderzoeksvragen In hoeverre biedt de Wbp voldoende waarborg voor de privacy van persoonsgegevens bij het gebruik van Sociale Media binnen bedrijfscontext? Ten einde deze vraagstelling te beantwoorden zullen in de hiernavolgende hoofdstukken de volgende deelvragen, aan de hand van literatuurstudie en praktijkonderzoek worden behandeld en beantwoord: • • • •
Wat verstaan wij onder privacy? Welk business model wordt gebruikt door Sociale Media? Is de Wbp onderhevig aan nieuwe technologie of voldoet deze aan de huidige techniek? Wat staat er in gebruikersovereenkomsten van deze Sociale Media, waar geeft een eindgebruiker toestemming voor om gebruik te kunnen maken van deze diensten?
1.4 Methode van onderzoek In ons onderzoek hebben wij ons gericht op de centrale vraagstelling en de daarbij behorende deelvragen. Om hier een antwoord op te kunnen geven hebben wij de volgende onderzoeksmethode toegepast: • •
• •
6
Literatuuronderzoek Hier hebben wij informatie verzameld over de Wbp, Web 2.0 en Sociale Media. Koppeling gemaakt tussen literatuuronderzoek en NEN Op basis van uitkomsten uit onze theoretisch en praktijk onderzoek hebben wij een analyse gemaakt van onderzoeksresultaten. Interviews met deskundigen Wij hebben met een aantal personen gesproken Oordeelsvorming In onze oordeelsvorming komen wij tot een conclusie op basis van het door ons uitgevoerde onderzoek. Wij combineren hierbij de resultaten uit het theoretische kader met het praktijkonderzoek om veronderstellingen c.q. aannames te onderbouwen.
2. Het begrip privacy vanuit IT-audit perspectief Mark Zuckerberg, CEO van Facebook heeft in 2010 een uitspraak gedaan waarbij deskundige concluderen dat Zuckerberg zegt dat ' the age of privacy is over'. People have really gotten comfortable not only sharing more information and different kinds, but more openly and with more people. That social norm is just something that has evolved over time... But we viewed that as a really important thing, to always keep a beginner's mind and what would we do if we were starting the company now and we decided that these would be the social norms now and we just 2 went for it. Anno 2011 is Sociale Media niet weg te denken uit onze maatschappij, iedereen kan elkaar opzoeken op Facebook of Twitter. Er is een netwerk maatschappij ontstaan waarbij de burger en bedrijven steeds meer hiervan gebruik zullen maken. Wat betekent dit voor de privacy van gebruikers binnen Sociale Media? Al deze vragen zullen wij in dit hoofdstuk toelichten. Wat is privacy eigenlijk, doet in het hier en nu privacy er niet toe zoals Mark Zuckerberg aangeeft? In de Van Dale Groot Woordenboek der Nederlandse taal vinden we de volgende omschrijving van het begrip privacy: Privacy [na 1950, Eng.], persoonlijke vrijheid, het ongehinderd alleen, in eigen kring of met een partner ergens kunnen vertoeven; gelegenheid om zich af te zonderen, om storende invloeden van de buitenwereld te ontgaan. Deze definitie van privacy legt nogal de nadruk op privacy als letterlijk ‘the right to be let alone’ zoals de Amerikaan Thomas Cooley het begrip voor het eerst officieel omschreef in 1879. 3
De digitaleburgerrechten organisatie Bits of Freedom onderscheidt vier vormen van privacy, te weten : •
Fysieke privacy Voorbeelden: fouilleren, drugs test, DNA test en inwendig onderzoek (vliegveld)
•
Territoriale privacy Voorbeelden: huiszoeking, inbraak, camera’s op straat en paspoort controle
•
Informationele privacy Voorbeelden: regels voor opslag van en verwerking van data van banken, medische gegevens, overheid en direct-marketing en spam
•
Privacy van communicatie. Voorbeelden: Aftappen van telefoon en internetverkeer, verkeersgegevens bewaren.
Voor ons onderzoek beperken wij ons tot informationele privacy. In Nederland is de Wet Bescherming Persoonsgegevens (Wbp) in 2001 in gebruik genomen, dit is het wettelijke kader waar rekening mee moet worden gehouden ter bescherming van de privacy. De Wbp zal toegelicht worden in hoofdstuk 3. Privacy is geen absoluut begrip, dit zal blijken uit het onderzoek dat in de paragraaf 2.1 wordt uitgewerkt. Privacy is een overkoepelend begrip, een fundamenteel recht dat nauw verbonden is met
2
http://www.bbc.co.uk/blogs/thereporters/maggieshiels/2010/01/facebook_is_the_age_of_privacy_over.ht ml 3
7
http://www.bof.nl/docs/goes.pdf
persoonlijke vrijheid. Het Europese Verdrag voor de Rechten van de Mens (EVRM) en het Verdrag van Lissabon bevatten een omschrijving van de universele rechten die een mens heeft. Zo heeft een ieder recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Ten aanzien van de bescherming van persoonsgegevens is bepaald dat een ieder recht heeft op bescherming van de hem betreffende persoonsgegevens. Als er persoonsgegevens worden verwerkt, dan dient de verwerker de gegevens eerlijk te verwerken, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. Kortom, verwerking van persoonsgegevens is toegestaan, maar dient aan strenge regels te voldoen. Voor wat betreft de privacy geldt een veelheid aan regels die de Sociale Media aanbieder, maar ook de afnemer van de dienst, moet respecteren. Indien namelijk de aanbieder persoonsgegevens verwerkt, gelden onverkort de regels inzake privacybescherming. Dit legt op de aanbieder vergaande verplichtingen ten aanzien van de wijze van gebruik en de beveiliging van de persoonsgegevens. Omdat de gegevensverwerking van Sociale Mediadiensten niet aan een bepaalde locatie zijn gebonden, kunnen diverse rechtsregels van toepassing zijn op één enkele dienst. Binnen de Europees Economische Ruimte 4 zijn de privacy regels wel redelijk geüniformeerd. Dit komt doordat de lidstaten van de EU verplicht zijn de Europese privacy regels op te nemen in lokale wetgeving. Op hoofdlijnen komen de nationale regimes overeen. Kijkend vanuit het IT-audit kwaliteitsaspect vertrouwelijkheid doen organisaties die gebruik willen maken van Sociale Media, er verstandig aan naar de impact van deze keuze te kijken. Sociale Media platformen brengen vaak snelle, tastbare voordelen met zich mee. De voordelen dienen te worden afgewogen tegen de beveiligingsrisico’s die Sociale Media met zich meebrengen. Sociale Media raken bijna altijd de verwerking van persoonsgegevens. Dit kan gegevens betreffen van medewerkers of klanten, hierbij kun je denken aan geboortedata, woonplaats, naam werkgever of een email adres. Maar ook uitspraken van medewerkers kunnen hieronder vallen. Op zich staand zijn bovengenoemde gegevens niet herleidbaar tot een persoon maar in combinatie met elkaar kan dit wel tot 1 persoon herleidt worden. Aangezien Sociale Media over het algemeen gratis en laagdrempelige publieke diensten zijn, is het lastig om specifieke eisen op strategisch, tactisch en operationeel niveau neer te leggen bij de aanbieder. De aanbieder en gebruiker van Sociale Media hebben verschillende belangen. De aanbieder heeft een commercieel belang en hecht vaak minder waarde aan privacy zoals regelmatig uit praktijk blijkt en de gebruiker heeft het belang om zoveel mogelijk gebruik te maken van de Sociale Media dienst en is vaak niet bewust van de privacy risico’s en wat er precies met zijn of haar gegevens gedaan wordt. Uit onderzoek van Gartner blijkt dat de totale inkomsten van Sociale Media zoals Facebook en Twitter in 5 2011 stijgt naar 10,3 miljard dollar (7,6 miljard euro) , dit is een stijging van 41.4 procent vergeleken met 2010. De verwachting is dat de totale inkomsten in 2012 zullen stijgen naar 14,9 miljard dollar en dat dit in 2015 zelfs 29,1 dollar miljard zal zijn. Voor aanvullende zekerheid zou een bedrijf dat gebruik wil maken van Sociale Media een Third Party Memorandum (TPM) bij de aanbieder van de geleverde Sociale Media dienst kunnen opvragen. De TPM wordt gebruikt om meer inzicht te krijgen over de effectiviteit van de processen van de aanbieder. Het is nu namelijk onduidelijk hoe een Facebook, Youtube, Linkedin omgaat met software updates of inbraakpogingen. Wij hebben niet kunnen vaststellen hoe deze aanbieders omgaan met zaken zoals
4
De Europese Economische Ruimte (EER) is een akkoord in 1992 tussen de landen van de Europese Gemeenschap (EG) (later de Europese Unie) en de Europese Vrijhandelsassociatie (EVA), met uitzondering van Zwitserland. Het akkoord bevordert vrij verkeer van personen, goederen, diensten en kapitaal tussen de deelnemende landen. 5
8
http://www.gartner.com/it/page.jsp?id=1820015
patching, auditing en logging. En als zij gebruik maken van logging, wie heeft er dan toegang tot deze gegevens en hoe worden ze bewaard. Hoe zit het met onderaannemers, denk aan een Sociale Media 6 aanbieder die haar gegevens laat back-upen of laat hosten door een derde? De opvolger van de SAS70 , de ISAE 3402 biedt hier oog voor, deze betrekt helaas 1 laag (onderaannemer). Wij hebben in de media geen stukken kunnen vinden over audits die uitgevoerd zijn bij Sociale Media bedrijven of eventuele TPM’s die zekerheid kunnen geven over deze bedrijven. Tijdens het schrijven van onze scriptie hebben 7 wij opgevangen dat er een audit zal plaats vinden bij Facebook in Ierland. Vanuit het College bescherming persoonsgegevens (CBP) is er in Nederland een privacy standaard ontwikkeld in samenwerking met de Nivra en de Norea waarbij organisaties die voldoen aan 8 deze privacy standaard een keurmerk krijgen. In Europees verband heeft het College bescherming persoonsgegevens (CBP) in samenwerking met het Nederlands Normalisatie-instituut (NEN) aangedrongen op zorgvuldige bespreking van het Privacy Framework uit de ‘Draft International Standard ISO/IEC 20886’. Dit betreft een voorstel voor een wereldwijde privacy standaard en standaardisatie van privacy technologieën. Het Privacy Framework is ontwikkeld onder verantwoordelijkheid van de Internationale Organisatie voor Standaardisatie (ISO). Tot op heden zijn er geen ISO privacy standaarden die gebruikt kunnen worden door de IT-auditor. Ons onderzoek is gericht op de Wbp, wij zullen in een volgend hoofdstuk de Wet bescherming persoonsgegevens onderzoeken en bekijken wat deze zegt over de bescherming van persoonsgegevens binnen Sociale Media.
2.1 Privacy beleving Om helderheid te scheppen in de privacy discussie is in 2009 onderzoek gedaan naar een aantal 9 technologieën, dat mogelijk door burger/consumenten/gebruikers als ‘privacy-invasive’ wordt ervaren. Dit onderzoek is uitgevoerd door het onafhankelijke platform voor de Informatie Samenleving (ECP-ECN). Hier is de privacy beleving van gebruikers gepeild en is onderzocht welke factoren voor gebruikers een rol spelen bij de acceptatie van een toepassing. Het onderzoek is gedaan in de vorm van een enquête, waarbij getracht is alle lagen van de bevolking te bereiken. In het onderzoek zijn er twee algemene vragen over privacy en bescherming van persoonlijke gegevens voorgelegd: ‘Vind u privacy belangrijk’ Ruim 89% van de Nederlanders geeft aan privacy belangrijk te vinden. ‘Vindt u bescherming van persoonlijke informatie belangrijk?’ 90,5% van de Nederlanders geeft aan bescherming van persoonlijke gegevens belangrijk te vinden. De resultaten van de bovenstaande vragen lijken gelijk aan elkaar. Als er dieper naar de resultaten wordt gekeken is er echter wel een verschil te constateren. De conclusie van dit onderzoek is dat onder het woord privacy niet hetzelfde wordt verstaan als de bescherming van persoonlijke gegevens. Als er naar de verdeling van de antwoorden wordt gekeken (schaal 1-5) blijkt dat de meeste respondenten het ‘eens’ (4) zijn met de stelling dat privacy belangrijk is maar dat de meeste respondenten het ‘helemaal eens’ (5) zijn met de stelling dat de bescherming van persoonsgegevens belangrijk is. Gemiddeld vinden de
6
Een internationaal erkende norm voor de beoordeling van de interne beheersmaatregelen http://europe-v-facebook.org/EN/en.html 8 https://www.privacy-audit-proof.nl/ 9 Onderzoek vijf privacy-intrusive toepassingen ECP EPN 2010 7
9
respondenten de bescherming van hun persoonlijke gegevens belangrijker dan privacy. De bescherming van persoonlijke gegevens wordt belangrijker bevonden dan privacy. Wij zijn van mening dat dit komt doordat de bescherming van persoonlijke gegevens concreet is en het begrip privacy veel breder en abstracter is. Naast vragen over politiek debat en vertrouwen in instanties is er ook naar gevraagd hoe erg men er tegen over staat als gegevens buiten het domein waar zij toe behoren zouden belanden (door bijvoorbeeld datalekken, of gebruik van gegevens voor oneigenlijke doeleinden). Uit onderstaande tabel blijkt dat EPD- en Hyves gegevens het meest gevoelig liggen. Diegenen die het minst worden vertrouwd met gegevens zijn bank, (zorg) verzekeraar, werkgever of de overheid (politie, justitie, belasting).
Figuur 1: Resultaat gevoeligheid (Enquête toepassing ICT en privacy ECP-EPN).
Uit dit onderzoek is naar voren gekomen dat er onder de Nederlandse burgers niet een ‘gedeeld’ beeld over privacy bestaat. Over de OV-Chipkaart is veel politiek gebat gevoerd, maar de vrees voor negatieve gevolgen zijn relatief laag gebleken. Tegenover dit voorbeeld staat een toepassing als Hyves waarbij weinig tot geen politiek rumoer is geweest, maar men is hier juist relatief wel bang voor de negatieve gevolgen. Uitschieter in het Hyves voorbeeld is de vrees voor gebruik van gegevens voor zaken die de gebruiker niet wenst. Debat en media aandacht lijken hierdoor niet de belangrijkste bepaler van zorg over privacy. Technologische toepassingen worden als privacy schendend bevonden als gebruikers het gevoel hebben niet de baas te zijn over hun eigen gegevens. Zij dienen het gevoel te hebben hier controle in te hebben en er dient een mechanisme te zijn waarbij een gebruiker foutief opgeslagen gegevens over zich zelf kan wijzigen.
10
3. Inleiding Wet Bescherming Persoonsgegevens (Wbp) De bescherming van persoonsgegevens vindt haar oorsprong in het grondrecht van de burger op eerbiediging en bescherming van zijn persoonlijke levenssfeer. Vanuit deze oorsprong heeft zich sinds 1970 een stelsel ontwikkeld van principes voor de behoorlijke omgang met persoonsgegevens. De Wet persoonsregistratie (WPR) van 1988 sloot aan bij de toen heersende kijk op automatisering door het begrip ‘persoonsregistratie’ als uitgangspunt te nemen. Met de sterke opkomst van computernetwerken in de jaren ‘90 werd steeds onduidelijker waar de grenzen van een persoonsregistratie lagen. Daarmee nam het belang van verwerkingen van persoonsgegevens die niet direct samenhingen met opname in een bestand, sterk toe. Ook de EU heeft 10 dit probleem onderkend. Zij vaardigde in 1995 een richtlijn uit die het begrip ‘verwerken van persoonsgegevens’ als uitgangspunt had en daarmee beter toepasbaar is in netwerkomgevingen. Deze 11 richtlijn is in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). De Wbp is de vervanger van de Wet persoonsregistraties uit 1998 en is de implementatie van de Europese richtlijn 95/46. In de Wbp worden rechten en plichten van alle betrokken organisaties en personen bij de 12 verwerking van persoonsgegevens gedefinieerd. Onder verwerking wordt het gehele proces vanaf verzamelen, vastleggen tot en met vernietigen verstaan. De Wbp samengevat is gericht op het bieden van waarborgen dat bij verwerking van persoonsgegevens de juiste persoonsgegevens, voor het juiste doel, op de juiste gronden, voor de juiste mensen op het juiste tijdstip beschikbaar zijn.
3.1 Begrippen Wbp In de Wbp worden een groot aantal begrippen en privacy beginselen gedefinieerd. Hieronder hebben wij de belangrijkste begrippen uit de Wbp toegelicht en de voor deze scriptie relevante beginselen in figuur twee beschreven. Persoonsgegeven De Wbp beschrijft het begrip persoonsgegeven als elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Verwerking van persoonsgegevens De Wbp omschrijft het verwerken van persoonsgegevens als elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.
10
Achtergrond en verkenning 25 Elektronische overheid en privacy, juli 2002. Wet van 6 juli 2000, Stb. 302, houdende regels inzake de bescherming van persoonsgegevens. 12 Rapport staatscommissie: grondrechten in het digitale tijdperk 2010 11
11
Bestand De Wbp omschrijft het begrip bestand als elke gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat vervolgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
Verantwoordelijke De Wbp omschrijft het begrip verantwoordelijke als de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
Bewerker De Wbp omschrijft het begrip bewerker als degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
Betrokkene De Wbp omschrijft het begrip betrokkene als de degene op wie een persoonsgegeven betrekking heeft. De definitie van ‘persoonsgegeven’ is volgens de Wbp elk gegeven betreffende een geïdentificeerd of identificeerbaar natuurlijke persoon. Een naam, een combinatie van gegevens zoals adres, leeftijd, beroep, etc. Maar ook video-opnamen van camera’s of een IP-adres. Of de betreffende gegevens ook daadwerkelijk leiden tot identificatie is niet van belang; het criterium is dat de gegevens mogelijk kunnen leiden tot identificatie. Verwerking omvat in wezen iedere handeling die op een persoonsgegeven kan worden uitgevoerd, zoals het versturen en de opslag daarvan.
De in figuur twee genoemde privacy beginselen bepalen de benodigde waarborgen voor de bescherming van persoonsgegevens. In de regel moet iedere verwerker van persoonsgegevens rekening houden met deze beginselen en dus voldoen aan de Wbp. Voor de overheid is dit echter niet de enige reden om de informationele privacy van burgers en gebruikers te respecteren. Het is ook een maatschappelijke verwachting dat de persoonsgegevens van burgers worden beschermd. Daarbij heeft de overheid een voorbeeldfunctie met het naleven van wetten die zij zelf heeft opgesteld. Sociale Media aanbieders dienen zich ook aan deze wetten te houden, al dan niet vanuit de maatschappelijke verwachting maar uit imago schade bij het niet borgen van privacy van haar gebruikers.
12
Figuur 2: Beschrijving van de essentiële privacy beginselen.
Kijkend naar het karakter van de Wbp is vast te stellen dat deze evenals zijn voorganger, de WPR, zich kenmerkt door een defensieve benadering, waarbij de rol van het potentiële slachtoffer is toegewezen aan de geregistreerde. De wet kent burgers recht op inzage, correctie, verwijdering en verzet toe. Maar in eerste instantie moet de geregistreerde afwachten in hoeverre de verwerker van de persoonsgegevens de noodzakelijke openheid geeft. Bij het ontbreken van transparantie slaat het hebben van recht op inzage de plank mis en zal het beoogde effect niet gehaald worden. Alleen het toekennen van een pakket aan rechten zal niet toereikend zijn bij de bescherming van persoonsgegevens conform de wet. Het vereist dat de bescherming veel meer dan nu wordt opgehangen aan mogelijkheden tot een 13 actieve inbreng en participatie van Sociale Media gebruikers. De verwerking van persoonsgegevens vereist echter in iedere situatie een afweging van belangen. Juist daarom ook kan men privacy niet definiëren in termen van controle. Controle is als uitgangspunt geen maatstaf voor privacy.
13
De bescherming van persoonsgegevens: de betrokkene betrokken, Corien Prins
13
3.2 Taken en bevoegdheden van het CBP De taken en bevoegdheden van de toezichthouder op de wet zijn in de Wbp geregeld. Het College Bescherming Persoonsgegevens (CBP) is de organisatie dat toezicht houdt op de naleving van de Wbp. 14 Het CBP heeft drie hoofdtaken: 1. toezicht op de naleving van wet- en regelgeving die ziet op de verwerking van persoonsgegevens, zo nodig met behulp van het opleggen van sancties; 2. advisering van de regering en in voorkomende gevallen van het parlement over voorgenomen wet- en regelgeving die ziet op de verwerking van persoonsgegevens; 3. internationale samenwerking en toezichthoudende taken. De wetgever heeft hiermee uitvoering gegeven aan artikel 28 van de Europese Privacyrichtlijn 95/46/EG waarin het bestaan van een dergelijke toezichthoudende autoriteit uitdrukkelijk is voorzien, en waarin is bepaald dat deze autoriteit zijn taak in volledige onafhankelijkheid dient te vervullen. Bij deze taken gaat het soms om verplichtingen, maar in de regel om bevoegdheden over de uitoefening waarvan het CBP, met inachtneming van de wet en het oordeel van de rechter, zelf kan beslissen. Andere taken, zoals het geven van voorlichting en het doen van onderzoek naar nieuwe ontwikkelingen, vloeien voort uit de algemene toezichthoudende taak. Mede gelet op zijn onafhankelijkheid heeft het CBP dus een betrekkelijk grote ruimte om binnen de kaders van de wet invulling te geven aan haar taak en daarbij de nodige prioriteiten te stellen en accenten te leggen. Naast de Wbp, houdt het CBP toezicht op de naleving en toepassing van de Wet politiegegevens (Wpg), de Wet gemeentelijke basisadministratie (Wet GBA) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). Bij de inventarisatie van de jaarverslagen van het CBP over de periode 2007 tot en met 2010 zijn er 23 zaken onder de noemer ‘Internet’ waar het CBP ernstige onrechtmatigheden heeft onderzocht. Dit zijn uitlopende zaken geweest zoals de website fraudecheck.nl, de zwarte lijst ip-adressen en de Interventie CBP bij onrechtmatige publicatie op internet. De website Fraudecheck.nl heeft zijn activiteiten gestaakt na contact met het College bescherming persoonsgegevens. De websitehouder kwam tot de conclusie niet te kunnen voldoen aan de wettelijke eisen die aan een zorgvuldige verwerking van persoonsgegevens voor zwarte lijsten worden gesteld. Zonder betere waarborgen zoals een goede klachtenregeling over de zwarte lijst kon ernstige benadeling van burgers niet worden uitgesloten. Over het algemeen geldt dat het publiceren op internet van verdachtmakingen grote risico’s met zich meebrengt, zeker als het gaat om burgers die oncontroleerbaar beweringen doen over elkaars gedrag. Op verzoek van de minister van Justitie en de Nationale Coördinator Terrorismebestrijding is het CBP opgetreden tegen diverse websites waarop een bestand werd gepubliceerd met allerlei persoonsgegevens van medewerkers van de Landelijke Bijzondere Bijstandseenheden, een dienst die onder andere wordt ingezet om eventuele onrust in gevangenissen te bestrijden. Binnen vierentwintig uur na het verzoek had het CBP zeven sommaties verstuurd en binnen achtenveertig uur was het bestand van zes van de zeven websites verwijderd. Hoewel het niet mogelijk is om een eenmaal via internet verspreid bestand voorgoed van internet te verwijderen, hebben de acties van het CBP er toe geleid dat de links vanuit nieuwsmedia onbruikbaar werden en dat het bestand daardoor aanzienlijk moeilijker vindbaar werd. Er zijn echter in de media wat kritische vraagtekens bij de rol van het CBP geplaatst. In een artikel in het NRC van 17 juli 2011, wordt het CBP omschreven als een toezichthouder met een bescheiden rol. Het CBP zelf geeft aan dat ze te weinig bevoegdheden heeft, te weinig mensen (80 fte) en te weinig geld
14
http://www.cbpweb.nl/pages/ind_wetten_Wbp.aspx
14
(7,6 miljoen euro per jaar). Critici zelf zeggen dat het CBP deze bescheiden rol aan zichzelf te wijten heeft. Het CBP zou zich teveel richten op de overheid en te weinig op het geven van voorlichting aan burgers en bedrijven. Hoe verder met het CBP? De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) stelde voor een autoriteit met veel meer bevoegdheden in het leven te roepen, echter vanuit budgettaire redenen lijkt dit niet mogelijk. Hiermee lijkt het CBP een marginale rol te blijven houden op toezicht van de privacy van burgers. Op 5 maart 2012 stelt de heer Kohnstamm, voorzitter van het CBP in een interview in het Financieele Dagblad dat het CBP niet genoeg mankracht heeft om alle schendingen 15 van privacy te onderzoeken. Het jaarbudget staat niet in verhouding tot het aantal grote bedrijven worstelt met een gebrekkige beveiliging van persoonsgegevens. Bovendien verwacht de topman in de toekomst nog meer onderzoeken. Staatssecretaris Fred Teeven (Veiligheid en Justitie) wil namelijk dat bedrijven verplicht datalekken gaan melden. De heer Kohnstamm zegt hierop: “De vraag is waar die meldingen goed voor zijn als wij niet de mankracht hebben om naar ernstige en schade veroorzakende datalekken te kijken”. “Dan komt de zwartepiet bij ons in plaats van bij de partij die de beveiliging niet op orde had.” Het 2010 jaarverslag van het CBP laat echter bij herhaling zien dat het college, het van belang vindt dat bedrijven en instellingen kunnen laten zien dat ze voldoen aan de wet en dat het hierbij van belang is dat de organisatie een adequaat privacy beleid hanteert. Zo benadrukt het CBP dat “bedrijven en overheden nu aan zet zijn (…) en moeten kunnen aantonen dat zij de persoonsgegevens van hun klanten en van de burgers zorgvuldig en volgens de regels van de wet verzamelen en gebruiken” (pagina 6) en dat het ook aan hen is om aantoonbaar “goede informatie” aan de betrokkenen te verstrekken (pagina 12). Ook merkt het CBP op dat het handhavend heeft opgetreden bij een instelling die “geen beveiligingsplan [heeft] opgesteld en evenmin beveiligingsmaatregelen aantoonbaar [heeft] vastgelegd” (pagina 15), bij een bedrijf dat niet beschikte “over een verantwoord beleid voor bewaartermijnen” (pagina 16 17) en bij ziekenhuizen die geen “adequate risicoanalyse” hebben uitgevoerd (pagina 19). Het CBP lijkt van mening dat het niet hebben van een beveiligingsplan of beleid over bewaartermijnen of het niet maken van risicoanalyses een schending van de Wbp vormt. Door deze mening zien wij een rol weggelegd die de IT-auditor kan vervullen als ‘kwaliteitsbewaker’.
3.3 Reikwijdte van de Wbp De Wbp is in beginsel van toepassing op alle vormen van verwerking van persoonsgegevens, echter gelden er een aantal belangrijke uitzonderingen. Deze zijn voornamelijk terug te voeren op de reikwijdtebepaling van de richtlijn van deze wet en in enkele andere gevallen vloeien deze voort uit de structuur van de Nederlandse wetgeving. De Wbp is bovenal een kaderwet. Dit houdt in dat alle verwerkingen met betrekking tot persoonsgegevens door deze wet worden genormeerd, ongeacht het feit of er reeds andere specifieke regels op de gedane verwerking van toepassing zijn. Hiervan kan alleen worden afgeweken indien een verwerking uitdrukkelijk in de Wbp is uitgezonderd. Daarmee strekt de Wbp in tegenstelling tot de WPR over alle sectoren en facetten van de maatschappij waarbij geen onderscheid wordt gemaakt tussen publieke en private sectoren. Aan de andere kant kent de Wbp ook zijn beperkingen. Deze beperkingen volgen uit de reeds genoemde uitzonderingen op de wet als uit de onderstaande gehanteerde begrippen.
15 16
http://www.nu.nl/tech/2755759/cbp-kan-datalekken-niet.html?from_mobile=1 Jaarverslag CBP 2010 http://www.cbpweb.nl/downloads_jaarverslagen/jv_2010.pdf
15
Alleen op persoonsgegevens De Wbp is alleen van toepassing op de verwerking van persoonsgegevens. Bedrijfsgegevens zoals financiële gegevens vallen er dus niet onder. Ook statistische en geaggregeerde gegevens worden niet door de Wbp beschermd, wel de totstandkoming ervan als ze zijn gebaseerd op persoonsgegevens. De Wbp is echter wel van toepassing op zakelijke gegevens die betrekking hebben op een persoon, zoals contactpersonen van bedrijven. Alleen op geautomatiseerde gegevens De Wbp geldt alleen voor gegevens die geautomatiseerd (dus met behulp van computers) worden verwerkt. Handmatige verwerkingen vallen in de regel niet onder de wet, tenzij ze in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen papieren personeelsdossiers die op alfabetische wijze zijn opgeborgen in een dossierkast zijn samen aan te merken als een bestand en vallen dus onder de Wbp. Niet bij gegevens voor persoonlijk gebruik De Wbp is niet van toepassing op de verwerking van persoonsgegevens voor persoonlijk of huiselijk gebruik. Persoonlijke mobiel met adressenlijsten en telefoonnummers vallen niet onder de Wbp. Dit geldt ook als deze gegevens worden bewaard op een computer. De vraag of de Wbp geldt voor Sociale Media bedrijven die geen vestiging hebben binnen Nederland leent zich voor een analyse. Het raakt immers aan de fundamenten van de wet en de bescherming die deze biedt. Wat zegt de wet over haar territoriale werking? In artikel 4 van de Wbp wordt de territoriale werkingssfeer en de vestigingsplaats van de verantwoordelijke toegelicht. De Wbp ligt deze als volgt toe: Het uitgangspunt van de Wbp is de plaats van vestiging van de verantwoordelijke voor de gegevensverwerking, ongeacht waar de gegevens worden verwerkt of de betrokken personen zich bevinden. In 2008 werd in het tijdschrift Computerrecht de discussie geopend over de territoriale werkingssfeer van de Wbp. In het desbetreffende artikel in het tijdschrift Computerrecht stelt de auteur E.M.L Moerel het standpunt van het CBP over de toepassing van de Wbp in de internationale situaties ter discussie. Het CBP zou art. 4 Wbp zo uitleggen dat de Wbp alleen van toepassing is wanneer de verantwoordelijke in Nederland is gevestigd. Als gegevens worden verwerkt door een vestiging in Nederland van een buitenlandse verantwoordelijke zou de Wbp volgens de toezichthouder niet van toepassing zijn. Deze beperkte uitleg leidt volgens Moerel tot verwarring bij het internationale bedrijfsleven en tot lacunes in de rechtsbescherming. In een reactie bevestigt het CBP, dat art. 4 Wbp door het CBP inderdaad in deze beperkte zin wordt uitgelegd. 17 De door het CBP gehanteerde beperkte uitleg lost misschien reële uitvoeringsproblemen op, maar laat tegelijkertijd ook gaten vallen in de rechtsbescherming die de wet beoogt te bieden. Een veel gelezen kritiek punt is dat de Wbp veel open en vage normen bevat en 18 algemene, abstracte begrippen. Dat is op zichzelf niet per se verkeerd, als niet onvermijdelijk. Open normen zijn de middelen waarmee de wetgever regels stelt voor de situatie die hij nog of beperkt kan overzien. En juist als het gaat om iets dynamisch als het gebruik van de geautomatiseerde verwerkingsmiddelen is er veel voor te zeggen om gebruik te maken van normen en begrippen die al naar gelang de concrete situatie en feitelijke omstandigheden kunnen worden ingevuld en toegepast. Een gevolg van het gebruik van dergelijke normen is dat de wet daardoor algemeen wordt ervaren als moeilijk, 19 ingewikkelds en lastig of zelfs niet uitvoerbaar.
17
http://www.cbpweb.nl/Pages/th_doo_artikel_toepasselijkheid_wbp.aspx ‘Reikwijdte Wbp: enige opmerkingen over de uitleg van art. 4, eerste lid, Wbp’, P&I 2009-2. 19 Vgl. G-J. Zwenne et al, eerste fase evaluatie Wet bescherming persoonsgegevens, Ministerie van Justitie, december 2007, p.64. 18
16
4. Sociale Media in de zakelijke omgeving Ulysses Consulting en Titans hebben door middel van een enquête wereldwijd onderzoek gedaan naar het gebruik van sociale netwerken. De enquête was opgezet als zijnde onderzoek voor het boek “Social Networks Around The World: how is Web 2.0 changing your daily life?” (An De Jonghe, headhunter & social network expert). Het onderzoek geeft een goed beeld van de populariteit van vooral zakelijke sociale netwerken. De top drie van sociale sites bestaat vooral uit sociale netwerken die gebruikt worden voor zakelijke doeleinden. LinkedIn is een zakelijk bedoeld sociaal netwerk en steekt met kop en schouders uit boven de andere sociale netwerken.
Figuur 3: Diagram populariteit sociale netwerken
LinkedIn is actief sinds 2003 en heeft sinds augustus 2011 wereldwijd meer dan 120 miljoen 20 geregistreerde leden. Het netwerk van een LinkedIn gebruiker bevat directe contacten, relaties van de directe contacten en weer relaties van de relaties enzovoort. Alle leden kunnen naast het direct uitbreiden van hun bestaande netwerk ook uitbreiden door middel van een introductie door een reeds in het eerste- of tweedelijnsnetwerk aanwezige contactpersoon. Door dit systeem van doorverwijzen via één in je netwerk aanwezig contactpersoon wordt het vertrouwen tussen de deelnemers aan en binnen het netwerk gekweekt. Vanzelfsprekend leidt deze vertrouwenskwestie tot de vraag in hoeverre en ook op welke wijze dit sociale netwerk de privacy van haar gebruikers waarborgt. LinkedIn maakt gebruik uit van het EU Safe Harbor Privacy Framework. De VS-EU Safe Harbor is een gestroomlijnd proces voor bedrijven in de Verenigde Staten om te voldoen aan Europese richtlijn 95/46/EC aangaande de bescherming van persoonsgegevens. Ondanks deelname aan het EU Safe Harbor Privacy Framework is LinkedIn in augustus 2011 negatief in het nieuws gekomen. De reden voor deze commotie is dat LinkedIn de namen en foto’s van haar gebruikers, let wel ongevraagd, mag gebruiken voor commerciële doeleinden. Deze wijziging in de privacyverklaring is voor de gebruikers in
20
http://press.linkedin.com/about
17
juni 2011 doorgevoerd echter pas in augustus van dat jaar onder de aandacht gebracht van het overgrote 21 deel van het publiek. Met het veranderen van de privacyverklaring, waardoor foto's van leden gebruikt mogen en kunnen worden in advertenties, heeft LinkedIn waarschijnlijk in strijd met de Nederlandse wet gehandeld. Het Nederlandse College Bescherming Persoonsgegevens (CBP) stelt dan ook dat nadrukkelijk toestemming van de gebruiker vereist is bij het wijzigen van de privacyverklaring. Het uitblijven van een reactie van de gebruiker leidt niet van rechtswege tot instemming aangaande het gebruiken van de persoonsgegevens. Het CBP meldt echter geen nadere uitspraken te doen in deze specifieke zaak. Het is duidelijk dat hier sprake is van interpretatie van de wet. Uit het genomen standpunt van het CBP is op te 22 maken dat het uitblijven van een reactie niet gelijk is aan het geven van toestemming. De woordvoerster van het CBP, ‘Verhaar’ stelt drie eisen die noodzakelijk zijn om te kunnen spreken van daadwerkelijke toestemming op grond van de Wbp. Ten eerste dient deze in vrijheid te zijn gegeven, ten tweede dient de toestemming specifiek betrekking op een bepaalde gegevensverwerking betrekking te hebben en tot slot dient dit alles op ontvangen informatie te berusten. "De betrokkene moet over de noodzakelijke inlichtingen beschikken". Hierbij verwijst Verhaar naar een recente opinie van de 23 Europese Artikel 29-werkgroep. De Artikel 29 Werkgroep is het onafhankelijke advies -en overlegorgaan van Europese privacy toezichthouders. De kerntaak van de werkgroep is, in samenwerking met Europese toezichthouders, de uniforme toepassing van de principes uit de Europese privacyrichtlijn voor alle lidstaten te bevorderen. In deze opinie staat vermeld wat privacy toezichthouders onder ‘toestemming’ zouden moeten verstaan. Strikt genomen is LinkedIn om twee aspecten in overtreding: namelijk de informatievoorziening naar de leden is onvoldoende en de wijze waarop LinkedIn is omgegaan met het begrip toestemming. LinkedIn is na de ongevraagde doorgevoerde wijzigingen in de privacy instellingen van haar leden door het stof 24 gegaan op haar eigen blog waarbij zij aangeven dat zij de veranderingen in de privacy instellingen beter hadden moeten communiceren: "We hadden onze bedoelingen - om onze gebruikers meer waarde en relevantie te bieden - duidelijker kunnen communiceren", schrijft director product management Ryan Roslansky. LinkedIn zegt dat er twee blogs over de materie zijn geschreven en dat na de verandering in de voorwaarden een banner heeft gedraaid die gebruikers bij het inloggen informeerde over deze doorgevoerde wijziging. Het naslaan van de Europese Artikel 29-werkgroep opinie waarbij de criteria voor toestemming zijn samengevat geeft ons het inzicht dat het tonen van een banner geen expliciete vraag om toestemming is. LinkedIn had op zijn minst een pop-up moeten tonen, die alleen uit beeld zou verdwijnen nadat antwoord was gegeven op de specifieke vraag of de gebruiker akkoord gaat met de gewijzigde voorwaarden.
4.1 Web 2.0 Web 2.0 verwijst niet naar een specifiek verleden in de Web technologie, maar naar een set van technieken voor webpagina ontwerp en uitvoering dat Sociale Media en het participatieve web mogelijk maakt. Het begrip web 2.0 werd voor het eerst gelanceerd door Tim O’Reilly op de eerste ‘Media Web 2.0 Conferentie’ in 2004. Het verwijst naar een tweede generatie van webdiensten, waarin samenwerking tussen gebruikers en het delen van informatie en content door gebruikers, centraal staan. Tim O’Reilly beschrijft dit fenomeen als volgt:"Web 2.0 is the business revolution in the computer industry caused by the move to the internet as platform, and an attempt to understand the rules for success on that new
21
http://nu.pvda.nl/berichten/2011/08/Vragen-inbreuk-privacy-linkedin.html http://webwereld.nl/nieuws/107530/linkedin-overtreedt-wet-met-opt-out.html 23 http://www.cbpweb.nl/Pages/med_20110714_wp29_opinie_consent.aspx 24 http://blog.linkedin.com/2011/08/11/social-ads-update/ 22
18
platform. Chief among those rules is this: “Build applications that harness network effects to get better the more people use them" (Wikipedia). De Organization for Economic Co-operation and Development (OECD) hanteert de term ‘Participatieve Web’ voor Web 2.0. Daarmee wordt de nadruk gelegd op toenemende communicatie over en weer, communicatie en het creëren van waarde op het Internet door gebruikers. “The participative web is the most common term and underlying concept used to describe the more extensive use of the 25 Internet’s capabilities to expand creativity and communication.” (). Open web standaarden en interfaces zijn belangrijke dan wel onmisbare kenmerken van het participatieve web waarmee communicatie wordt gefaciliteerd. Intelligente webdiensten en op internet gebaseerde software stellen gebruikers in staat om actieve gebruikersrollen op zich te nemen, zoals het creëren, publiceren, wijzigen, beoordelen en distribueren van informatie. In verschillende publicaties is geprobeerd de kenmerken van web 2.0 nader toe te lichten. Tijdens een brainstormsessie van O’Reilly met experts, is onderstaande Meme Map ontwikkeld waarin de kenmerken en aspecten van Web 2.0 in beeld zijn gebracht. Volgens O’Reilly zijn de belangrijkste kenmerken van Web 2.0 dat: • • • •
de gebruiker controle heeft en houdt over zijn eigen data en informatie; sociale netwerken de drijvende kracht hierachter zijn; informatie en kennis uit die sociale netwerken maximaal wordt benut; het web het platform vormt voor deze interacties. Een webplatform biedt immers een open, levendig en dynamische omgeving waarin mensen komen en gaan, informatie achterlaten en delen, doorverwijzen naar andere niches op het platform of naar andere platforms.
Figuur 4: Oreilly’s Web 2.0 Meme Map
25
http://139.179.20.111/oecd/9307031E.pdf
19
Wat betreft ‘regie bij de gebruiker’ zien we in de praktijk wel een aantal veranderingen optreden. Deze zorgen ervoor dat in de meeste gevallen min of meer sprake is van een centrale regie. Denk hierbij aan een bedrijf dat de applicatie ontwikkelt, onderhoudt en ter beschikking stelt, denk hierbij aan Marktplaats of Hyves. Een bedrijf waarbij een redactie toezicht houdt op het geplaatste content, zoals Youtube en Wikipedia. Op basis van verschillende publicaties over Web 2.0 en de Meme Map van O’reilly geven wij de volgende invulling aan het fenomeen Web 2.0: “Web 2.0 behelst het ontstaan van platforms op het internet welke decentraal worden georganiseerd en toegankelijkheid zijn. Hierdoor wordt een actieve inbreng van gebruikers mogelijk gemaakt en kunnen de platforms maximaal geëxploiteerd worden. Hierbij moet worden gedacht aan gebruikers die zich op het internet kunnen organiseren, samenwerken en vriendschappen kunnen onderhouden. Daarnaast kunnen gebruikers zowel materiële als immateriële dingen delen, ruilen, handelen en/of creëren waarbij de open toegankelijkheid en de decentrale organisatie wederom zorgen voor een actieve inbreng van gebruikers en waar de algehele activiteit op de platforms maximaal wordt geëxploiteerd.
4.2 The Collective Intelligence Genome Volgens O’reilly’s Meme Map is één van de belangrijkste kenmerken van Web 2.0 dat informatie en kennis uit sociale netwerken maximaal wordt benut. Dit wordt ook wel ‘Collective Intelligence’ genoemd. Naar aanleiding van de successen die binnen de digitale wereld behaald zijn door Wikipedia, Google en Linux hebben de heren Thomas W. Malone, Robert Laubaucher en Chrysanthos Dellarocas een toepassingsframework opgezet, ‘The Collective Intelligence Genome’ genaamd. Dit framework laat zien welke ingrediënten leiden tot deze succesformules waar gebruikers en/of ontwikkelaars zelf in kunnen participeren bij de totstandkoming van een product en/of dienst. Om de design vraag aangaande ‘Collective Intelligence’ te kunnen beantwoorden dient eerst antwoord gegeven te worden op de hierna volgende vier vragen: • • • •
What (Wat is het doel?) Who ( Wie gaat het doen?) Why (Waarom doen zij dit?) How (Hoe wordt dit gedaan?)
Figuur 5: The Collective Intelligence vragen
20
Door het beantwoorden van wat, wie, waarom en hoe vragen worden de bouwstenen (‘Building Blocks’) c.q. genen (Genes) van ‘The Collective Intelligence Genome’ geclassificeerd. De vragen zijn gekoppeld aan een aantal onderliggende bouwstenen.
Vraag
Bouwsteen
Wat
Creëren (Create) Beslissen (Decide)
Wie
Publiek (Crowd) Hiërarchie of Management (Hierarchy management)
Waarom
Geld (Money) Liefde (Love) Glorie (Glory)
Hoe - Creëren
Collectie (Collection) Contest Samenwerking (Collaboration)
Hoe - Beslissen
Groepsbeslissing (Group decision) Stemmen (Voting) Averaging Consensus Markt voorspelling (Prediction Market) Individuele Beslissingen (Individual Decisions) Markt (Market) Sociaal netwerk (Social Network)
Tabel 1: The Collective Intelligence vragen en bouwstenen
21
Als voorbeeld vindt je hieronder de ‘Collective Intelligence Genome’ voor Facebook.
Figuur 6: Collective Intelligence Genome’ toegepast op Facebook
In figuur zes het gebruikers proces kort uitgewerkt om een beeld te schetsen over hoe dit framework precies werkt. Het framework is te gebruiken bij verschillende processen binnen een bepaalde organisatie. Hierdoor is het toepasbaar voor ieder type organisatie. What? De eerste vraag die beantwoordt dient te worden voor elke activiteit is wat er gedaan wordt en welk doel wordt beoogd. In traditionele organisaties is het antwoord op deze vraag veelal belegd in de missie of het doel van de organisatie. De ‘wat’ wordt onderverdeeld in twee basis genen: • •
Create: in dit gen, wordt iets nieuw gemaakt door de acteurs in het systeem, dit kan van alles zijn, van een stuk software code tot input voor een blog. Decide: in dit gen evalueren en selecteren de acteurs het gecreëerde. De beslissing kan zijn een nieuwe module op te nemen in een volgende release van Linux of het verwijderen van een content op Facebook.
Door het identificeren van de basis doelen wordt bepaald met welke van deze twee genen gestart dient te worden. Het ‘Create’ en ‘Decide’ gen zijn bijna altijd gekoppeld aan elkaar, dit omdat als iets gecreëerd wordt er besloten dient te worden wat er gaat gebeuren met het gecreëerde. Who? De volgende vraag die beantwoordt dient te worden is wie deze activiteit uit dient te voeren. Onder de ‘Who’ vallen de twee basis genen ‘Hierarchy’ en ‘Crowd’:
22
•
Hierarchy: in traditionele hiërarchische organisaties krijgt een persoon of een groep een taak toegewezen die uitgevoerd dient te worden. In het Facebook voorbeeld is te zien dat de Facebook administrator het hiërarchie gen gebruikt om te beslissen of de content die gebruikers op de website plaatsen niet in strijd is met de regels die Facebook heeft opgesteld en hanteert.
•
Crowd: door het gebruik van de ‘Crowd’ gen kunnen activiteiten uitgevoerd worden door één ieder in een grote groep zonder dat dit opgelegd wordt door iemand in een hogere positie of autoriteit. Met Facebook als voorbeeld kunnen we aantonen dat iedereen zijn content mag posten op. Afhankelijkheid van het ‘Crowd’ gen is een centrale-eigenschap van web gebaseerde
collectieve intelligentie systemen. De belangrijkste reden om het ‘Crowd’ gen te gebruiken is dat hierdoor een grotere schaal mensen wordt bereikt dan anders mogelijk zou zijn geweest. Dit houdt in dat het ‘Crowd’ gen het meest bruikbaar is in situaties waarbij enerzijds veel mensen beschikken over de resources en vaardigheden om de activiteit uit te voeren of anderzijds als men van te voren weet wie over deze resources en vaardigheden beschikt. Als niet aan de condities voor het gebruik van de ‘Crowd’ gen wordt voldaan dient het ‘Hierarchy’ gen gebruikt te worden, waarbij iemand met bepaalde bevoegdheden en/of autoriteit aangeeft hoe gehandeld zal moeten worden. Vanuit een IT-audit perspectief zien wij een groot gat in perceptie tussen de gebruikers en de Sociale Media aanbieders. Het bewust zijn van gebruikers binnen Sociale Media en het schenden van privacy bij gebruik van deze diensten lijkt niet aanwezig. Een gemiddelde gebruiker is niet geneigd om na te denken over de mogelijke gevaren van het gebruik van Sociale Media. Aan de andere kant zien wij in praktijk dat Sociale Media aanbieders zich niet altijd strikt houden aan de privacy van haar gebruikers. De Europese privacy toezichthouders benadrukken dan ook de noodzaak van standaardinstellingen waarbij toegang tot de gebruikersprofielen en tot informatie over de contacten van gebruikers beperkt wordt tot de door de gebruiker zelf geselecteerde contacten. Elke vorm van verdergaande toegang, zoals door zoekmachines, zou alleen mogelijk moeten zijn op basis van een expliciete keuze van de gebruiker van de sociale netwerksite.
4.3 Sociale Media uitgelicht Volgens prof. dr. Edo Roos Lindgreen vormen de gebruikers van internetdiensten (sociale netwerken) een 26 veel grotere bedreiging voor de privacy dan de bedrijven die deze diensten aanbieden. Bepalend voor privacy is de kring waarbinnen gegevens worden verspreid en de mate waarin de betrokkene zelf in staat is om zijn gegevens te controleren en te beheren. Aan de hand van de bevindingen van de heer Lindgreen zullen hieronder de mobiele sociale netwerk applicatie WhatsApp en de sociale netwerksites Facebook en Twitter worden uitgelicht.
Figuur 7: De uiteenzetting volgens prof. dr. Edo Roos Lindgreen
26
IT Auditor 2011 uitgave 2
23
Allereerst zullen de facetten van verspreiding en controle tegen elkaar worden afgezet in een overzicht met vier vlakken. Het vlak rechtsboven is de oncontroleerbare openbare ruimte, waarin persoonlijke gegevens volledig openbaar zijn en nauwelijks door betrokkenen zelf te beïnvloeden zijn.
4.3.1 WhatsApp Vroeger stuurden gebruikers van mobiele telefonie elkaar elektronische berichten via het mobiele netwerk. Vervolgens stapten Smartphone gebruikers over op het verzenden van mobiele berichten via een vaste databundel en tegenwoordig wordt er massaal gebruik gemaakt van applicaties zoals WhatsApp. WhatsApp is een Amerikaanse smartphone applicatie welke via het internet communiceert. WhatsApp kan door alle smartphone gebruikers gratis worden gedownload via de mobiele webbrowser om hiermee vervolgens ‘kosteloos’ berichten te versturen. De gebruiker hoeft naast de vaste kosten voor zijn databundel niet nog eens apart hoeft te betalen voor de verzonden tekstberichten. Lettend op de gebruikersvoorwaarden en het privacy statement van WhatsApp zien we dat de applicatie ons wel degelijk meer kost dan alleen het verbruik van onze databundel. Het kost de gebruiker namelijk het recht om over de verspreiding van zijn identiteitsgegevens te beslissen. Tijdens het lezen van de gebruikersovereenkomst wordt men aanvankelijk gerust gesteld met de woorden: "We do not use your phone number or email address or other personally identifiable information to send commercial or marketing messages without your consent or except as part of a specific program or feature for which you will have the ability to opt-in or opt-out." De aanbieder, WhatsApp, geeft vervolgens wel aan dat zij op verschillende manieren gegevens over de gebruiker verzameld onder andere voor marketing doeleinden. Indiende gebruiker het geen probleem vindt om persoonlijke gegevens met deze partij te delen is hier uiteraard niets mis mee. Wat de nonAmerikaanse gebruiker echter ontgaat, is dat de gebruikersovereenkomst conform het Amerikaans recht behandeld wordt en dat de WhatsApp reglementen van rechtswege gelden voor gebruikers binnen de Verenigde Staten. "The WhatsApp Sites and Services are hosted in the United States and are intended for and directed to Users in the United States. If you are a User accessing the WhatsApp Sites and Services from the European Union (...) you are transferring your personal information to the United States and you consent to that transfer." Dat de gebruiker zelf besluit gegevens openbaar te maken of deze te delen met een partij in de Verenigde Staten is natuurlijk volledig vrij. Gebruikers dienen echter wel te beseffen dat WhatsApp ook gebruik maakt van de gegevens in het adresboek. "If another WhatsApp Services User has your phone number stored in their Address Book, they will be able see your status information." WhatsApp kan deze match alleen bewerkstelligen mits zij in het bezit is vaneen kopie van de contactpersonen van alle aangesloten gebruikers van haar dienst. Zonder deze gegevens is het niet mogelijk om te controleren of iemand een WhatsApp gebruiker is. Door deze aanpak komt de privacy van een individu nog explicieter in handen van derden. In de praktijk zal namelijk niemand zijn contacten vragen om het telefoonnummer te verwijderen zodoende te voorkomen dat een applicatie zoals WhatsApp toegang krijgt tot zijn of haar persoonsgegevens. WhatsApp bied geen mogelijkheid om individuele contactpersonen te beschermen. In feite wordt door de applicatie volledige toegang tot de contactgegevens gegeven ongeacht of de applicatie wel of niet gebruikt wordt. Al met al leidt dit massaal tot het opgeven van privacy door de gebruiker zelf en het vergeven van privacy van hun contacten om toegang te krijgen tot een op het oog gratis en privacy waardige applicatie. Iemand die waarde hecht aan zijn privacy zal zichzelf feitelijk in een sociaal isolement moeten plaatsen om deze te kunnen beschermen. 24
Figuur 8: Visuele weergave kopiëren adresboek door WhatsApp WhatsApp wijst de toekomstige gebruikers doormiddel van de gebruikersovereenkomst op het feit dat de termen en condities die verbonden zijn aan deze dienst juridisch gelden voor gebruik binnen Amerika. Aan de andere kant kan van consumenten echter niet worden verwacht dat zij alvorens privacy gevoelige gegevens over hun contacten te delen WhatsApp zullen benaderen omtrent afspraken over de bescherming van persoonsgegevens. De Wbp geeft aan niet van toepassing te zijn bij gegevens voor persoonlijk gebruik. De Wbp is niet van toepassing op de verwerking van persoonsgegevens voor persoonlijk of huiselijk gebruik. Persoonlijke mobiel met adressenlijsten en telefoonnummers vallen niet onder de Wbp. Dit geldt ook als deze gegevens worden bewaard op een computer. Dit lezende zou de Wbp niet van toepassing zijn bij een aanbieder die dezelfde diensten levert als WhatsApp. Indien WhatsApp op een zakelijk toestel is geïnstalleerd en hierdoor ook de gegevens van deze zakelijke contacten tot haar beschikking heeft dan is de Wbp wel van toepassing. Hier zien we dat zakelijk en privé bij Sociale Media door elkaar kunnen lopen.
4.3.2 Facebook Facebook wordt gedreven door een uniek doel. Haar doel is niet om meer gebruikers te werven of meer pageviews te genereren. Facebook haar doel is om de sociale laag te worden die toegang biedt tot elk deel van het internet en deze met elkaar verbindt binnen Facebook. Op 22 september jongsleden heeft Facebook haar bedrijven F8 ontwikkelaars conferentie gehouden in San Francisco. Tijdens deze conferentie is duidelijk geworden dat Facebook een grote stap heeft gezet tot het integreren van meerdere diensten binnen Facebook. Tijdens deze conferentie hebben nieuwe ontwikkelingen en applicaties binnen Facebook de revue gepasseerd. Facebook heeft aangegeven naast de nieuwe applicaties, hier na te noemen features, zoals muziek diensten, mobiele applicaties en video sharing, de profielen ook een volledig nieuwe make-over krijgen waardoor een nieuwe dimensie sociale netwerk zal ontstaan. Tijdens deze F8 conferentie is ook gebleken dat Facebook 800 miljoen actieve gebruikers heeft. Dit aantal is gebaseerd op gebruikers die de laatste 30 dagen hebben ingelogd. Facebook is in de loop der jaren bezig geweest om haar gebruikers te binden. De gebruikers moeten verslaafd zijn aan Facebook en er niet alleen maar kijken omdat vrienden dat doen. Om op de emotie van gebruikers in te spelen zijn zogenaamde trust cirkels ontstaan waarin de gebruiker mensen in 25
groepen kan delen die dicht bij hen staan om alleen informatie te delen met de mensen die op basis van deze groepen zijn bedeeld. Een van de nieuwe applicaties binnen Facebook heet ‘Timeline’. Facebook voegt automatisch foto’s, status updates, locatie gegevens en elke gepost bericht toe aan deze Timeline. De bedoeling van de Timeline is om terug in de tijd te kunnen. Een status die gewijzigd wordt door een gebruiker overschrijft dan niet meer de huidige status maar wordt in de tijd geplaatst. Ook zal Facebook met de lancering van Facebook Open Graph volledig transformeren naar werelds grootste sociaal netwerk. Facebook Open Graph geeft ontwikkelaars onder andere de mogelijkheid om applicaties te bouwen waarin gebruikers hun bezigheden kunnen aangeven. Deze bezigheden komen niet op het ‘prikbord; welk verbonden is aan het gebruikersprofiel, maar in een speciale sectie. Verder kunnen applicaties gebouwd worden in de categorieën communicatie, spelletjes, media en lifestyle. Facebook zal bij elke applicatie die geleverd worden duidelijk uitleggen wat de applicatie doet en zal de gebruiker vragen hiermee in te stemmen. Facebook gaat geschiedenis schrijven door het gebruik van Open Graph doordat nog geen enkele sociale netwerk tot nu toe op zo een grote schaal werkt op basis van passief delen of te wel passive sharing. Als een gebruiker eenmaal instemt, zal alles wat deze gebruiker doet door de applicatie geplaatst worden op Facebook. Er zal niet meer gevraagd worden of de gebruiker dit op het prikbord wil plaatsen. Ter verduidelijking van de werking van ‘passive sharing’ zal bij de online aanschaf van een paar nieuwe Nike gympen een melding verschijnen op Facebook waarop staat dat de desbetreffende gebruiker Nike gympen heeft gekocht. En als een gebruiker online favoriete recepten bekijkt en een recept download, zal dit recept op Facebook verschijnen. Facebook Open Graph en de hieraan gekoppelde passive sharing zorgt ervoor dat uiteindelijk alle online handelingen op Facebook gepost kunnen worden. Deze uitwisseling van gegevens wordt in de nieuwe Facebook API 27 doormiddel van scripts en codes mogelijk dat interactie plaats vindt met andere programma’s. Door de nieuwe Facebook API wordt bijvoorbeeld sites die jij bezoekt of onderwerpen die gegoogled worden gepost op Facebook. Vanuit het privacy aspect is dit uitermate onwenselijk. Er wordt ook niet meer expliciet gevraagd of de gebruiker deze informatie publiekelijk wil delen. Dit nieuwe systeem kan dus ongewenst, zonder instemming of zelfs zonder de wetenschap van de gebruiker informatie delen op Facebook. Facebook stelt dat gebruikers moeten uitloggen om dit te voorkomen. Uit de analyse van hacker Nick Cubrilovic is echter gebleken dat het privacy advies om uit te loggen van Facebook in de praktijk weinig waard is. De sociale-netwerksite zou nog steeds het surfgedrag van zijn gebruikers in kaart kunnen brengen doordat een aantal cookies niet worden gewist, waaronder een cookie met een unieke gebruikers-id. Zo blijven cookies informatie over bezochte webpagina's doorsturen naar facebook.com op elke website waar een like- of share-button van Facebook is geplaatst, ook al is de gebruiker uitgelogd. Naar aanleiding van de gezamenlijke privacy bewakers van Noorwegen, Zweden, Finland, Denemarken en nog wat kleinere staten in Noord Europa is eerder dit jaar nog een serie kritische vragen gericht aan Facebook over gebrek aan mogelijkheden voor geheimhouding van persoonsgegevens. De kern was: het is niet helder, het is complex en alles is standaard veel te open ingesteld. De Noorse privacy waakhond leidde de actie met het oog op de publicatie ‘Social Network Services and Privacy- a case study of Facebook’. De belangrijkste vraag was in hoeverre Facebook informatie die alleen is bedoeld voor vrienden wel gebruikt voor reclame. Het antwoord is bevestigend: de inhoud van uitingen kan Facebook gebruiken voor reclame- of andere promotionele producten, zoals gerichte reclame. Schrijf je over ‘windsurfen’ dan kun je reclame over surfplanken krijgen. Met de kennis dat 800 miljoen mensen op Facebook actief zijn, Facebook een “laag” wil worden dat toegang biedt tot alle diensten op het internet en deze met elkaar en doormiddel van applicaties binnen Facebook de bezochte websites van gebruikers doorstuurt naar Facebook ten behoeve van
27
Een application programming interface (API) is een verzameling definities op basis waarvan een computerprogramma kan communiceren met een ander programma of onderdeel. 26
advertenties kan gesteld worden dat wijzelf als burger, geholpen door de hedendaagse technologie, de grootste bedreiging vormen wat betreft onze privacy. Facebook heeft tegen de privacy waakhonden van de Scandinavische landen verklaard dat de besloten profielen en uitingen van klanten op Facebook inderdaad dienen voor de reclamemachine van het sociale net. Gelet op bovenstaande kan niet anders worden gesteld dan dat de ontwikkeling van sociale netwerken blijft met de privacy van gebruikers. Een belangrijk verschil tussen de hierboven uitgelichte applicaties van WhatsApp en Facebook is dat de gebruiker bij Facebook zelf kan kiezen om wel of niet te anticiperen. Bij WhatsApp leidt het gebruik van deze applicatie ertoe dat ook de contacten van de gebruiker deelgenoot wordt zonder enige zeggenschap hierin en wetenschap hiervan. Hier kan dan ook worden gesteld dat de burger zelf, geholpen door de hedendaagse technologie, de grootste bedreiging vormt voor haar eigen privacy.
4.3.3 Twitter Twitter is een Sociale Media dienst waarbij doormiddel van microblogging gebruikers korte berichten kunnen publiceren van maximaal 140 tekens. Twitter wordt steeds vaker door bedrijven ingezet als marketing tool. Twitter kan gebruikt worden om makkelijk contact met de doelgroep te onderhouden en 28 naamsbekendheid te verkrijgen. Het gebruik van de Twitter-dienst is gratis. De gebruikers geven de firma Twitter waardevolle informatie over zichzelf, hun bezigheden, hun gewoontes en hun sociale netwerk. Deze informatie is deel van de activa van de firma en is zonder meer verhandelbaar. Google heeft in 2009 belangstelling getoond in 29 Twitter. Tussen de twee bedrijven zouden gesprekken over een overname of een samenwerking plaatsvinden. De interesse van Google ligt in het feit dat de zoekmachine van Twister resultaten toont van het heden in tegenstelling tot de zoekresultaten van Google die altijd geïndexeerde resultaten toont met enige vertraging. Op 1 maart 2012 heeft Reuters bericht dat twee onderzoeksbedrijven een licentie hebben gekocht van Twitter om de in databases opgeslagen berichten en algemene informatie over gebruikers te 30 analyseren. Uit de berichtgeving wordt duidelijk dat al 700 bedrijven staan te wachten om gegevens te kopen. Dit is een nieuwe ontwikkeling. Zoals eerder aangegeven is privacy meer dan privé gegevens privé houden. Het zelf kunnen bepalen welke informatie je met wie deelt en het van te voren weten en instemmen voor welke doeleinden jouw gegevens worden gebruikt. Het openbaar toegankelijk zijn van de tweets is dan ook wat anders dan toegankelijk te zijn voor datamining. Daarbij komt dat de gegevens die verkocht worden voor datamining veel verder terug gaan dan de gebruiker zelf zijn geplaatste berichten in kan zien.
28
http://www.bedrijfstwitter.nl/ http://techcrunch.com/2009/04/02/sources-google-in-late-stage-talks-to-buy-twitter/ 30 http://www.reuters.com/article/2012/03/01/us-twitter-data-idUSTRE8201IU20120301 29
27
5. Van privacy naar informatiebeveiliging Bij gebruik van Sociale Media is het van belang dat specifieke gebruikersgegevens beschikbaar zijn. Daarnaast dient de informatie die beschikbaar wordt gesteld integer te zijn. Ten slotte dient de informatie die beschikbaar wordt gesteld vertrouwelijk te worden gebruikt en bewaard. Afhankelijk van het type Sociale Media dienst, zal de nadruk in meer of mindere mate op één van deze aspecten liggen. Echter geldt bij alle typen Sociale Media dat de integriteit en vertrouwelijkheid van de informatie gegarandeerd dient te zijn. Naar aanleiding van de bevindingen die wij in de theorie hebben waargenomen over de Wbp en het gebruik van Sociale Media, stellen we vast dat de Wbp niet voldoende waarborgen biedt voor het gebruik van Sociale Media in bedrijfscontext. Dit omdat het als organisatie bijna onmogelijk is om specifieke eisen neer te leggen bij de aanbieder in het kader van informatiebeveiliging. In theorie zou een Third Party Memorandum (TPM) bij de aanbieder een uitkomst kunnen bieden voor aanvullende zekerheid. In de praktijk zien we echter dat dit er niet is en dient de gebruiker van Sociale Media zich maar aan te passen aan de regels van de aanbieder. Zo wordt gesteld dat het immers een gratis dienst blijft die men afneemt en er spelen tegengestelde belangen tussen de aanbieder en de gebruiker. Een andere problematiek is de plaats waarvandaan Sociale Media aanbieders opereren, vaak bezitten de Sociale Media aanbieders geen Nederlandse vestiging waardoor het heel lastig is om hen te wijzen op de hantering van de Wbp. Tot slot een laatste maar belangrijk probleem is het feit dat de Wbp ons niet beschermt tegen bedrijfsgegevens maar alleen tegen persoonsgegevens. Mocht er iemand iets publiceren over het bedrijf waar hij of zij werkt op Sociale Media dan kan er vanuit de Wbp niets gedaan worden behalve iemand ontslaan. Daarom denken wij dat het vanuit de organisatie wenselijk is om aanvullende maatregelen te treffen bij het gebruik van Sociale Media in bedrijfscontext. Specifiek in het kader van het beveiligen van persoons- en bedrijfsgegevens. Om deze aanvullende maatregelen handen en voeten te geven hebben wij, op basis van ons theoretisch onderzoek de eisen die het CBP in 2001 heeft opgesteld met betrekking tot de beveiliging van persoonsgegevens 31 vergeleken met de normen vanuit de NEN-ISO/IEC 27001. Op basis hiervan hebben wij geprobeerd een normenkader te creëren die deze aanvullende maatregelen zou kunnen bewerkstelligen voor de organisatie. De eisen die het CBP heeft opgesteld zijn ingedeeld in veertien categorieën, te weten:
1. Beveiligingsbeleid, beveiligingsplan en implementatie van het stelsel van procedures en maatregelen 2. Administratieve organisatie 3. Beveiligingsbewustzijn 4. Eisen te stellen aan personeel 5. Inrichting van de werkplek 6. Beheer en classificatie van de ICT infrastructuur 7. Toegangsbeheer en –controle 8. Netwerken en externe verbindingen 9. Gebruik van software 10. Bulkverwerking van gegevens 11. Bewaren van gegevens
31
http://www.cbpweb.nl/downloads_av/av23.pdf
28
12. Vernietiging van gegevens 13. Calamiteitenplan 14. Uitbesteding van verwerking van persoonsgegevens
Het CBP hanteert in de studie AV23 een zogenaamde risicoklasse. Verwerkingen van persoonsgegevens met een vergelijkbaar risico worden in eenzelfde klasse ingedeeld. De opgegeven normen voor beveiliging dienen als (minimaal) uitgangspunt voor de te nemen maatregelen. De feitelijk te bepalen specifieke maatregelen moeten worden afgeleid uit de voor die klasse gedefinieerde eisen voor beveiligingsmaatregelen. Gezien het gegeven dat in deze studie het accent wordt gelegd op het kwaliteitsaspect exclusiviteit, hebben de beschreven maatregelen primair betrekking op dit aspect. De andere kwaliteitsaspecten zijn min of meer vanzelfsprekend omdat ervan uit wordt gegaan dat deze in het kader van goed huisvaderschap noodzakelijk zijn. Er wordt daarbij gewerkt vanuit vier ‘risicoklassen’. De opbouw van de risicoklassen is cumulatief: hogere klassen geven additionele normen aan die passen bij die hogere risicoklasse:
• Risicoklasse 0 publiek niveau; • Risicoklasse I basis niveau; • Risicoklasse II verhoogd risico; • Risicoklasse III hoog risico.
De verantwoordelijke maakt een afweging in welke risicoklasse de gegevens vallen. In alle gevallen moet de verantwoordelijke op grond van een grondige analyse kiezen voor een bepaalde risicoklasse en het daarbij behorende beveiligingsniveau. Deze analyse moet toetsbaar zijn en hierover moet verantwoording kunnen worden afgelegd. Hieronder worden de risicoklassen nader toegelicht. Risicoklasse 0: Publiek niveau Het gaat hier om openbare persoonsgegevens. In deze klasse zijn persoonsgegevens opgenomen waarvan algemeen aanvaard is dat deze, bij het beoogde gebruik, geen risico opleveren voor de betrokkene. Voorbeelden hiervan zijn telefoonboeken, brochures, publieke internet sites etc. . Risicoklasse I: Basis niveau De risico’s voor de betrokkene bij verlies of onbevoegd of onzorgvuldig gebruik van de persoonsgegevens zijn zodanig dat standaard (informatie)beveiligingsmaatregelen toereikend zijn. Bij verwerkingen van persoonsgegevens in deze klasse gaat het meestal om een beperkt aantal persoonsgegevens dat betrekking heeft op bijvoorbeeld lidmaatschappen, arbeidsrelaties, klantrelaties Risicoklasse II: Verhoogd risico De uitkomst van de analyse toont aan dat er extra negatieve gevolgen bestaan voor de betrokkene bij verlies, onbehoorlijke of onzorgvuldige verwerking van de persoonsgegevens. De te nemen (informatie)beveiligingsmaatregelen moeten voldoen aan hogere normen dan die gelden voor het basis niveau. In deze klasse passen bijvoorbeeld verwerkingen van persoonsgegevens die voldoen aan een van de hieronder gegeven beschrijvingen: 1. De verwerkingen van bijzondere persoonsgegevens zoals bedoeld in artikel 16 WBP; 2. De verwerking in het bank- en verzekeringswezen van gegevens over de persoonlijke of economische situatie van een betrokkene; 3. De gegevens die bij handelsinformatiebureaus worden verwerkt ten behoeve van kredietinformatie of schuldsanering; 29
4. De gegevens die worden verwerkt hebben betrekking op de gehele of grote delen van de bevolking (de impact van op zich onschuldige gegevens over een groot aantal betrokkene); 5. Alle verwerkingen van persoonsgegevens die met het bovenstaande vergelijkbaar zijn. Risicoklasse III: Hoog risico Bij verwerking van meerdere verzamelingen van bijzondere persoonsgegevens kan het resultaat van deze verwerking een dermate vergroot risico voor de betrokkene opleveren dat het gerechtvaardigd is deze verwerking van persoonsgegevens in risicoklasse III te plaatsen. De maatregelen die voor de beveiliging van dergelijke persoonsgegevens moeten worden genomen, moeten voldoen aan de hoogste normen.
Figuur 8: Dit model illustreert de gegeven tekst voor het bepalen van de risicoklasse die van toepassing is op een verwerking van persoonsgegevens en is opgesteld in de AV23 studie
Aan de bepaling van de risicoklasse van persoonsgegevens dient altijd een analyse vooraf te gaan. Op basis van ons theoretisch kader hebben wij Sociale Media ingeschaald in risicoklasse I of III, echter hebben wij naar aanleiding van de door ons afgenomen interviews vastgesteld dat de risicoklasse III van toepassing is op Sociale Media. Risicoklasse III is van toepassing indien er bijzondere persoonsgegevens zoals bedoeld in artikel 16 WBP worden verwerkt en als de omvang van de persoonsgegevens ‘veel’ is. Artikel 16 van de Wbp zegt het volgende: De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag 32 in verband met een opgelegd verbod naar aanleiding van dat gedrag. Op een Sociale Media platform zoals Facebook is het mogelijk gegevens zoals godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven etc. toe te voegen aan je profiel waardoor de gegevensverwerking automatisch in risicoklasse III terecht komt. Wel moeten wij aanmerken dat binnen Sociale Media deze gegevens op vrijwillige basis door de gebruiker worden ingevuld en niet verplicht zijn. Echter is dit geen vrijbrief voor de aanbieder van Sociale Media om conform de Wbp deze gegevens te verwerken, dit is namelijk verboden.
32
http://lexius.nl/wet-bescherming-persoonsgegevens/artikel16/
30
Wij hebben een normenkader opgesteld waarin wij bedrijven en haar medewerkers handvaten willen toereiken om zich bewust en veilig binnen Sociale Media te bewegen. Dit normenkader is afgeleid van de Code voor Informatiebeveiliging. code is ontstaan als Britisch Standards 7799 en is een internationale standaard voor informatiebeveiliging binnen in organisaties. Het normenkader is opgesteld vanuit punt zes uit figuur twee “Beveiliging” (privacy beginselen) en is opgesplitst in de door het Cbp benoemde veertien secties. Ons normenkader bestaat uit een koppeling tussen de door het CBP gehanteerde categorieën voor het beschermen van persoonsgegevens en van de volgende acht hoofdstukken uit de Code voor informatiebeveiliging: 1. 2. 3. 4. 5. 6. 7. 8.
Beveiligingsbeleid Organisatie van informatiebeveiliging Beheer van bedrijfsmiddelen Beveiliging van personeel Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Bedrijfscontinuïteitsbeheer Naleving
AV 23 sectie beveiliging van persoonsgegevens
Hoofdstuk indeling code voor informatiebeveiliging
1. Beveiligingsbeleid, beveiligingsplan en implementatie van het stelsel van procedures en maatregelen
5. Beveiligingsbeleid
5.1 Informatiebeveiligingsbeleid
2. Administratieve organisatie 6. Organisatie van informatiebeveiliging
6.1 Interne organisatie
3. Beveiligingsbewustzijn
8. Beveiliging van personeel
8.2 Tijdens het dienstverband
4. Eisen te stellen aan personeel
8. Beveiliging van personeel
8.1 Voorafgaand aan het dienstverband 8.2 Tijdens het dienstverband 8.3 Beëindiging van verantwoordelijkheden
5. Inrichting van de werkplek
11. Toegangsbeveiliging
11.3 Gebruik van wachtwoorden
6. Beheer en classificatie van 7. Beheer van communicatie- en de ICT infrastructuur bedieningsprocessen
7.2 Classificatie van informatie
10. Beheer van bedrijfsmiddelen
10.1 Bedieningsprocedures en verantwoordelijkheden
6. Organisatie van informatiebeveiliging
6.2 Externe partijen
7. Toegangsbeheer en – controle
31
11. Toegangsbeveiliging
11.4 Toegangsbeheersing voor netwerken
6 .Organisatie van informatiebeveiliging
6.2 Externe partijen
10. Beheer van communicatie- en bedieningsprocessen
10.6 Beheer van netwerkbeveiliging
10. Beheer van communicatie- en bedieningsprocessen
10.2 Beheer van dienstverlening door een derde partij
15. Naleving
15.1 Naleving van wettelijke voorschriften
10. Bulkverwerking van gegevens
10. Beheer van communicatie- en bedieningsprocessen
10.2 Beheer van dienstverlening door een derde partij
11. Bewaren van gegevens
10. Beheer van communicatie- en bedieningsprocessen
10.5 Back-up
15. Naleving
15.1 Naleving van wettelijke voorschriften
8. Netwerken en externe verbindingen
9. Gebruik van software
12. Vernietiging van gegevens 10. Beheer van communicatie- en bedieningsprocessen
13. Calamiteitenplan
14. Uitbesteding van verwerking van persoonsgegevens
10.7 Behandeling van media
15. Naleving
15.1 Naleving van wettelijke voorschriften
6. Organisatie van informatiebeveiliging
6.2 Externe partijen
14. Bedrijfscontinuïteitsbeheer
14.1 Informatiebeveiligingsaspecten van bedrijfscontinuïteit
10. Beheer van communicatie- en bedieningsprocessen
10.2 Beheer van dienstverlening door een derde partij
Tabel 2: Koppeling uiteenzetting beveiliging vanuit AV23 met de Code voor Informatiebeveiliging
Dit normenkader dient inzicht te geven in de kwaliteitsaspecten exclusiviteit, integriteit en continuïteit. Daarnaast dient het ervoor de IT-auditor handvaten te geven voor het toetsen van privacy gegevens binnen Sociale Media. De kwaliteitsaspecten hebben verschillende wegingsfactoren gekregen op basis van het risico en de impact van privacy binnen Sociale Media. Op basis van het aantal toegekende punten aan de norm zijn de volgende normen uitgekomen, respectievelijk 0, 50 en 100 (0= niet aangetroffen, 50=informeel aanwezig en 100= maatregel conform normenkader). 32
6. Het toetsen van ons theoriekader in de praktijk Wij hebben de verzamelde en verwerkte stof in deze scriptie voorgelegd aan een vijf tal personen met verschillende achtergronden, het doel hiervan is om de inzichten die wij hebben opgedaan vanuit de theoretisch kader te verifiëren in de praktijk en vast te stellen hoe er vanuit bepaalde invalshoeken naar privacy binnen Sociale Media in bedrijfscontext wordt gekeken. Wij hebben ons samengesteld normenkader voorgelegd aan 2 IT-auditors (lees: I en II), 2 (IT) juristen (lees: III en IV) en een Security Officer (lees: V) om vast te stellen of een dergelijk normenkader dat opgebouwd is vanuit een van de basisprincipes van privacy in de praktijk inzetbaar is en/of er aspecten zijn die hierin ontbreken. Tevens hebben wij van de mogelijkheid gebruik gemaakt om een aantal aanvullende vragen te stellen. In onderstaand schema is inzichtelijk gemaakt welke onderwerpen de geïnterviewde zijn behandeld. De uitkomsten zijn uitgewerkt en toegelicht in de volgende paragrafen.
Geinterviewden I II III IV
Onderwerpen 1 2 3 4 5 6 7 8 9
Het begrip privacy De privacy beginselen Technologie en de Wbp Territoriale werking: Wbp versus Patriot Act
X X
X
X X X X
X X
X X X
X
X
X
X
X
X
X
X
De rol van het CBP Internationale (privacy) wetgeving Risico's Wbp en Sociale Media Sociale Media en beveiligingsbeleid
Bewustzijn van het personeel Verantwoordelijkheid gebruik bij Sociale Media binnen 10 bedrijfscontext Koppeling AV23 document en de Code voor 11 informatiebeveiliging Stelling: Grootste gevaar van je privacy bij Sociale 12 Media ben je zelf
X X X X X
X X X X X X X X
X
Tabel 3: Besproken punten per geïnterviewde Geïnterviewde I: Geïnterviewde II: Geïnterviewde III: Geïnterviewde IV:
IT-auditor bij extern kantoor IT-auditor bij extern kantoor IT-jurist/consultant Security officer bij een ziekenhuis
6.1 Het begrip privacy Tijdens de gesprekken wilden wij graag van een aantal geïnterviewde personen weten wat zijn onder het begrip privacy verstaan en welke betekenis zijn geven hieraan vanuit hun ervaring en vanuit hun vakgebied. Persoon III benadrukt dat hij onder het begrip privacy meer dan alleen de bescherming van persoonsgegevens verstaat. Informationele privacy vormt slechts een deel van het begrip privacy. Persoon IV vindt dat privacy in zijn algemeenheid het beschermen van de persoonlijke levenssfeer betreft. In de context van informatie technologie betekent privacy de bescherming van persoonsgegevens en dat niemand hiermee aan de haal mag gaan en dat ze deze gegevens niet zomaar mogen gebruiken voor 33
marketing doeleinden. Binnen een ziekenhuis zijn er 3 vormen van persoonsgegevens: 1) Die van de patiënt, waarbij deze waarschijnlijk de belangrijkste is. 2) Die van de medewerkers 3) Die van de studenten
6.2 De privacy beginselen In ons onderzoek wilden we graag wat meer informatie weten te achterhalen over de privacy beginselen waar de Wbp op gebaseerd is. De geïnterviewde persoon III geeft aan dat als je het over beginselen hebt dan heb je het over fundamentele grond beginselen. En dan is de bescherming van de persoonlijke levenssfeer een fundamenteel beginsel. Wat IT-auditors kwaliteit noemen wordt in de praktijk proportionaliteit genoemd. Je mag wel gegevens verzamelen maar dat hangt samen met de doelbinding. Je mag niet meer gegevens verzamelen dan als je je doel kunt bereiken met minder en dat wordt proportionaliteit genoemd. Er staan letterlijk een aantal opmerkingen in de wet die over kwaliteit en de integriteit van de gegevens gaan. Dat je een kopje kwaliteit hebt lijkt mij niet gek. Niet bovenmatige valt meer onder het tabje proportionaliteit en die is veel meer gerelateerd aan de doelbinding. Gegevens verlies, verloren gaan van gegevens kan ook al een inbreuk zijn op de Wbp. IT-ers kunnen niet veel met begrippen als proportionaliteit.
6.3 Technologie en de Wbp Bij het stellen van de vraag over de Wbp in relatie tot de steeds veranderende technologie en met de komst van Sociale Media antwoordde de geïnterviewde persoon I dat technologie, met name Sociale Media een enorme sociale impact heeft en dat wetgeving zoals de Wbp hierin achterloopt en niet echt faciliterend is. Terwijl wetgeving juist zekerheid zou moeten geven aan mensen om innovatie te stimuleren beperkt dit juist dingen. Dit betekent dus niet dat persoon I vindt dat er blind op Facebook vertrouwd zou moeten worden, maar er zou getracht moeten worden om een wereldwijd wetgeving te creëren. Juristen hebben vaak de neiging om wetgeving ingewikkeld te maken. Daarentegen heeft de geïnterviewde persoon II een andere mening hierin hij is van mening dat de wet niet achter loopt op de technologie. Volgens persoon II zegt de wet dat je passende maatregelen moet nemen. Daarbij dient er rekening gehouden te worden met het soort organisatie en de grootte ervan. Anderzijds geeft de Wbp aan volgens persoon II dat er gekeken dient te worden naar de techniek van dit moment. Er dient rekening gehouden te worden met wat passend is naar technische maatstaven van dit moment. De geïnterviewde persoon III antwoord op de vraag dat waar iedereen mee worstelt de vertaling van de principes uit artikel 13 van de Wbp naar de dagelijkse praktijk is. Dit is technologie onafhankelijk gemaakt maar zo technologie onafhankelijk dat de techneuten zelf er niets mee kunnen en er dus ook niets mee doen in de praktijk. De geïnterviewde persoon IV zegt dat de Wbp op een aantal punten verouderd is. Er zijn ook principes van de Wbp die niet van de grond komen. Een hiervan is dat gegevensverwerking gemeld moet worden bij het CBP, tenzij er een functionaris gegevensbescherming in de organisatie aanwezig is. Juristen denken vaak dit ervoor zorgt dat het CBP kan monitoren wat voor registraties er plaatsvinden. De bedoeling van het CBP in deze is de burger terug informeren waar er gegevensverwerkingen plaatsvindt en het doel ervan zodat je voor jezelf kunt nagaan of er een kans bestaat dat jou gegevens hiertussen zitten. Het is dus transparantie naar de burger toe. Daarnaast dien je thuis te zijn in de materie, geen enkele wet leest als een roman.
34
6.4 Territoriale werking: Wbp versus Patriot Act De Wbp is gericht op Nederland en de Europese landsgrenzen, maar het merendeel van de Sociale Media organisaties zijn afkomstig uit de Verenigde Staten. Vandaar dat deze problematiek, zeker met de komst van de Amerikaanse Patriot Act aan de geïnterviewde voorgelegd is. Persoon I antwoordde hierop dat op grond van de Patriot Act de keuze voor een Amerikaanse Cloud Computing provider voor Europese klanten een risico, aangezien de gegevens en databases van die klanten ook door de Amerikaanse overheid opgevraagd kunnen worden. Persoon III geeft aan dat de Territoriale werking een 33 wespennest is, het nieuwe voorstel van Viviane Reding doet daar een uitspraak over. In de huidige setting vanuit de Wbp is dat een verwerker een vestiging in Nederland dient te hebben. Er ligt een voorstel in Brussel, een opvolgende richtlijn. Hierin staat als gegevens betrekking hebben op Europese burgers valt dat onder jurisdictie van de Europese Unie. Dit voorstel is met name niet goed gevallen in de VS. Persoon IV zegt dat de Patriot Act als doel heeft meer mogelijkheden te geven aan de Amerikaanse overheid om informatie te vergaren over en op te treden in geval van mogelijk terrorisme. Het is een directe reactie op de aanslagen op 11 september 2001, en een middel in de Amerikaanse oorlog tegen het terrorisme. Een van de financiers van Facebook is de Amerikaanse National Security Agency (NSA) en Google werkt samen met de NSA.
6.5 De rol van het CBP Naar aanleiding van de berichtgevingen omtrend de (nieuwe) rol van het CBP wilden wij weten wat een aantal van de geïnterviewde wisten en wat ze ervan vonden. Persoon III gaf aan dat het algemeen beeld is dat bedrijven zich heel matig houden aan de Wbp. Er staan heel weinig sancties tegenover vanuit het CBP. Persoon IV zegt hierover dat het CBP niet meer bereikbaar is voor advies, ze hebben slechts een handhavende rol en geen adviserende rol. Het zou goed zijn als het CBP hogere boetes zou mogen geven en tijd en mankracht zou hebben om met bedrijven in dialoog te gaan die orde op zaken willen stellen maar niet weten hoe. Het CBP zou goed doen om meer naar buiten te treden.
6.6 Internationale privacy wetgeving Op de vraag wat de geïnterviewde vinden van de huidige wetgeving en welke veranderingen er zouden moeten zijn bij sociale media in het kader Europa (privacy) wetgeving en wereldwijde wetgeving. Antwoordde persoon I dat er gestreefd moet worden om een internationale internet wetgeving te realiseren in plaats van het lokaal op te willen oplossen. In Cloud oplossingen is het moeilijk te achterhalen waar precies de data van Sociale Media wordt opgeslagen en verwerkt. Bij het versturen van een email naar China via Gmail zorgt ervoor dat de gegevens ook in China staan. Hoe zorg ik ervoor dat China zich houdt aan de Europese regelgeving? Wie is hier verantwoordelijk voor? Dit is niet altijd even duidelijk. Persoon II antwoordde dat om privacy bij Sociale Media goed aan te pakken er internationale wet en regelgeving noodzakelijk is. Facebook draagt in hun statement echt uit dat privacy hoog in het vaandel staat maar geeft ook aan dat zij geld verdienen met de gegevens die zij in hun handen hebben. Persoon IV antwoordde dat binnen de Europese wetgeving geen grote verschillen zouden moeten zijn, de Wbp is afgeleid van de Europese privacy wet.
6.7 Risico’s gebruik van Sociale Media binnen bedrijfscontext Bij de vraag welke risico’s het grootst zijn bij het gebruik van Sociale Media antwoordde persoon I, er zijn meerdere risico’s te benoemen. 1 risico’ s betreft het zo genoemde identity theft waarbij iemand anders
33
http://www.nrc.nl/nieuws/2012/01/25/eu-stelt-nieuwe-privacyregels-op-internet-voor/
35
een fake account aanmaakt en gebruikt en zich voordoet als iemand anders en allerlei informatie gaat rondsturen. Er is wel wat wetgeving over maar de vraag is of je dit kunt voorkomen en of je kunt achterhalen wie dit doet. Een ander risico is als een Facebook of google wordt gehackt of uit de lucht wordt gehaald, de impact van zoiets zou enorm kunnen zijn. Persoon III antwoordde dat Sociale Media aanbieders grote partijen zijn met generieke diensten. Een risico is dat mensen hun persoonlijke en zakelijke sfeer vermengt worden bij het gebruik van Sociale Media. Grootste risico hiervan voor organisaties is het oplopen van imago schade. Persoon IV antwoordde dat sociale media diensten veelal gratis diensten zijn en dat deze bedrijven hun geld op een of andere manier moeten verdienen. Met Cloud diensten wordt het moeilijk omdat je veelal niet weet waar de gegevens opgeslagen zijn en of de aanbieder een vestiging in Nederland of de EU heeft.
6.8 Sociale Media en beveiligingsbeleid Op de vraag of Sociale Media gebruik onderdeel zou moeten zijn van het beveiligingsbeleid bij organisaties antwoordde persoon I dat hij veel bedrijven dit wel steeds meer ziet doen dit om ervoor te zorgen dat personen geen vreemde uitingen gaan doen. Wat ook een issue is wat veel in de praktijk voorkomt is dat mensen door middel van Sociale Media gehackt worden door malware en het bedrijfsnetwerk binnendringen. Vaak zijn het richtlijnen die gebaseerd zijn op het common sense Persoon II antwoordde dat gebruikers toch al op Sociale Media zitten, als werkgever dient nagedacht te worden hoe de medewerkers over de organisatie op Sociale Media inspelen en melden. Men kan niet tegen houden dat mensen privé dingen plaatsen op Sociale Media. Maar er dient wel aangeven te worden welke uitlatingen wel of niet over hun werksituatie en klanten gedaan mogen worden. Er moet voor worden gezorgd dat er een beleid geformuleerd wordt en dat het uitgedragen wordt door de organisatie. Persoon III antwoordde dat men het gebruik van Sociale Media dient op te nemen in het beleid. Als er dan iets over vermeld staat en dat ook uitdraagt kan er achteraf geen discussie mogelijk zijn. Persoon IV antwoordde dat er wel iets over Sociale Media opgenomen dient te worden: gebruik het gezonde verstand hiervoor.
6.9 Bewustzijn van het personeel Op de vraag of het personeel bewust gemaakt zou moeten worden op de gevaren van het gebruik van Sociale Media antwoordde persoon I dat bewustwording bij gebruik van Sociale Media niet anders is dan het gebruik van internet in het algemeen. In bedrijfscontext wordt er weleens awareness gecreëerd door middel van berichten die dan op de pc verschijnen zoals kijk uit dat je niet naar vreemde sites gaat of druk niet op vreemde links. Persoon II antwoordde dat de organisatie dient te onderkennen dat men niet weet hoe er met gegevens op sociale media zoals Facebook wordt omgegaan. Binnen je organisatie dien je daarom afspraken te maken door bijvoorbeeld sociale media gebruik op te nemen in een beveiligingsbeleid en met awareness van je personeel bezig te zijn. Persoon III antwoordde dat awareness van het personeel zorgdraagt om het risico van imagoschade te verkleinen. Persoon IV antwoordde hierop als organisatie met je je eigen gebruikers en medewerkers voorlichten en opvoeden in het gebruik van Sociale Media.
6.10 Verantwoordelijkheid bij gebruik Sociale Media binnen bedrijfscontext Op de vraag hoe het zit met de verantwoordelijkheid bij het gebruik van Sociale Media in bedrijfscontext antwoordde persoon II dat mensen normaliter gebruik maken van Sociale Media op hun werkplek, binnen werktijd. Men zal bewust moeten zijn dat je privacy binnen Sociale Media niet gewaarborgd is, het is immers een gratis dienst. Gmail geeft zelf aan dat het een gratis dienst is en neemt geen verantwoordelijkheid als hier iets in mis gaat. Neem je de betaalde versie dan worden er wel zekerheden verschaft. Men gaat in zee met een gratis dienst en men moet dus extra bewust zijn van wat men plaatst. Persoon III antwoordde dat hij niet ziet dat mensen vanuit hun functie zich op Sociale Media bevinden als 36
spreekbuis van een bedrijf. Als er vanuit een bedrijfsaccount zaken wereldkundig worden gemaakt dan zit hier toch veelal de PR afdeling achter. Bij het posten van bijzondere gegevens staat in de Wbp dat er nadrukkelijk toestemming van de betrokkenen moet zijn. Die nadrukkelijke toestemming gaan wij juristen wat van vinden. Dan nog denkt persoon III dat met de uiteindelijk handhaving operatie als blijkt dat de betrokkenen zelf diegene is geweest die die gegevens op Facebook heeft gezet dan nog kun je stellen dat betrokkene en verantwoordelijke samenvallen. Bij het zelf plaatsen van gegevens in het fictieve voorbeeld is men zelf de verantwoordelijke en de partij die de classificatie had moeten toepassen en de passende en technische maatregelen had moeten vergen van Facebook. De partij die onrechtmatig bezig is tegen de betrokkene is de betrokkene zelf. Het wordt anders dat als jij iets over je ex meldt, dit betreft namelijk iemand anders. Een ander voorbeeld is een bekende die HIV positief is.
6.11 Koppeling AV23 document en de Code voor informatiebeveiliging Op de vraag wat de geïnterviewde vinden van de koppeling van het AV23 document van het Cbp en de code voor informatiebeveiliging antwoordde persoon I dat inhoudelijk deze vraag het beste aan een jurist gesteld kan worden. Zelf is hij geen voorstander van een checklist methode van normenkaders omdat vaak het boeren verstand nog altijd het beste werkt. Echter bedrijven die totaal niks hebben kan een normenkader zoals Code van Informatiebeveiliging een goed begin zijn. Persoon II antwoordde dat de Code voor informatiebeveiliging onvoldoende is gebleken, zie het Diginotar dossier. Procedureel was alles geregeld, de General IT Controls, zoals de Code voor Informatiebeveiliging voorschrijft zal de werking moeten borgen maar dan ben je er nog niet. De Deming cirkel ook wel de PDCA cyclus genaamd (Plan-Do- Check-Act) is erg belangrijk in deze. De tweede kamer heeft naar aanleiding van Diginotar ingezien dat het belangrijk is om niet alleen naar de procedures te kijken, men zal ook naar de techniek moeten kijken. Persoon III antwoordde dat de Code voor Informatiebeveiliging ervanuit gaat dat de rechtmatigheidsvraag beantwoord is. Dat is een basis veronderstelling die opgenomen zit in de Code voor Informatiebeveiliging. Die doelbinding gaat men daar niet in terugvinden. Men gaat ervanuit dat dit namelijk al geregeld is. Een ander punt is dat de rechten van de betrokkenen zowel binnen als buiten sociale media heel slecht geregeld zijn. Een voorbeeld is het verwijderingsrecht, de meeste niet eens gemaakt om bestanden te verwijderen, nog los van al de backups die zijn gemaakt.
6.12 Stelling: Grootste gevaar van je privacy bij Sociale Media ben je zelf Op de stelling die wij de geïnterviewde hebben voorgelegd antwoordde persoon II dat die het eens was met deze stelling. Twitter valt bijvoorbeeld onder risicoklasse 0. Alles wat jij plaatst is openbaar toegankelijk. Men dient dus bewust te zijn met zijn of haar uitlatingen en het effect wat deze kunnen hebben. Persoon III antwoordde Eens, men dient op Sociale Media zich net zo te gedragen als in het echte leven. Hiermee komt ook dat in Sociale Media men niet alles zelf in de hand hebt en berichten van jou verspreid kunnen worden door anderen. Persoon IV antwoordde Eens, dit komt omdat mensen zich niet bewust zijn van wat er kan gebeuren met deze gegevens en wat er allemaal aan elkaar gekoppeld is qua data.
37
7. Conclusie Vandaag de dag neemt de vraag naar en het aanbod van Sociale Media diensten toe. Steeds meer mensen delen via de zogeheten Sociale Media internet toepassingen informatie met elkaar. Voorbeelden van Sociale Media zijn onder andere Google+ en Facebook. Het is van belang dat de aanbieders van deze internettoepassingen discreet omgaan met de persoonlijke gegevens van hun gebruikers en de verwerking hiervan. In het kader van de toename van het zakelijke gebruik van Sociale Media en de grote belangen rondom de beveiliging van privacygevoelige bedrijfsinformatie en de bescherming van de privacy van gebruikers van Sociale Media hebben wij deze scriptie geschreven. Ons uitgangspunt is dan ook het gebruik van Sociale Media binnen de zakelijke context. Aangezien de informatietechnologie sterk aan verandering onderhevig is wordt het beschermen van persoonsgegevens van gebruikers van Sociale Media bemoeilijkt. Ons recht kent de Wet bescherming persoonsgegevens (Wbp) dat als uitgangspunt heeft om persoonsgegevens te beschermen tegen “verlies of tegen enige vorm van onrechtmatige verwerking”. In de praktijk is echter gebleken dat privacy binnen Sociale Media meerdere malen geschonden is en dat de gebruiker vaak te naïef is en zich niet bewust lijkt te zijn van de gevaren van hun internet gebruik ten opzichte van de informatie die zij verspreiden via de Sociale Media. Wij achten het dan ook van groot belang dat de gebruikers van Sociale Media in de zakelijke context worden geattendeerd op de consequenties van hun internetgebruik. Om deze consequenties inzichtelijk te maken en de nadelige gevolgen in de kiem te smoren is het van belang de wetgeving aangaande de bescherming van de privacy te toetsen om zodoende haar reikwijdte in kaart te brengen. De centrale vraagstelling van onze scriptie luidt dan ook: in hoeverre biedt de Wbp voldoende waarborg voor de privacy van persoonsgegevens bij het gebruik van Sociale Media binnen bedrijfscontext? Ten einde deze vraagstelling te beantwoorden hebben wij aan de hand van literatuuronderzoek informatie verzameld over de Wbp, Web 2.0 en Sociale Media. Daarnaast hebben wij door middel van interviews met deskundigen de theorie gekoppeld aan de praktijk en uitgewerkt tot ons eindproduct, een normenkader welk dient als handvat voor iedere IT auditor om de organisaties te toetsen op de waarborging van hun privacy, Hiervoor hebben wij een viertal deelvragen uitgewerkt om zodoende het gehele terrein rondom onze vraagstelling te verkennen. Zo is het begrip privacy toegelicht en aangeduid als zijnde een overkoepelend begrip ten aanzien van onze persoonlijke vrijheid. Binnen deze scriptie is het begrip echter beperkt tot informationele privacy wat zich beperkt tot regels voor opslag en verwerking van data. Ten tweede is Web 2.0 toegelicht en The Collective Intelligence Genome, dit is het business model dat gebruikt wordt door Sociale Media. Doordat de gebruiker binnen Web 2.0 controle heeft en de controle behoudt over zijn eigen data en informatie wordt het participatieve Web in stand gehouden. Ten derde is nagegaan of de werking van de Wbp daadwerkelijk onderhevig is aan nieuwe technologieën en of aan deze huidige techniek voldoet. De Wbp stelt dat er rekening gehouden dient te worden met wat passend is naar technische maatstaven van de geldende norm. Gebleken is dat de wetgeving achterloopt op de techniek en dat er geen rekening wordt gehouden met de territoriale werking van de wet versus de dynamiek van het internet en hierbij ook Sociale Media. Tot slot is nagegaan wat vermeldt staat in gebruikersovereenkomsten van Sociale Media en waar de eindgebruiker toestemming voor geeft als deze gebruik wenst te kunnen maken van de internetdiensten. In de gebruikersovereenkomsten wordt vermeld dat op verschillende manieren gegevens verzameld worden van eindgebruikers voor marketingdoeleinden. Bij het wijzigen van een gebruikersovereenkomst dient een eindgebruiker deze gebruikersovereenkomst opnieuw te accepteren. Het uitblijven van een reactie van de gebruiker leidt niet van rechtswege tot instemming aangaande het gebruiken van de persoonsgegevens. 38
Voortbordurend op bovengenoemde facetten volgt hieronder een aantal perspectieven ten aan zien van de Wbp die wij van groot belang achten aangezien deze tezamen onze centrale vraagstelling beantwoorden. Zo is uit juridisch oogpunt gebleken dat de Wbp gericht is op Nederland en van toepassing is op gegevensverwerkers die gevestigd zijn in Nederland. De praktijk heeft echter uitgewezen dat de meeste Sociale Media aanbieders van buiten de Nederlandse en Europese landsgrenzen opereren en voornamelijk zijn gevestigd in de Verenigde Staten. Hierom kan met klem worden gesteld dat de Wbp in deze weinig tot geen bescherming biedt aan de gebruikers van Sociale Media in Nederland. Vanzelfsprekend leidt dit er toe dat deze organisaties zich dienen te houden aan de voor hen geldende lokale regels anders dan gesteld in “onze” Wbp. Bij gebruik van Sociale Media zal hier dus moeten worden vertrouwd op de wijze waarop de Sociale Media aanbieder omgaat met de verwerking van de persoonsgegevens. Uit informatietechnologisch oogpunt is thans aannemelijk geworden dat de formulering van de Wbp gedateerd is en hiermee onvoldoende toereikend is wat betreft het waarborgen van de privacy van de gebruikers van Sociale Media. De formulering van de Wbp behelst nog het tijdperk waarin de persoonsgegevens centraal werden opgeslagen. Tegenwoordig zijn Sociale Media netwerken anders dan in het verleden gekenmerkt door het decentraal opslaan en verwerken van gegevens in Cloud-achtige omgevingen. Doordat de bestanden van Sociale Media diensten zich op meerdere servers in verschillende landen kunnen bevinden is het vandaag de dag voor een eindgebruiker niet te achterhalen waar zijn of haar gegevens zijn verwerkt dan wel zijn opgeslagen. Dit leidt ertoe dat het beschermen van persoonsgegevens binnen Sociale Media steeds ingewikkelder en mondialer wordt. Men krijgt te maken met andere regels die verder strekken dan de Nederlandse wetgeving. Tot slot kan vanuit financieel oogpunt gesteld worden dat er een kloof bestaat in de uitgangspunten van de gebruiker en aanbieder van Sociale Media diensten. Hier is gebleken dat eisen vanuit de gebruiker niet bij de aanbieder van Sociale Media opgelegd kunnen worden, omdat er gebruik wordt gemaakt van een gratis dienst waarbij tegengestelde belangen aanwezig zijn tussen de gebruiker een aanbieder van deze diensten. Daar de gebruikers van Sociale Media tot doel hebben zichzelf te profileren en contacten te leggen met andere gebruikers, zijn de Sociale Media aanbieders gefocust op de te behalen winst. De grote financiële waarde zien zij in de verzameling van gebruikersgegevens zodoende deze door te verkopen aan derden. Hierdoor kan men zich afvragen of de reikwijdte van de Wbp toereikend is om het winstbelang van de Sociale Media aanbieder dusdanig in de kiem te smoren om de privacy van de gebruikers te waarborgen. Het geheel van bovengenoemde privacy issues brengt ons tot de conclusie dat er niet blind vertrouwd kan worden op Sociale Media aanbieders en hun ‘good-will’. Om te beginnen menen wij dat privacy binnen Sociale Media niet gewaarborgd is zonder een wereldwijd internet wetgeving waarbij handhaving van de privacy van burgers op het internet het gezamenlijke doel dient te zijn. En aangezien de gebruiker van Sociale Media zelf de grootste bedreiging is gebleken voor zijn privacy en voor de privacy van het bedrijf waar men werkzaam is verdient het onze aanbeveling de risico’s van onder de aandacht te brengen bij bedrijven en hun medewerkers. Doordat het hieraan ontbreekt en de Wbp niet toereikend is, is het noodzakelijk gebleken dat de werkgever zelf aanvullende maatregelen treft ten aanzien van de bewaking van de voor hun geldende privacy met het oog op imago schade en het lekken van vertrouwelijke informatie. Dit herleidt ons naar de rol van de IT Auditor binnen deze kwestie waarbij het door ons opgestelde normenkader een bruikbare handreiking is. Zoals eerder benoemd reikt het de grondbeginselen van privacy aan op het gebied van beveiliging. Zodoende zal de IT Auditor de organisatie adviseren en hun situatie beoordelen aan de hand van een toetsingsinstrument zoals het door ons opgestelde normenkader. Om de kwaliteitsaspecten exclusiviteit, integriteit en continuïteit bij het gebruik van Sociale Media te waarborgen is het echter noodzakelijk dat de IT auditor de getroffen beheersmaatregelen periodiek monitort afhankelijk van het type en grootte van de organisatie. Het door ons geïntroduceerde normenkader heeft tevens als doel om zowel de organisatie als de medewerkers bewust te maken van de consequenties van hun activiteiten via Sociale Media binnen bedrijfscontext. Zo bevelen wij met klem aan 39
deze groeiende en dynamische trend de aandacht te schenken die het verdient ter bescherming van onze eigen privacy.
40
Bijlage 1: Begrippenlijst Sociale Media Sociale media (de Engelse term social media is ook in het Nederlands gangbaar) is een verzamelbegrip voor online platformen waar de gebruikers, zonder of met minimale tussenkomst van een professionele redactie, de inhoud verzorgen. Hoofdkenmerken zijn interactie en dialoog tussen de gebruikers onderling. Onder de noemer sociale media worden onder andere weblogs, fora, sociale netwerken als Hyves, Facebook en LinkedIn en diensten als Twitter geschaard. Sinds 2011 is er ook Google+ op de markt. Via deze media delen mensen verhalen, kennis en ervaringen. Dit doen zij door berichten te publiceren of door gebruik te maken van ingebouwde reactiemogelijkheden. Denk hierbij aan weblogs, waar lezers 34 reacties achterlaten via een reactieformulier. Patriot Act De USA PATRIOT Act (Public Law 107-56) of voluit de ’Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism’ Act van 2001 is een Amerikaans wetsvoorstel dat in 2003 door het Amerikaans Congres met een meerderheid is aangenomen. De wet heeft als doel meer mogelijkheden te geven aan de Amerikaanse overheid om informatie te vergaren over en op te treden in geval van mogelijk terrorisme. Het is een directe reactie op de aanslagen op 11 september 2001, en is een middel in de Amerikaanse oorlog tegen het terrorisme. Op grond van de Patriot Act is de keuze voor een Amerikaanse Cloud Computing provider voor Europese klanten een risico, aangezien de gegevens en databases van die klanten ook door de Amerikaanse overheid 35 opgevraagd kunnen worden.
AV23 In 2001 is bij wijze van handreiking aan de praktijk de Registratiekamer achtergrond studie genaamd AV23 uitgebracht. In dit rapport zijn een aantal eisen geformuleerd die een nadere invulling geven aan de wettelijke norm. Een belangrijk element is dat passende technische en organisatorische maatregelen worden getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Dit rapport gaat over de uitwerking van die verplichting tot beveiliging aan 36 welke eisen moet de beveiliging van persoonsgegevens voldoen.
Opt-In Met dit Opt-In stemt u er vooraf in toe dat u commerciële berichten worden toegestuurd. Het Opt-In systeem geldt voor alle vormen van communicatie. Met Opt-In kunt u, zoals de privacywet vereist, uw vrije, specifieke en op voorafgaande informatie berustende toestemming geven. Het Opt-In systeem wordt meestal gebruikt wanneer men massaal en op regelmatige tijdstippen e-mails wil versturen, zoals bijvoorbeeld een nieuwsbrief, e-zines, aanbiedingen in promotie. U schrijft zich in door
34
http://nl.wikipedia.org/wiki/Sociale_media
35
http://www.trouw.nl/tr/nl/5133/Media-technologie/article/detail/3065081/2011/12/05/Patriot-Act-keertzich-tegen-Amerikaanse-technologiesector.dhtml 36
http://www.utwente.nl/igs/datalab/Documents/beveiliging_van_persoonsgegevens.pdf
41
op een website uw e-mailadres in te vullen op een specifiek formulier. De bedoeling van de Opt-In is dat u 37 vooraf precies weet waarvoor u zich inschrijft, zodat u achteraf geen onprettige verrassingen hebt.
Opt-Out Met Opt-Out kan met zich verzetten tegen elke verwerking van uw persoonsgegevens met het oog op direct marketing. Opt-Out is dus het omgekeerde van Opt-In. Hier krijgt u eerst ongevraagd een bericht maar met de mogelijkheid u uit te schrijven zodat je deze berichten in de toekomst niet meer ontvangt. Dit systeem wordt alleen toegestaan op voorwaarde dat de afzender uw (e-mail) adres rechtstreeks van u heeft gekregen toen u een product of dienst bij hem kocht, dit (e-mail)adres alleen gebruikt voor gelijkaardige producten of diensten die hijzelf levert en u op het ogenblik dat hij uw(e-mail)adres verkrijgt 38 de mogelijkheid biedt u daartegen kosteloos en op gemakkelijke manier te verzetten.
Third Party Memorandum (TPM) Een onafhankelijke certificerende instantie kan een goedkeurende verklaring geven dat de processen in een organisatie voldoen aan vooraf opgestelde criteria. We noemen dit een TPM of Third Party memorandum. (NB. eerste partij is de producent, de tweede partij is de klant en de derde partij is de 39 onafhankelijke derde).
Wetenschappelijke Raad voor het Regeringsbeleid (WRR) De Wetenschappelijke Raad voor het Regeringsbeleid is een onafhankelijke denktank voor de Nederlandse regering. De WRR geeft de regering gevraagd en ongevraagd advies over onderwerpen vanuit een langetermijnperspectief. Deze onderwerpen zijn sectoroverstijgend en hebben betrekking op 40 maatschappelijke vraagstukken waarmee beleidsmakers in de toekomst te maken kunnen krijgen.
Identity Theft Identity Theft ook wel in het Nederlands Identiteitsdiefstal in de ICT omvat enerzijds het opzettelijk en onrechtmatig inzamelen van identiteitsgegevens, geheel of gedeeltelijk bekomen door gebruik van een hardware- of softwarematig technisch procedé, en anderzijds het opzettelijk en onrechtmatig gebruik van 41 deze gegevens, met inbegrip van, maar niet beperkt tot, elektronische middelen.
Deming cirkel (PDCA Cyclus) De Deming cirkel oftewel PDCA Cyclus beschrijft vier activiteiten die op alle verbeteringen in organisaties van toepassing zijn. De vier activiteiten zorgen voor een betere kwaliteit. Het cyclische karakter garandeert dat de kwaliteitsverbetering continu onder de aandacht is.
37
http://www.privacycommission.be/nl/lexicon/o/Opt-in.html
38
http://www.privacycommission.be/nl/lexicon/o/Opt-out.html
39
http://123management.nl/0/020_structuur/a222_structuur_02_tactisch_procesaudit.html
40
http://www.ioverheid.nu/wrr.html
41
http://www.ictrecht.be/Identity_Theft_Matthias_DOBBELAERE-MyLex.pdf
42
De vier activiteiten in de kwaliteitscirkel van Deming zijn: • • • •
PLAN : Kijk naar huidige werkzaamheden en ontwerp een plan voor de verbetering van deze werkzaamheden. Stel voor deze verbetering doelstellingen vast. DO : Voer de geplande verbetering uit in een gecontroleerde proefopstelling. CHECK : Meet het resultaat van de verbetering en vergelijk deze met de oorspronkelijke situatie en toets deze aan de vastgestelde doelstellingen. 42 ACT : Bijstellen aan de hand van de gevonden resultaten bij CHECK.
Cloud computing Cloud computing is een gestandaardiseerde IT-oplossing (diensten, software of infrastructuur) geleverd via het internet waarbij uitsluitend betaald wordt voor wat wordt afgenomen (pay-per-use) en waarbij de 43 klant zelf bepaalt wat hij afneemt (self-service).
42
http://nl.wikipedia.org/wiki/Kwaliteitscirkel_van_Deming
43
http://computerworld.nl/article/12303/wat-is-de-belangrijkste-terminologie-in-cloud-computing.html
43
Bijlage 2a: Normen per hoofdstuk Sociale Media
Normenkader Sociale Media 2011 - Wbp art. 13 _ ISO 27002: Code voor informatiebeveiliging Beschrijving puntentoekennen: W=Wegingsfactor (0100) S=Score (W / 100) *P (0-100) P=Toegekend aantal punten (1-100): 100=maatregel aangetroffen conform CoP; 50=informeel aanwezig; 0=niet aangetroffen NVT= als N/A (not applicable) maatregel niet van toepassing (P=0)/ als N/D (Not Discussed) buiten de scope van de opdracht, maar wel van toepassing bij de organisatie (P=50) 1.
W
100
60
20
20
40
10
10 40
20 20
44
Beveiligingsbeleid, beveiligingsplan en implementatie van het stelsel van procedures en maatregelen • E Exclusiviteit • I Integriteit • C Continuïteit Maatregele S P NVT n 0 5. Beveiligingsbeleid De directie behoort een duidelijke beleidsrichting inclusief dat terzake van de beveiliging van persoonsgegevens vast aan te geven in overeenstemming met de bedrijfsdoelstellingen en te demonstreren dat het informatiebeveiliging 0 0 ondersteund en zich hiertoe verplicht, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid voor de hele organisatie. Het gebruik van Sociale Media behoort te zijn opgenomen in het beveiligingsbeleid. 5.1 0 0 5.1.1 Een document met informatiebeveiliging behoort door de directie te worden goedgekeurd en gepubliceerd en kenbaar te worden gemaakt aan alle werknemers en relevante externe partijen. In het document dient de definitie van 0 0 informatiebeveiliging, de doelstelling en de reikwijdte te 5.1.1.1 zijn opgenomen. In het document dient een verklaring van het management te zijn opgenomen waarin zij de 0 0 doelstellingen en principes van informatiebeveiliging ondersteunen. 5.1.1.2 Er dient een toelichting op de beleidsmaatregelen, 0 0 principes, normen en nalevingeisen te zijn opgenomen 5.1.1.3 t.a.v. de beveiliging, zoals - het nakomen van wettelijk en contractuele verplichtingen - de eisen met betrekking tot beveiligingstraining - het voorkomen en onderkennen van virussen en andere kwaadaardige software - het management van de continuïteit van bedrijfsprocessen - de consequenties van het niet naleven van het beveiligingsbeleid Het document dient een omschrijving te bevatten van de algemene en specifieke verantwoordelijkheden voor het 0 0 management van informatiebeveiliging, waaronder het 5.1.1.4 rapporteren van incidenten. Het document dient verwijzingen te bevatten naar 0 0 documentatie die het beleid kan ondersteunen 5.1.1.5 (richtlijnen, huisregels etc.). 0 0 5.1.2 Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, of zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft. Er dient vastgelegd te zijn wie en op welk tijdstip het 0 0 5.2.1.1 beleidsdocument bijwerkt. De aangewezen persoon dient het beveiligingsbeleid en 0 0 de toegekende verantwoordelijkheden te herzien en goed 5.2.1.2 te keuren.
20
0
0 5.2.1.3
20
0
0
20
0
0
5.2.1.4
5.2.1.5 5.1
2.
W
Administratieve organisatie • E Exclusiviteit • I Integriteit • C Continuïteit S
P
0 0
0 0
40
0
0
30
0
0
30 20
0 0
0 0
25
0
0
25
0
0
25
0
0
25
0
0
20
0
0
30
0
0
NVT
Maatregele n 6. 6.1
6.1 3.
45
Bevindingen:
0
0 100 30
De aangewezen persoon dient toezicht te houden op de belangrijkste bedreigingen waaraan de bedrijfsinformatie is blootgesteld. De aangewezen persoon dient toezicht te houden op eventuele beveiligingsincidenten en deze te bespreken. De aangewezen persoon dient belast te zijn met goedkeuring van initiatieven ter uitbreiding van de informatiebeveiliging.
Beveiligingsbewustzijn
Organisatie van informatiebeveiliging Er behoort een beheerkader te worden vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en te beheersen. 6.1.1 De directie behoort actief beveiliging binnen de organisatie te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. De directie behoort: - Het informatiebeveiligingsbeleid te formuleren, te 6.1.1.1 beoordelen en goed te keuren; - Te zorgen voor middelen die nodig zijn voor 6.1.1.2 informatiebeveiliging; - Het toekennen van rollen en verantwoordelijkheden voor de informatiebeveiliging in alle lagen van de 6.1.1.3 organisatie wordt gecoördineerd. 6.1.2 Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies. Deze activiteit behoort in te houden: - Het waarborgen dat de beveiligingsactiviteiten worden uitgevoerd in overeenstemming met het informatiebeveiligingsbeleid; 6.1.2.1 - Het goedkeuren van processen voor informatiebeveiliging, bijvoorbeeld risicobeoordeling, 6.1.2.2 informatieclassificatie; -De identificatie van significante wijzigingen in bedreigingen en het blootstellen van informatie en IT6.1.2.3 voorzieningen aan bedreigingen; -Het evalueren van informatie verkregen uit het controleren en beoordelen van informatiebeveiligingsincidenten, en aanbevelen van gepaste handelingen als reactie op de vastgelegde 6.1.2.4 informatiebeveiligingsincidenten. De verantwoordelijkheden voor de bescherming van individuele bedrijfsmiddelen en voor het uitvoeren van bepaalde 6.1.3 beveiligingsprocedures dienen duidelijk te worden gedefinieerd. Bij gebruik van nieuwe Sociale Media -voorzieningen dient een goedkeuringsproces te worden vastgesteld. Hierbij dient rekening te 6.1.4 worden gehouden met: - Nieuwe Sociale Media platformen moeten goedgekeurd zijn door het management van gebruikersafdelingen waarbij het doel en het gebruik van de voorziening geautoriseerd is. Goedkeuring dient ook te zijn verleend door de manager die verantwoordelijk is voor het onderhoud van de beveiliging van de lokale IT-omgeving, om er zekere van te zijn dat alle relevante beveiligingseisen en procedures worden nageleefd. - Waar nodig moet hardware en software gecontroleerd zijn op compatibiliteit met andere systeemcomponenten. - Het gebruik van persoonlijke Sociale Media op de werkplek kan nieuwe kwetsbaarheden veroorzaken en dient daarom te worden beoordeeld en geautoriseerd. Bevindingen: 0
• E Exclusiviteit • I Integriteit • C Continuïteit W
S
P 0
100
0
NVT
Maatregele n 8.
0 8.2
35
0
0
35
0
0
30
0
0 10.4
4.
W
Eisen te stellen aan personeel • E Exclusiviteit • I Integriteit • C Continuïteit S P NVT Maatregelen 0 8.
35
0
0
30
0
0
20
0
0
50
0
0
100
0
0
8.1
8.1
35 40
46
0 0
0 0
8.2
Beveiliging van personeel De verantwoordelijkheden van de directie behoren te worden gedefinieerd om te waarborgen dat beveiliging wordt toegepast gedurende het hele dienstverband van de persoon bij de organisatie. Er dient te worden gewaarborgd dat gebruikers zich bewust zijn van de bedreigingen voor en de belangen van informatiebeveiliging en dat zij worden voorzien van de juiste middelen om het beveiligingsbeleid te ondersteunen tijdens het uitvoeren van hun normale werkzaamheden. 8.2.1 Alle werknemers (intern en extern) moeten een passende training en regelmatige bijscholing krijgen inzake het beleid en de procedures 8.2.2 met betrekking tot Sociale Media. Er behoort een formeel disciplinair proces te zijn vastgesteld voor 8.2.3 werknemers die inbreuk op de beveiliging hebben gepleegd. Bevindingen: 0
Beveiliging van personeel Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van reputatieschadel en lekken van gegevens te verminderen. Beveiligingsrollen en verantwoordelijkheden, zoals deze zijn vastgelegd in het beveiligingsbeleid, moeten in de functieomschrijving zijn opgenomen. 8.1.1 Screening van eigen werknemers moet tijdens de sollicitatieprocedure plaats te vinden. Tijdelijk en ingehuurd personeel dient ook te worden gescreend. Deze screening dient de 8.1.2 volgende punten te bevatten: - Beschikbaarheid van positieve referenties, bijvoorbeeld één zakelijke en één persoonlijke; - Controle van het curriculum vitae van de sollicitant; - Bevestiging van beweerde academische en professionele kwalificaties; - Onafhankelijke identiteitscontrole; Werknemers moeten bij indiensttreding een geheimhoudingsverklaring ondertekenen als onderdeel van het 8.1.3 arbeidscontract. In het arbeidscontract moet de verantwoordelijkheid van de werknemer op het gebied van informatiebeveiliging 8.1.3.1 zijn vastgelegd. Deze richtlijnen dienen te worden gehanteerd: - verantwoordelijkheden kunnen na beëindiging van het dienstverband nog een zekere periode blijven voortbestaan; - maatregelen definiëren die genomen worden indien de werknemer de beveiligingseisen veronachtzaamt; - de wettelijke rechten en plichten (auteursrecht en gegevensbescherming) dienen te worden opgenomen; - waar van toepassing dient te worden vermeld dat de verantwoordelijkheden zich uitstrekken buiten het bedrijfsterrein en normale werktijden. Bevindingen: De verantwoordelijkheden van de directie behoren te worden gedefinieerd om te waarborgen dat beveiliging wordt toegepast gedurende het hele dienstverband van de persoon bij de organisatie. 8.2.1 Er dient te worden gewaarborgd dat gebruikers zich bewust zijn van de bedreigingen voor en de belangen van informatiebeveiliging en dat zij worden voorzien van de juiste middelen om het beveiligingsbeleid te ondersteunen tijdens het uitvoeren van hun normale werkzaamheden.
30
0
0
8.2.2
30
0
0
8.2.3 8.2
30
0
0
30
0
0
30 40
0 0
0 0
8.3
8.3 5.
W
Inrichting van de werkplek • E Exclusiviteit • I Integriteit S P NVT 0
100
0
0
50
0
0
25
0
0
25
0
0
W
70 25
47
Bevindingen: Er behoort een beheerverantwoordelijkheid in de organisatie te zijn om te waarborgen dat de toegangsrechten van Sociale Media accounts worden ingetrokken of gewijzigd wanneer een werknemer, ingehuurde medewerker of externe gebruiker de organisatie verlaat. 8.3.1 De verantwoordelijkheid voor beëindiging of wijziging van het dienstverband behoren duidelijk te zijn vastgesteld en toegewezen. 8.3.2 Alle werknemers, ingehuurd personeel en externe gebruikers behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben te retourneren bij beëindiging van hun dienstverband, contract of overeenkomst. 8.3.3 De toegangsrechten van alle werknemers, ingehuurd personeel en externe gebruikers tot informatie en IT-voorzieningen behoren te worden geblokkeerd bij beëindiging van het dienstverband, het contract of de overeenkomst, of behoort na wijziging te worden aangepast. Bevindingen: 0
Maatregelen 11. 11.3
11.3 6.
Alle werknemers (intern en extern) moeten een passende training en regelmatige bijscholing krijgen inzake het beleid en de procedures met betrekking tot Sociale Media. Er behoort een formeel disciplinair proces te zijn vastgesteld voor werknemers die inbreuk op de beveiliging hebben gepleegd.
Toegangsbeveiligin g Doeltreffende privacy en beveiliging vereist de medewerking van geautoriseerde gebruikers. Gebruikers moeten de goede beveiligingsgewoonten in acht nemen bij het kiezen en gebruiken van wachtwoorden. Gebruikers dienen 11.3.1 het advies te krijgen om: -Wachtwoorden geheim te houden; -Wachtwoorden niet op papier vast te leggen, tenzij dit papier kan worden opgeborgen; -Wachtwoorden te veranderen zodra er aanwijzingen zijn dat het wachtwoord bekend is; -Een wachtwoord van voldoende minimumlengte te kiezen, dat: -Gemakkelijk te onthouden is; -Niet gemakkelijk te raden is of te verkrijgen door gebruik te maken van persoonsgerelateerde informatie; -Geen opeenvolgende gelijke tekens bevat en niet uitsluitend uit numerieke of alfabetische tekens bestaat. -Wachtwoorden met regelmatige tussenpozen te wijzigen en hergebruik of rouleren van oude wachtwoorden te voorkomen; -Tijdelijke wachtwoorden bij eerste aanmelding te wijzigen; -Geen wachtwoorden te gebruiken in automatische aanlogprocessen; -Geen individuele wachtwoorden met anderen te delen. Gebruikers moeten ervoor zorgen dat apparatuur bij hun (tijdelijke) 11.3.2 afwezigheid voldoende is beveiligd. Er behoort een ‘clear-desk’-beleid voor papier en verwijderbare opslagmedia en een ‘clear screen’-beleid voor IT voorzieningen te 11.3.3 worden ingesteld. Bevindingen:
Beheer en classificatie van de ICT infrastructuur 0 • E Exclusiviteit • I Integriteit • C Continuïteit S P NVT Maatregelen 0 10. Beheer van communicatie- en bedieningsprocessen Bij het inhouse faciliteren van Sociale Media platformen dienen verantwoordelijkheden en procedures te worden vastgesteld voor het beheer en 0 0 10.1 de bediening van alle IT-voorzieningen. 0 0 10.1.1 Bedieningsprocedures behoren te worden gedocumenteerd, te
20
0
0
20
0
0
20
0
0
20 20
0 0
0 0
25
0
0
30
0
0
30
0
0
40
0
0
25
0
0
10.1.3
25
0
0
10.1.4
25
0
0
25
0
0
25
0
0
25
0
0
10.1.2
10.1
Bevindingen:
0
7.
7.2
Beheer van bedrijfsmiddelen Bij het inhouse faciliteren van Sociale Media platformen behoort informatie te worden geclassificeerd om bij het verwerken van de informatie de noodzaak, prioriteiten en verwachte graad van bescherming te kunnen aangeven. De classificatie en de bijbehorende maatregelen moeten in overeenstemming zijn met de behoefte v/d organisatie om informatie gemeenschappelijk te gebruiken of het gebruik ervan juist te beperken alsmede met de gevolgen voor de organisatie van een 7.2.1 dergelijke behoefte. Er moeten procedures zijn opgesteld voor het labelen en verwerken van informatie, overeenkomstig het classificatiesysteem dat de organisatie heeft geimplementeerd. 7.2.2
30
0
0
70
0
0
30
0
0 7.2
7.
W
70 20
48
Toegangsbeheer en controle • E Exclusiviteit • I Integriteit • C Continuïteit S P NVT 0
0 0
worde bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben. Er dienen instructies te zijn voor de afhandeling van fouten en andere uitzonderlijke gebeurtenissen die tijdens 10.1.1.1 de uitvoering van de taak kunnen optreden. Instructies wie ingelicht dient te worden bij het optreden van onverwachte bedieningsmogelijkheden of technische 10.1.1.2 storingen. Er dienen procedures voor handen te zijn voor het opnieuw opstarten en herstellen van het systeem in geval 10.1.1.3 van systeemstoringen. Er dienen gedocumenteerde procedures te worden opgesteld voor de huishoudelijke activiteiten m.b.t. computer- en netwerkbeheer, zoals opstart- en afsluitprocedures, reservekopieën, onderhoud van apparatuur, beheer en beveiliging van computerruimte 10.1.1.4 e.d. 10.1.1.5 Beheer van 'audit trail' en systeemlogbestand-informatie. Wijzigingen in Sociale Media voorzieningen en informatiesystemen behoren te worden beheerst. Belangrijke wijzigingen dienen geïdentificeerd en 10.1.2.1 vastgelegd te worden. Gevolgen van mogelijke wijzigingen dienen bepaald te 10.1.2.2 worden. Details van wijzigingen behoren aan alle betrokken 10.1.2.3 personen gecommuniceerd te worden. Taken en verantwoordelijkheidsgebieden behoren te worden gescheiden om gelegenheid voor onbevoegde of onbedoelde wijziging of misbuik van de bedrijfsmiddelen van de organisatie te verminderen. Indien Socile Media Faciliteiten op het netwerk draaien dient ontwikkeling, test en productie gescheiden te zijn gescheiden om het risico van onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen. Er behoren regels voor het overdragen van programmatuur van ontwikkelings- naar operationele 10.1.4.1 status te worden gedefinieerd en gedocumenteerd. Ontwikkelings- en operationele programmatuur behoren te worden uitgevoerd op verschillende systemen en in 10.1.4.2 verschillende domeinen of directories. De proefsysteemomgeving behoort de 10.1.4.3 productieomgeving zo goed mogelijk te emuleren. Gevoelige gegevens behoren niet naar een 10.1.4.4 proefomgeving te worden gekopieerd.
0 0
Bevindingen:
0
Maatregelen 6.
6.2
Organisatie van informatiebeveiliging Beveiligen van informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd. 6.2.1 De risico’s voor de informatie en IT-voorzieningen van de organisatie
100
0
0
30
0
0
6.2.2
50
0
0
6.2.3
6.2
0
11. 11.4
30
0
0
30
0
0
20
0
0
20
0
0
15
0
0
5
0
0
5 5
0 0
0 0
11.4 8.
49
Netwerken en externe verbindingen • E Exclusiviteit • I Integriteit • C Continuïteit
vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend. Hierbij moet gedacht worden aan: - De IT-voorzieningen waartoe de externe partij toegang 6.2.1.1 toe moet hebben; - De waarde en gevoeligheid van de desbetreffende informatie, en hoe bedrijfskritisch de informatie is; - De beheersmaatregelen die nodig zijn om informatie te beschermen die niet toegankelijk mag zijn voor de externe partijen; Alle geïdentificeerde beveiligingseisen behoren te worden behandeld voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie De volgende punten dienen behoren te worden overwogen alvorens klanten toegang te geven tot enige van de bedrijfsmidellen: - Een beschrijving van het product dat of de dienst die beschikbaar wordt gesteld; - Afspraken over toegangsbeleid; - Het recht om elke activiteit verband houdend met de bedrijfsmiddelen van de organisatue te controleren of in te trekken. Bij inhouse faciliteren van Sociale Media dienen uitbestedingsregelingen in te gaan op de risico's, beveiligingsmaatregelen en procedures voor informatiesystemen, netwerken en/of werkstations in het contract tussen de partijen. Het contract kan de volgende onderdelen bevatten: - de wijze waarop moet worden voldaan aan de wettelijke verplichtingen. - de maatregelen die getroffen moeten worden om zeker te stellen dat alle bij de uitbesteding betrokken partijen zich bewust zijn van hun verantwoordelijkheden. - hoe de integriteit en vertrouwelijkheid van de bedrijfsmiddelen van de organisatie gehandhaafd en getest kan worden - welke fysieke en logische maatregelen gebruikt zullen worden om de toegang tot de gevoelige informatie van de organisatie te beperken tot geautoriseerde gebruikers - hoe de beschikbaarheid van de diensten gehandhaafd moet worden bij een calamiteit - in welke niveaus van fysieke beveiliging moet worden voorzien bij uitbestede apparatuur - het recht op audit
Bevindingen: Toegangsbeveiligin g De toegang tot zowel interne als externe Sociale Media diensten behoort te worden beheerst. Gebruikers mogen alleen directe toegang krijgen tot die diensten 11.4.1 waarvoor zij specifiek geautoriseerd zijn. Er behoren geschikte authenticatiemethoden te worden gebruikt om 11.4.2 toegang van gebruikers op afstand te beheersen. Automatische identificatie behoort te worden overwogen als methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren. 11.4.3 De fysieke en logische toegang tot poorten voor diagnose en 11.4.4 configuratie behoort te worden beheerst. Groepen informatiediensten, gebruikers en informatiesystemen 11.4.5 behoren op netwerken te worden gescheiden. Bij gemeenschappelijke netwerken moeten beveiligingsmaatregelen voor de routering worden getroffen, overeenkomstig het beleid ten 11.4.6 aanzien van toegang tot zakelijke toepassingen. 11.4.7 Netwerken behoren te zijn voorzien van beheersmaatregelen voor netwerkroutering, om te bewerkstelligen dat computerverbindingen en informatiestromen niet in strijd zijn met het toegangsbeleid voor bedrijfstoepassingen. Bevindingen: 0
W
50
S
0
P 0
NVT
Maatregelen 6.
0
6.2
Bevindingen:
0
10. 10.6
Beheer van communicatie- en bedieningsprocessen Bewerkstelligen van de bescherming van informatie in netwerken en bescherming van de ondersteunende infrastructuur. 10.6.1 Netwerken behoren adequaat te worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd. 10.6.1.1 -Verantwoordelijkheden en procedures voor het beheer van apparatuur op afstand, waaronder apparatuur in gebruikersruimten, behoren te worden vastgesteld. -Er behoort een passende registratie en controle te worden toegepast om handelingen die van belang zijn 10.6.1.2 voor de beveiliging te kunnen vastleggen. 10.6.2 Beveiligingskenmerken, niveaus van dienstverlening en beheereisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die interne worden geleverd als voor uitbestede diensten. Beveiligingskenmerken van netwerkdiensten behoren te zijn: -Technologie toegepast voor de beveiliging van netwerkdiensten, zoals authenticatie, encryptie en netwerkverbindingscontroles; -Procedures voor het gebruik van netwerkdiensten om de toegang tot netwerkdiensten of toepassingen, waar nodig, te beperken.
50 50
0 0
0 0
50
0
0
50 50
0 0
0 0
10.6
9.
W
Gebruik van software • E Exclusiviteit • I Integriteit • C Continuïteit S P NVT 0
50 30
0 0
0 0
30
0
0
50
Organisatie van informatiebeveiliging Bij inhouse faciliteren van Sociale Media dienen uitbestedingsregelingen in te gaan op de risico's, beveiligingsmaatregelen en procedures voor informatiesystemen, 6.2.3 netwerken en/of werkstations in het contract tussen de partijen. Het contract kan de volgende onderdelen bevatten: - de wijze waarop moet worden voldaan aan de wettelijke verplichtingen - de maatregelen die getroffen moeten worden om zeker te stellen dat alle bij de uitbesteding betrokken partijen zich bewust zijn van hun verantwoordelijkheden. - hoe de integriteit en vertrouwelijkheid van de bedrijfsmiddelen van de organisatie gehandhaafd en getest kan worden - welke fysieke en logische maatregelen gebruikt zullen worden om de toegang tot de gevoelige informatie van de organisatie te beperken tot geautoriseerde gebruikers - hoe de beschikbaarheid van de diensten gehandhaafd moet worden bij een calamiteit - in welke niveaus van fysieke beveiliging moet worden voorzien bij uitbestede apparatuur - het recht op audit
Bevindingen:
0
Maatregelen 10.
10.2
Beheer van communicatie- en bedieningsprocessen De organisatie behoort de implementatie van overeenkomsten te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle eisen voldoen die met de derde partij zijn overeengekomen. 10.2.1 Er behoort te worden bewerkstelligd dat de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en worden bijgehouden door die derde partij. 10.2.2 De diensten, rapporten en registraties die door de derde partij worden geleverd, behoren regelmatig te worden gecontroleerd en beoordeeld en er behoren regelmatig audits te worden uitgevoerd. Hierbij dient aandacht te worden geschonken aan de volgende punten: - De prestatieniveaus van de dienstverlening te controleren op overeenstemming met de overeenkomsten;
40
0
0
10.2
Bevindingen:
0
15. 15.1
Naleving Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van enige beveiligingseisen. 15.1.1 Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elke informatiesysteem en voor de organisatie. 15.1.2 Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen rusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten. De volgende richtlijnen behoren te worden overwogen om materiaal te beschermen dat als intellectueel eigendom kan worden beschouwd: - Het publiceren van beleid ten aanzien van de naleving van intellectuele eigendomsrechten, waarin wettig gebruik van programmatuur en informatieproducten wordt gedefinieerd. -Programmatuur alleen aanschaffen via erkende leveranciers om te waarborgen dat geen auteursrechten worden geschonden. -Het bewaren en onderhouden van bewijzen en bewijsmateriaal waaruit blijkt over welke licenties, originele schijven, handboeken enz. de organisatie beschikt. -Het implementeren van beheersmaatregelen om te waarborgen dat het maximaal toegelaten aantal gebruikers niet wordt overschreden. -Controleren dat alleen geautoriseerde programmatuur en producten met licenties zijn geïnstalleerd. -Vaststellen van beleid voor het handhaven van passende licentievoorwaarden. 15.1.3 Belangrijke registraties behoren te worden bescherm tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. Om aan de verplichtingen te worden van het veiligstellen van records te voldoen, behoren binnen een organisatie de volgende stappen te worden ondernomen: - er behorenrichtlijnen te worden vastgesteld voor het bewaren, opslaan, behandelen en verwijderen van records en informatie - er behoort een bewaarschema te worden opgesteld waarin registraties zijn vastgelegd, evenals de periode gedurende welke ze behoren te worden bewaard - er behoort een inventarisatielijst te worden bijgehouden van de belangrijkste informatiebronnen 15.1.4 De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. Gebruikers behoren ervan te worden weerhouden IT-voorzieningen 15.1.5 te gebruiken voor onbevoegde doeleinden. Cryptografische beheersmaatregelen behoren overeenkomstig alle 15.1.6 relevante overeenkomsten, wetten en voorschriften te worden
50 10
0 0
0 0
40
0
0
20
0
0
10
0
0
10
0
0
10
0
0
51
10.2.3
- het voorbereiden en testen van routinematige bedieningsprocedures volgens bestaande normen; - Informatie te verstrekken over informatiebeveiligingsincidenten en beoordeling van deze informatie door derde partij en de organisatie waar vereist volgend de overeenkomsten en enige ondersteunende richtlijnen en procedures; - Vastgestelde problemen op te lossen en te beheren. Wijzigingen om de dienstverlening door derden, waaronder het bijhouden en verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, behoren te worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en –processen en met heroverweging van risico’s. Hierbij dient aandacht te worden geschonken aan de volgende punten: -Implementeren van wijzigingen die door de organisatie worden aangedragen. -Implementeren van wijzgingen in de diensten van een dere partij.
gebruikt. 15.1 10.
W 100
Bulkverwerking van gegevens • E Exclusiviteit • I Integriteit • C Continuïteit S P NVT Maatregelen 0 10. 0 0 10.2
30
0
0
30
0
0
40
0
0
10.2 11.
W
Bewaren van gegevens 0 • E Exclusiviteit • I Integriteit • C Continuïteit S P NVT Maatregelen 0 10.
40
0
0
100
0
0
25
0
0
25
0
0
25
0
0
25
0
0
10.5
10.5
52
Bevindingen: 0
Beheer van communicatie- en bedieningsprocessen De organisatie behoort de implementatie van overeenkomsten met Sociale Media te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle eisen voldoen die met de derde partij zijn overeengekomen. 10.2.1 Er behoort te worden bewerkstelligd dat de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en worden bijgehouden door die derde partij. 10.2.2 De diensten, rapporten en registraties die door de derde partij worden geleverd, behoren regelmatig te worden gecontroleerd en beoordeeld en er behoren regelmatig audits te worden uitgevoerd. Hierbij dient aandacht te worden geschonken aan de volgende punten: - de prestatieniveaus van de dienstverlening te controleren op overeenstemming met de overeenkomsten; - het voorbereiden en testen van routinematige bedieningsprocedures volgens bestaande normen; - informatie te verstrekken over informatiebeveiligingsincidenten en beoordeling van deze informatie door derde partij en de organisatie waar vereist volgend de overeenkomsten en enige ondersteunende richtlijnen en procedures; - vastgestelde problemen op te lossen en te beheren. 10.2.3 Wijzigingen om de dienstverlening door derden, waaronder het bijhouden en verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, behoren te worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en –processen en met heroverweging van risico’s. Hierbij dient aandacht te worden geschonken aan de volgende punten: - implementeren van wijzigingen die door de organisatie worden aangedragen. - implementeren van wijzgingen in de diensten van een dere partij. Bevindingen:
Beheer van communicatie- en bedieningsprocessen Handhaven van de integriteit en beschikbaarheid van de informatie en ITvoorzieningen. Er behoren back-upkopieen van informatie en programmatuur te worden gemaakt en regelmatig te worden getest overeenkomstig het 10.5.1 vastgestelde back-upbeleid. Er behoren nauwkeurige en volledige registers van backupkopieen en gedocumenteerde herstelprocedures te 10.5.1.1 worden gemaakt. De back-ups behoren te worden opgeslagen op een locatie die zich op dusdanige afstand bevindt dat geen schade aan de back-up kan ontstaan kan worden aangericht als zich een calamiteit voordoet op de 10.5.1.2 hoofdlocatie. Herstelprocedures behoren regelmatig te worden getest, om te waarborgen dat ze betrouwbaar zijn en in geval 10.5.1.3 van nood kunnen worden gebruikt. In gevallen waar vertrouwelijkheid van belang is, behoren 10.5.1.4 back-ups te worden bescherm door middel van encryptie. Bevindingen:
0
15. 15.1
60 10
0 0
0 0
40
0
0
30
0
0
20
0
0
15.1
12.
W
Vernietiging van gegevens • E Exclusiviteit • I Integriteit • C Continuïteit S P NVT 0
40
0
0
40
0
0
40
0
0
30
0
0
30
0
0
20
0
0
53
Naleving Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van enige beveiligingseisen. 15.1.1 Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elke informatiesysteem en voor de organisatie. 15.1.2 Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen rusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten. De volgende richtlijnen behoren te worden overwogen om materiaal te beschermen dat als intellectueel eigendom kan worden beschouwd: - Het publiceren van beleid ten aanzien van de naleving van intellectuele eigendomsrechten, waarin wettig gebruik van programmatuur en informatieproducten wordt gedefinieerd. - Programmatuur alleen aanschaffen via erkende leveranciers om te waarborgen dat geen auteursrechten worden geschonden. - Het bewaren en onderhouden van bewijzen en bewijsmateriaal waaruit blijkt over welke licenties, originele schijven, handboeken enz. de organisatie beschikt. - Het implementeren van beheersmaatregelen om te waarborgen dat het maximaal toegelaten aantal gebruikers niet wordt overschreden. - Controleren dat alleen geautoriseerde programmatuur en producten met licenties zijn geïnstalleerd. - Vaststellen van beleid voor het handhaven van passende licentievoorwaarden. 15.1.3 Belangrijke registraties behoren te worden bescherm tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. Om aan de verplichtingen te worden van het veiligstellen van records te voldoen, behoren binnen een organisatie de volgende stappen te worden ondernomen: - Er behorenrichtlijnen te worden vastgesteld voor het bewaren, opslaan, behandelen en verwijderen van records en informatie. -Er behoort een bewaarschema te worden opgesteld waarin registraties zijn vastgelegd, evenals de periode gedurende welke ze behoren te worden bewaard. -Er behoort een inventarisatielijst te worden bijgehouden van de belangrijkste informatiebronnen. 15.1.4 De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. Bevindingen:
0
Maatregelen 10. 10.7
Beheer van communicatie- en bedieningsprocessen Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten. Er behoren procedures te zijn vastgesteld voor het beheer van 10.7.1 vewijderbare media. Van media die de organisatie verlaten dient de inhoud, 10.7.1.1 wanneer die niet meer nodig is, te worden gewist. Er dient autorisatie te worden verkregen voor alle media die de organisatie verlaten en er dient een lijst te worden 10.7.1.2 bijgehouden. Alle media dienen in een veilige en beveiligde omgeving te worden bewaard die voldoet aan de eisen die door de 10.7.1.3 fabrikant worden gesteld. Media moeten op een veilige en beveiligde manier worden 10.7.2 afgevoerd wanneer zij niet langer nodig zijn.
20
0
0 10.7.3
20
0
0 10.7
Bevindingen:
0
15. 15.1
Naleving Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van enige beveiligingseisen. 15.1.1 Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elke informatiesysteem en voor de organisatie. 15.1.2 Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen rusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten. De volgende richtlijnen behoren te worden overwogen om materiaal te beschermen dat als intellectueel eigendom kan worden beschouwd: - Het publiceren van beleid ten aanzien van de naleving van intellectuele eigendomsrechten, waarin wettig gebruik van programmatuur en informatieproducten wordt gedefinieerd. - Programmatuur alleen aanschaffen via erkende leveranciers om te waarborgen dat geen auteursrechten worden geschonden. - Het bewaren en onderhouden van bewijzen en bewijsmateriaal waaruit blijkt over welke licenties, originele schijven, handboeken enz. de organisatie beschikt. - Het implementeren van beheersmaatregelen om te waarborgen dat het maximaal toegelaten aantal gebruikers niet wordt overschreden. - Controleren dat alleen geautoriseerde programmatuur en producten met licenties zijn geïnstalleerd. - Vaststellen van beleid voor het handhaven van passende licentievoorwaarden. 15.1.3 Belangrijke registraties behoren te worden bescherm tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. Om aan de verplichtingen te worden van het veiligstellen van records te voldoen, behoren binnen een organisatie de volgende stappen te worden ondernomen: - Er behorenrichtlijnen te worden vastgesteld voor het bewaren, opslaan, behandelen en verwijderen van records en informatie. - Er behoort een bewaarschema te worden opgesteld waarin registraties zijn vastgelegd, evenals de periode gedurende welke ze behoren te worden bewaard. - Er behoort een inventarisatielijst te worden bijgehouden van de belangrijkste informatiebronnen. 15.1.4 De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. Cryptografische beheersmaatregelen behoren overeenkomstig alle relevante overeenkomsten, wetten en voorschriften te worden gebruikt. 15.1.6
60 20
0 0
0 0
10
0
0
20
0
0
30
0
0
20
0
0
13. W 50
100
54
Calimiteitenpla n • C Continuïteit S P 25 25 50
50
10.7.4
Er moeten procedures zijn opgesteld voor de behandeling en opslag van informatie om deze informatie te beschermen tegen ongeoorloofde openbaarmaking of misbruik. Systeemdocumentatie moet beveiligd zijn tegen ongeautoriseerde toegang.
50
50 NVT
Maatregelen 6. 6.2
Organisatie van informatiebeveiliging Beveiligen van informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd. Uitbestedingsregelingen dienen in te gaan op de risico's, beveiligingsmaatregelen en procedures voor informatiesystemen, 6.2.3 netwerken en/of werkstations in het contract tussen de partijen. Het contract kan de volgende onderdelen bevatten:
- de wijze waarop moet worden voldaan aan de wettelijke verplichtingen - de maatregelen die getroffen moeten worden om zeker te stellen dat alle bij de uitbesteding betrokken partijen zich bewust zijn van hun verantwoordelijkheden. - hoe de integriteit en vertrouwelijkheid van de bedrijfsmiddelen van de organisatie gehandhaafd en getest kan worden - welke fysieke en logische maatregelen gebruikt zullen worden om de toegang tot de gevoelige informatie van de organisatie te beperken tot geautoriseerde gebruikers - hoe de beschikbaarheid van de diensten gehandhaafd moet worden bij een calamiteit - in welke niveaus van fysieke beveiliging moet worden voorzien bij uitbestede apparatuur - het recht op een audit
50
25
25 50
30
15
50
10
5
50
20
10
50
20
10
50
55
6.2
Bevindingen:
14. 14.1
Bedrijfscontinuïteitsbeheer Onderbreken van bedrijfscontinuïteit tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen. 14.1.1 Er behoort een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie te worden ontwikkeld en bijgehouden, voor de naleving van eisen voor informatiebeveiliging die nodig zijn voor de continuïteit van de bedrijfsvoering. Het proces behoort de volgende kernelementen van het beheerproces van bedrijfscontinuïteit samen te brengen: -Inzicht in de risico’s waarmee de organisatie wordt geconfronteerd, in termen van waarschijnlijkheid en gevolgen in de tijd, waaronder identificaties van de kritische bedrijfsprocessen en de toewijzing van prioriteiten. -Identificeren van alle bedrijfsmiddelen die verband houden met kritische bedrijfsprocessen (zie 7.1.1); -Identificeren van voldoende financiële, organisatorische en technische middelen en omgevingshulpbronnen om de vastgestelde informatiebeveiligingseisen te kunnen aanpakken; -Formuleren en documenteren van bedrijfscontinuïteitsplannen waarin informatiebeveiligingseisen zijn opgenomen in overeenstemming met de overeengekomen strategie voor bedrijfscontinuïteit (zie 14.1.3); -Regelmatig testen en updaten van plannen en processen die zijn doorgevoerd (zie 14.1.5). Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en 14.1.2 hun gevolgen voor informatiebeveiliging. Er behoren plannen te worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van 14.1.3 kritische bedrijfsprocessen. Het proces continuïteitsplanning behoort de volgende punten te omvatten: -Identificatie van en instemmen met alle verantwoordelijkheden en procedures voor bedrijfscontinuïteit. -Identificatie en aanvaardbaarheid verlies van informatie en diensten. -Implementatie van procedures om herstel en reconstructie van bedrijfsprocessen en beschikbaarheid van informatie mogelijk te maken binnen de vereiste tijdspanne. -Documentatie van overeengekomen procedures en processen. -Testen en updaten van de plannen Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannenconsistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen 14.1.4 voor testen en onderhoud. Het kader voor continuïteitsplanning behoort de vastgestelde informatiebeveiligingseisen aan de orde te stellen en de volgende punten te omvatten: -Procedures voor noodsituaties, waarin wordt beschreven welke handelingen moeten worden genomen na een incident waarbij de
20
10
50
14.1.5 14.1
14.
W
100
30
30
40
Bevindingen:
Uitbesteding van verwerking van persoonsgegevens 0 • E Exclusiviteit • I Integriteit • C Continuïteit S P NVT Maatregelen 0 10. Beheer van communicatie- en bedieningsprocessen De organisatie behoort de implementatie van overeenkomsten te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle eisen voldoen die met de derde 0 0 10.2 partij zijn overeengekomen. Er behoort te worden bewerkstelligd dat de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en worden 0 0 10.2.1 bijgehouden door die derde partij. De diensten, rapporten en registraties die door de derde partij worden geleverd, behoren regelmatig te worden gecontroleerd en 0 0 10.2.2 beoordeeld en er behoren regelmatig audits te worden uitgevoerd. Hierbij dient aandacht te worden geschonken aan de volgende punten: - De prestatieniveaus van de dienstverlening te controleren op overeenstemming met de overeenkomsten; - het voorbereiden en testen van routinematige bedieningsprocedures volgens bestaande normen; - Informatie te verstrekken over informatiebeveiligingsincidenten en beoordeling van deze informatie door derde partij en de organisatie waar vereist volgend de overeenkomsten en enige ondersteunende richtlijnen en procedures; - Vastgestelde problemen op te lossen en te beheren. Wijzigingen om de dienstverlening door derden, waaronder het bijhouden en verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, behoren te worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en –processen en met heroverweging 0 0 10.2.3 van risico’s. Hierbij dient aandacht te worden geschonken aan de volgende punten: -Implementeren van wijzigingen die door de organisatie worden aangedragen. -Implementeren van wijzgingen in de diensten van een dere partij. 10.2
56
bedrijfsvoering in gevaar wordt gebracht. -Uitwijkprocedures, waarin wordt beschreven welke handelingen moeten worden genomen om belangrijke bedrijfsactiviteiten te verplaatsen naar alternatieve, tijdelijke locaties en om bedrijfsprocessen binnen de vereiste tijdspanne te hervatten -Een onderhoudsschema, waarin wordt beschreven hoe en wanneer het plan wordt getest en op welke manier het plan wordt bijgehouden. Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geüpdate, om te bewerkstelligen dat ze actueel en doeltreffend zijn.
Bevindingen:
Bijlage 2b: Brug ISO27002 Normenkader Sociale Media 2011 - Wbp art. 13 _ ISO 27002: Code voor informatiebeveiliging
W
100
S
0
P
0
NVT 5.
Beveiligingsbeleid
5.1
De directie behoort een duidelijke beleidsrichting inclusief dat terzake van de beveiliging van persoonsgegevens vast aan te geven in overeenstemming met de bedrijfsdoelstellingen en te demonstreren dat het informatiebeveiliging ondersteund en zich hiertoe verplicht, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid voor de hele organisatie. Het gebruik van Sociale Media behoort te zijn opgenomen in het beveiligingsbeleid.
6.
Organisatie van informatiebeveiliging
100
0
0
6.1
70
0
0
6.2 7.
30
0
0
Er behoort een beheerkader te worden vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en te beheersen. Beveiligen van informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd.
7.2
Beheer van bedrijfsmiddelen Bij het inhouse faciliteren van Sociale Media platformen behoort informatie te worden geclassificeerd om bij het verwerken van de informatie de noodzaak, prioriteiten en verwachte graad van bescherming te kunnen aangeven.
8.
Beveiliging van personeel
35
0
0
8.1
Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van reputatieschadel en lekken van gegevens te verminderen.
35
0
0
8.2
De verantwoordelijkheden van de directie behoren te worden gedefinieerd om te waarborgen dat beveiliging wordt toegepast gedurende het hele dienstverband van de persoon bij de organisatie.
8.3
Er behoort een beheerverantwoordelijkheid in de organisatie te zijn om te waarborgen dat de toegangsrechten van Sociale Media accounts worden ingetrokken of gewijzigd wanneer een werknemer, ingehuurde medewerker of externe gebruiker de organisatie verlaat.
10.
Beheer van communicatie- en bedieningsprocessen
30
70
0
0
0
0
Bij het inhouse faciliteren van Sociale Media platformen dienen verantwoordelijkheden en 10.1 procedures te worden vastgesteld voor het beheer en de bediening van alle IT-voorzieningen.
150
0
0
De organisatie behoort de implementatie van overeenkomsten te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten 10.2 aan alle eisen voldoen die met de derde partij zijn overeengekomen.
100
0
0
8.2
40
0
0
50
0
0
10.5 Handhaven van de integriteit en beschikbaarheid van de informatie en IT-voorzieningen. Bewerkstelligen van de bescherming van informatie in netwerken en bescherming van de 10.6 ondersteunende infrastructuur.
40
0
0
Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van 10.7 bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.
57
De verantwoordelijkheden van de directie behoren te worden gedefinieerd om te waarborgen dat beveiliging wordt toegepast gedurende het hele dienstverband van de persoon bij de organisatie.
11.
Toegangsbeveiliging
100
0
0
11.3 Doeltreffende privacy en beveiliging vereist de medewerking van geautoriseerde gebruikers.
30
0
0
11.4 De toegang tot zowel interne als externe Sociale Media diensten behoort te worden beheerst. 14.
50
25 50
Bedrijfscontinuïteitsbeheer Onderbreken van bedrijfscontinuïteit tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te 14.1 bewerkstelligen. 15.
170
58
0
0
Naleving
Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele 15.1 verplichtingen, en van enige beveiligingseisen.
Bijlage 2c: Kwaliteitscriteria Normenkader Sociale Media 2011 - Wbp art. 13 _ ISO 27002: Code voor informatiebeveiliging
Rating: 0
W S P NVT Kwaliteitscriteria 40 0 0
De exclusiviteit van de IT middelen dient gewaarborgd te zijn
15 0 0
1.
100 0 0
De directie behoort een duidelijke beleidsrichting inclusief dat terzake van de beveiliging van persoonsgegevens vast aan te geven in overeenstemming met de bedrijfsdoelstellingen en te demonstreren dat het informatiebeveiliging ondersteund en zich hiertoe verplicht, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid voor de hele organisatie. Het gebruik van Sociale Media behoort te zijn opgenomen 5.1 in het beveiligingsbeleid.
15 0 0
2.
100 0 0
Er behoort een beheerkader te worden vastgesteld om de implementatie van informatiebeveiliging in de 6.1 organisatie te initiëren en te beheersen.
10 0 0
3.
100 0 0
De verantwoordelijkheden van de directie behoren te worden gedefinieerd om te waarborgen dat beveiliging 8.2 wordt toegepast gedurende het hele dienstverband van de persoon bij de organisatie.
5
0 0
4.
Beveiligingsbeleid, beveiligingsplan en implementatie van het stelsel van procedures en maatregelen
Administratieve organisatie
Beveiligingsbewustzijn
Eisen te stellen aan personeel
35 0 0
Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van reputatieschadel 8.1 en lekken van gegevens te verminderen.
35 0 0
De verantwoordelijkheden van de directie behoren te worden gedefinieerd om te waarborgen dat beveiliging 8.2 wordt toegepast gedurende het hele dienstverband van de persoon bij de organisatie.
30 0 0
Er behoort een beheerverantwoordelijkheid in de organisatie te zijn om te waarborgen dat de toegangsrechten 8.3 van Sociale Media accounts worden ingetrokken of gewijzigd wanneer een werknemer, ingehuurde medewerker
59
of externe gebruiker de organisatie verlaat.
5
0 0
100 0 0
5
0 0
5.
Inrichting van de werkplek
11.3 Doeltreffende privacy en beveiliging vereist de medewerking van geautoriseerde gebruikers.
6.
Beheer en classificatie van de ICT infrastructuur
70 0 0
Bij het inhouse faciliteren van Sociale Media platformen dienen verantwoordelijkheden en procedures te worden 10.1 vastgesteld voor het beheer en de bediening van alle IT-voorzieningen.
30 0 0
Bij het inhouse faciliteren van Sociale Media platformen behoort informatie te worden geclassificeerd om bij het verwerken van de informatie de noodzaak, prioriteiten en verwachte graad van bescherming te kunnen 7.2 aangeven.
5
7.
0 0
Toegangsbeheer en -controle
70 0 0
Beveiligen van informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt 6.2 gecommuniceerd.
30 0 0
11.4 De toegang tot zowel interne als externe Sociale Media diensten behoort te worden beheerst.
5
0 0
8.
Netwerken en externe verbindingen
50 0 0
Bij inhouse faciliteren van Sociale Media dienen uitbestedingsregelingen in te gaan op de risico's, beveiligingsmaatregelen en procedures voor informatiesystemen, netwerken en/of werkstations in het contract 6.2.3 tussen de partijen.
50 0 0
Bewerkstelligen van de bescherming van informatie in netwerken en bescherming van de ondersteunende 10.6 infrastructuur.
10 0 0
9.
Gebruik van software
50 0 0
De organisatie behoort de implementatie van overeenkomsten te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle eisen voldoen die met 10.2 de derde partij zijn overeengekomen.
50 0 0
Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van 15.1 enige beveiligingseisen.
5
10. Bulkverwerking van gegevens
0 0
100 0 0
60
De organisatie behoort de implementatie van overeenkomsten met Sociale Media te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle 10.2 eisen voldoen die met de derde partij zijn overeengekomen.
10 0 0
11. Bewaren van gegevens
40 0 0
10.5 Handhaven van de integriteit en beschikbaarheid van de informatie en IT-voorzieningen.
60 0 0
Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van 15.1 enige beveiligingseisen.
5
12. Vernietiging van gegevens
0 0
40 0 0
Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van bedrijfsmiddelen en 10.7 onderbreking van bedrijfsactiviteiten.
60 0 0
Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van 15.1 enige beveiligingseisen.
5
14. Uitbesteding van verwerking van persoonsgegevens
0 0
100 0 0
De organisatie behoort de implementatie van overeenkomsten te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle eisen voldoen die met 10.2 de derde partij zijn overeengekomen.
W S P NVT 40 0 0
De integriteit van de IT middelen dient gewaarborgd te zijn
15 0 0
1.
100 0 0
De directie behoort een duidelijke beleidsrichting inclusief dat terzake van de beveiliging van persoonsgegevens vast aan te geven in overeenstemming met de bedrijfsdoelstellingen en te demonstreren dat het informatiebeveiliging ondersteund en zich hiertoe verplicht, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid voor de hele organisatie. Het gebruik van Sociale Media behoort te zijn opgenomen 5.1 in het beveiligingsbeleid.
15 0 0
2.
100 0 0
Er behoort een beheerkader te worden vastgesteld om de implementatie van informatiebeveiliging in de 6.1 organisatie te initiëren en te beheersen.
10 0 0
3.
100 0 0
De verantwoordelijkheden van de directie behoren te worden gedefinieerd om te waarborgen dat beveiliging 8.2 wordt toegepast gedurende het hele dienstverband van de persoon bij de organisatie.
5
0 0
35 0 0
61
4.
Beveiligingsbeleid, beveiligingsplan en implementatie van het stelsel van procedures en maatregelen
Administratieve organisatie
Beveiligingsbewustzijn
Eisen te stellen aan personeel
Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden 8.1 begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van reputatieschadel
en lekken van gegevens te verminderen.
35 0 0
De verantwoordelijkheden van de directie behoren te worden gedefinieerd om te waarborgen dat beveiliging 8.2 wordt toegepast gedurende het hele dienstverband van de persoon bij de organisatie.
30 0 0
Er behoort een beheerverantwoordelijkheid in de organisatie te zijn om te waarborgen dat de toegangsrechten van Sociale Media accounts worden ingetrokken of gewijzigd wanneer een werknemer, ingehuurde medewerker 8.3 of externe gebruiker de organisatie verlaat.
5
5.
0 0
100 0 0
5
0 0
Inrichting van de werkplek
11.3 Doeltreffende privacy en beveiliging vereist de medewerking van geautoriseerde gebruikers.
6.
Beheer en classificatie van de ICT infrastructuur
70 0 0
Bij het inhouse faciliteren van Sociale Media platformen dienen verantwoordelijkheden en procedures te worden 10.1 vastgesteld voor het beheer en de bediening van alle IT-voorzieningen.
30 0 0
Bij het inhouse faciliteren van Sociale Media platformen behoort informatie te worden geclassificeerd om bij het verwerken van de informatie de noodzaak, prioriteiten en verwachte graad van bescherming te kunnen 7.2 aangeven.
5
7.
0 0
Toegangsbeheer en –controle
70 0 0
Beveiligen van informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt 6.2 gecommuniceerd.
30 0 0
11.4 De toegang tot zowel interne als externe Sociale Media diensten behoort te worden beheerst.
5
0 0
8.
Netwerken en externe verbindingen
50 0 0
Bij inhouse faciliteren van Sociale Media dienen uitbestedingsregelingen in te gaan op de risico's, beveiligingsmaatregelen en procedures voor informatiesystemen, netwerken en/of werkstations in het contract 6.2.3 tussen de partijen.
50 0 0
Bewerkstelligen van de bescherming van informatie in netwerken en bescherming van de ondersteunende 10.6 infrastructuur.
10 0 0
9.
Gebruik van software
50 0 0
De organisatie behoort de implementatie van overeenkomsten te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle eisen voldoen die met 10.2 de derde partij zijn overeengekomen.
50 0 0
Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van 15.1 enige beveiligingseisen.
62
5
0 0
10. Bulkverwerking van gegevens
100 0 0
De organisatie behoort de implementatie van overeenkomsten met Sociale Media te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle 10.2 eisen voldoen die met de derde partij zijn overeengekomen.
10 0 0
11. Bewaren van gegevens
40 0 0
10.5 Handhaven van de integriteit en beschikbaarheid van de informatie en IT-voorzieningen.
60 0 0
Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van 15.1 enige beveiligingseisen.
5
12. Vernietiging van gegevens
0 0
40 0 0
Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van bedrijfsmiddelen en 10.7 onderbreking van bedrijfsactiviteiten.
60 0 0
Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van 15.1 enige beveiligingseisen.
5
14. Uitbesteding van verwerking van persoonsgegevens
0 0
100 0 0
De organisatie behoort de implementatie van overeenkomsten te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle eisen voldoen die met 10.2 de derde partij zijn overeengekomen.
W S P NVT 20 0 0
De beschikbaarheid van de IT middelen dient gewaarborgd te zijn
15 0 0
1.
100 0 0
De directie behoort een duidelijke beleidsrichting inclusief dat terzake van de beveiliging van persoonsgegevens vast aan te geven in overeenstemming met de bedrijfsdoelstellingen en te demonstreren dat het informatiebeveiliging ondersteund en zich hiertoe verplicht, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid voor de hele organisatie. Het gebruik van Sociale Media behoort te zijn opgenomen 5.1 in het beveiligingsbeleid.
15 0 0
2.
100 0 0
Er behoort een beheerkader te worden vastgesteld om de implementatie van informatiebeveiliging in de 6.1 organisatie te initiëren en te beheersen.
10 0 0
3.
100 0 0
De verantwoordelijkheden van de directie behoren te worden gedefinieerd om te waarborgen dat beveiliging 8.2 wordt toegepast gedurende het hele dienstverband van de persoon bij de organisatie.
63
Beveiligingsbeleid, beveiligingsplan en implementatie van het stelsel van procedures en maatregelen
Administratieve organisatie
Beveiligingsbewustzijn
5
0 0
4.
Eisen te stellen aan personeel
35 0 0
Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van reputatieschadel 8.1 en lekken van gegevens te verminderen.
35 0 0
De verantwoordelijkheden van de directie behoren te worden gedefinieerd om te waarborgen dat beveiliging 8.2 wordt toegepast gedurende het hele dienstverband van de persoon bij de organisatie.
30 0 0
Er behoort een beheerverantwoordelijkheid in de organisatie te zijn om te waarborgen dat de toegangsrechten van Sociale Media accounts worden ingetrokken of gewijzigd wanneer een werknemer, ingehuurde medewerker 8.3 of externe gebruiker de organisatie verlaat.
5
6.
0 0
Beheer en classificatie van de ICT infrastructuur
70 0 0
Bij het inhouse faciliteren van Sociale Media platformen dienen verantwoordelijkheden en procedures te worden 10.1 vastgesteld voor het beheer en de bediening van alle IT-voorzieningen.
30 0 0
Bij het inhouse faciliteren van Sociale Media platformen behoort informatie te worden geclassificeerd om bij het verwerken van de informatie de noodzaak, prioriteiten en verwachte graad van bescherming te kunnen 7.2 aangeven.
5
7.
0 0
Toegangsbeheer en –controle
70 0 0
Beveiligen van informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt 6.2 gecommuniceerd.
30 0 0
11.4 De toegang tot zowel interne als externe Sociale Media diensten behoort te worden beheerst.
5
0 0
8.
Netwerken en externe verbindingen
50 0 0
Bij inhouse faciliteren van Sociale Media dienen uitbestedingsregelingen in te gaan op de risico's, beveiligingsmaatregelen en procedures voor informatiesystemen, netwerken en/of werkstations in het contract 6.2.3 tussen de partijen.
50 0 0
Bewerkstelligen van de bescherming van informatie in netwerken en bescherming van de ondersteunende 10.6 infrastructuur.
10 0 0
9.
Gebruik van software
50 0 0
De organisatie behoort de implementatie van overeenkomsten te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle eisen voldoen die met 10.2 de derde partij zijn overeengekomen.
5
10. Bulkverwerking van gegevens
0 0
100 0 0
64
De organisatie behoort de implementatie van overeenkomsten met Sociale Media te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle 10.2 eisen voldoen die met de derde partij zijn overeengekomen.
10 0 0
11. Bewaren van gegevens
40 0 0
10.5
60 0 0
Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van 15.1 enige beveiligingseisen.
5
12. Vernietiging van gegevens
0 0
Handhaven van de integriteit en beschikbaarheid van de informatie en IT-voorzieningen.
40 0 0
Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van bedrijfsmiddelen en 10.7 onderbreking van bedrijfsactiviteiten.
60 0 0
Voorkomen van schending van enige wetgeving, wettelijke, reglementaire of contractuele verplichtingen, en van 15.1 enige beveiligingseisen.
13. Calimiteitenplan
50 0
Beveiligen van informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt 6.2 gecommuniceerd.
50 0
Onderbreken van bedrijfscontinuïteit tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen 14.1 van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen.
5
14. Uitbesteding van verwerking van persoonsgegevens
0 0
100 0 0
65
De organisatie behoort de implementatie van overeenkomsten te controleren, naleving van de overeenkomsten te bewaken en wijzigingen te beheren om te waarborgen dat de geleverde diensten aan alle eisen voldoen die met 10.2 de derde partij zijn overeengekomen.
Bijlage 3a: Gespreksverslag geinterviewde I Zou Sociale Media meegenomen moeten worden in het beveiligingsbeleid? Als we met Sociale media bedoelen Facebook, Linkedin en/of Twitter en hoe bedrijven hier mee omgaan dan is dat heel verschillend. Dat bedrijven veel met sociale media omgaan dat valt best mee. Het wordt meer gebruikt voor advertentie doeleinden dan dat bedrijven het daadwerkelijk gebruikt voor communicatiedoeleinden. LInkedin wordt vaak gebruikt voor bv recruitment en Facebook om mensen op te zoeken, het kan zijn dat dit in de toekomst wel meer gebruik kan gaan worden. Zeker door hele grote bedrijven. Maar het is niet zo dat sociale media voor deze grote bedrijven een bedrijf kritische applicatie is. Op dit moment zie ik Sociale Media meer voor het privé gebruik dan voor bedrijfsgebruik. Op de vraag of het security beleid aangepast moeten worden, dat zie ik wel meer bedrijven doen. Om ervoor te zorgen dat mensen geen vreemde uitingen gaan doen, ook dit wordt aan de ene kant overdreven. Als ik een Twitter account open dan is de kans dat ik op mijn vingers wordt getikt nul. En dit afgezien van alle fake accounts die er op Sociale Media zijn. Het wordt pas gevaarlijk als mensen bedrijfsgevoelige informatie via sociale media gaan publiceren. Daar ken ik een aantal gevallen van waar mensen naar een klant gaan en daarna dit op Facebook plaatsen. Maar om nou te zeggen dat er grote incidenten zijn die via sociale media hebben plaatsgevonden dat valt mee. Wat wel een probleem is en wat veel voorkomt is dat je gehackt wordt via Sociale Media. Je kunt heel makkelijk een fake account maken en die willen dan graag vrienden met je worden. Die sturen je een link van een malware site en vandaar uit dan kun je via de pc eventueel het bedrijfsnetwerk binnendringen. Daar ken ik wel een aantal gevallen van Hebben bedrijven hier een beleid op, dat is deels wel. Vaak zijn de richtlijnen het gebruik van common sense. Zou het personeel bewust moeten zijn van de gevaren? Het is in principe niet anders dan normaal internet gebruik. Het zijn een soort van natuurwetten, ‘klik niet op rare links en ga niet naar rare sites’ Het is niet veranderd in de afgelopen 5 jaar. Er is met sociale media misschien een dimensie bijgekomen maar deze problematiek blijft nog steeds zo. De vraag is waar moet je mensen allemaal voor moet gaan waarschuwen? Het is soms ook een vertrouwens kwestie van welke sites je precies naar toe gaat en bijvoorbeeld aankopen doet. In bedrijfscontext wordt er weleens awareness gecreëerd door middel van berichten die dan op je pc verschijnen zoals kijk uit dat je niet naar onbekende sites gaat of druk niet op vreemde links. Echter tegen de ‘domme’ gebruiker kun je awareness doen wat je wilt maar die zal niet overkomen. De dikke geschreven code of conducts van bedrijven dat zie ik niet echt als een oplossing dat helpt bij awareness van gebruikers omdat ze dat waarschijnlijk toch niet gaan lezen. Wat veel efficiënter werkt is periodiek een soort top 10 publiceren van hier moet je mee uitkijken bij het gebruik van sociale media. Welke beveiligingsmaatregelen zou je kunnen bedenken bij intern gehoste sociale media t.o.v. extern gehoste sociale media? Dit is een lastige vraag, ik denk dat het een illusie is dat men denkt dat intern gehoste sociale media beter beveiligd is dan extern gehoste sociale media. Meeste MKB bedrijven hebben hun beveiliging helemaal niet op orde, denk daarom dat een Facebook of een Linkedin hierin wel een stuk verder is. Wat wel zo is, dat als er bij dit soort bedrijven als Facebook of LinkedIn (die in Cloud of extern bij datacenters zijn) wordt gehackt dan is de impact ervan vele malen groter. Dit vanwege de hoeveelheid gegevens dat opgeslagen is. Bedrijven als Google dit probeert dit tegen te gaan door een deel te isoleren, dat mochten ze gehackt worden dat dan slechts een deel ervan gehackt wordt. De kans dat er hacks in de Cloud plaatsvinden is 66
klein, maar de impact ervan is groot. Niemand weet je te vertellen of er een hack in de Cloud heeft plaatsgevonden maar er wordt wel van alles gepubliceerd in de security community dat het veiliger moet. Met dit soort stellingen moet men uitkijken. Terugkomend op beveiligingsmaatregelen voor sociale media, nummer 1 zwakheid zijn mensen die uitdienst gaan. In principe maakt dit bij intern of extern gehoste sociale media niet, behalve dan voor de jurisdictie. Wat je vaak ziet is dat identity in dit soort oplossingen vaak niet is gekoppeld aan intern authenticatie mechanismes, zoals active directory. Dus dient bij uitdienst gaan of blokkeren van het active directory account nog handmatig het sociale media account geblokkeerd of verwijderd te worden. Identity access management is op dit moment het nummer 1 probleem bij dit soort Software As A Service (SAAS) applicatie zoals sociale media. Dit wordt erg onderschat. Zeker als men zomaar een willekeurig account aanmaakt op Facebook is dit vaak moeilijk te achterhalen wie dit heeft gedaan en het kan grote reputatieschade aanrichten. Hier is intern wel een briefing geweest erover, waarbij men verzocht werd uit te kijken met het verspreiden van informatie. Maar ja de reden om sociale media te gebruiken is juist om informatie te delen, als dit wordt beperkt dan haal je de essentie van het gebruik sociale media weg. Dit is dat het gebruik van sociale media extern, intern gehoste sociale media zoals Yammer werkt niet anders dan een SharePoint en is vaak veilig. Wat vindt je van de privacy kwesties die je regelmatig in het nieuws tegenkomt betreffende sociale media? Google en een Facebook zijn beiden commerciële bedrijven en deze bieden een gratis dienst aan. Het lijkt erop dat er bepaalde mensen zijn die graag de baten willen hebben van deze diensten willen hebben, maar zodra dit enig sinds de privacy raakt dan vindt er veel ophef plaats. Vooral in de politiek zie je deze tendens gebeuren. Kijk in deze wereld is niks gratis, dus ook niet bij het gebruik van sociale media. Heb weleens de voorwaarden van google uitgeprint, jammer is dat ze weleens veranderen en je niet altijd op de hoogte wordt gesteld daarvan. Je gegevens zijn in principe niet van jou, sterker nog google kan afsluiten wanneer het zin heeft om af te sluiten. Dit zou overigens een groot sociale effect kunnen hebben, men is er eigenlijk niet van bewust van hoeveel macht wij hebben gegeven aan een google. Je kunt gratis tussenhaakjes mailen en andere diensten gebruiken van google, maar men wil daar niet voor ‘betalen’. Er bestaat ook een commerciële variant van google, waarvoor je dus voor dient te betalen (Google Enterprise). Hier zijn andere voorwaarden voor. Ik maak me soms weleens boos over het feit dat mensen zeggen: ‘Google verkoopt onze gegevens’, terwijl er gewoon een commerciële variant op de markt is waarin dit niet gebeurd. Je krijgt er ook een bepaalde SLA voor terug met een aantal afspraken, je kunt dan ook iets eisen van google. Nu maak je gebruik van een gratis dienst en wilt tevens iets eisen. Zie je issues tussen het gebruik van Sociale Media en de huidige wetgeving zoals de Wbp? Google is een Amerikaans bedrijf en heeft in verschillende delen van de wereld zijn data centers staan. We hebben wel een wereldwijd netwerk, dat internet heet. Maar we hebben verschillende jurisdicties, waarin (volgens juristen) er tegensprekende en inconsistente wetgeving en verschillende gradaties van strengheid aanwezig is. Sommige landen zijn strenger dan andere landen hierin. Er wordt vaak gezegd dat Google zich aan de lokale wetgeving moet houden, echter wat je vaak ziet is dat lokale wetgeving vaak achterloopt. Nederland is dan misschien niet zo een goed voorbeeld hierin, omdat deze nog weleens wat wijzigingen doorvoert in de wet en regelgeving. Ik denk zelf dat men toe zou moeten naar een internationale wetgeving in plaats van het lokaal te willen oplossen. Wat ik juristen moeilijk kan uitleggen, ik heb het weleens met ze erover gehad van hoe moet het dan en hoe kan ik het afbakenen en de data in Nederland kan houden. Ten eerste wat is jullie definitie van informatie c.q. data en waar heeft google deze data geplaatst zit het in Nederland of zit het in andere landen of zijn er meerdere rechtsdomeinen c.q. jurisdicties van toepassing. Een ander is jou data zeker voor commerciële toepassingen wordt niet alleen opgeslagen, wordt ergens verwerkt, gebackupped of gearchiveerd. Waar moet je dan aan die wet houden dan? Als jij een email stuurt naar China dan staan jou gegevens ook in China. Is de Chinese provider dan ook gehouden aan de Europese wetgeving? Het 67
zijn jou gegevens die wel naar China zijn gestuurd, is het dan mijn eigen verantwoordelijkheid? Dit is niet altijd even duidelijk. Hierin zie je dus de discrepantie tussen de juridische werkelijkheid en de technologen werkelijkheid. Sociale media heeft een enorme sociale impact, zie het weinig bij bedrijven zelf terug, maar als je ziet hoe mensen met elkaar omgaan met sociale media zoals Facebook, Linkedin en Twitter. De wetgeving loopt hierin achter en in plaats dat het faciliterend is en dat het zekerheid in de markt dient te geven zodat mensen kunnen innoveren en leuke dingen mee gaan doen, probeert het dingen te beperken. Het gaat dus niet om vertrouwen in bv Facebook of google te hebben, maar meer proberen een generieke wereldwijde wetgeving te creëren. Dit is overigens makkelijker gezegd dan gedaan. Steeds meer bedrijven gaan naar Cloud omgevingen toe en daar zie je deze problematiek dus ook. De vraag is dus in hoeverre de wetgeving nog actueel is en of deze nog van deze tijd is. Juristen hebben de neiging om wetgeving ingewikkeld te maken. Welke risico’s zie je bij het gebruik van Sociale media? Er zijn meerdere risico’s te benoemen. Een risico is enerzijds in het gebruik ervan zelf, namelijk het zo genoemde identity theft. Waarbij gebruikers fake accounts aanmaken en gebruiken, ik zie dat als een potentieel groot gevaar. Er is wel wat wetgeving over het aanmaken van fake accounts, maar iedereen is vrij om een account aan te maken met een soortgelijke naam te gebruiken met underscore of cijfers en daarmee verkeerde dingen te posten. De vraag is of je dit kan voorkomen en laat staan of je kunt achterhalen wie dit heeft gedaan. Een ander risico is anderzijds bij de dataverwerking en dataopslag. Ik zie een potentieel gevaar in de hoeveelheid data dat opgeslagen wordt in de Cloud bij deze grote bedrijven zoals Facebook en Google. Als bij deze bedrijven een hack wordt gedaan dan is de impact zo groot dat het bijna niet te overzien is. Als bijvoorbeeld Google gehackt zou worden en Gmail is niet beschikbaar of iemand heeft jou gegevens gestolen en de service is uit de lucht en stel dat dit bij miljoenen gebruikers van Gmail plaatsvindt, waar dus ook veel vertrouwelijke informatie instaat dan is de sociale impact hiervan enorm. Als Facebook uit de lucht zou gaan of iemand besluit Facebook te hacken en bijvoorbeeld de server ervan zou worden besmet met malware. Dan is de impact ervan niet te overzien. Zelfde bijvoorbeeld als Verisign gehackt zou worden. In principe is de kans klein ervan maar de impact is dus enorm. Het verschil bijvoorbeeld met het besmetten van een waterleiding of het exploderen van een kerncentrale met hacken van een sociale media dienst via internet is dat het laatste kinderlijk eenvoudig kan zijn om het onderuit te halen. En daarnaast is er weinig wetgeving voor dat laatste maar dan kom ik eigenlijk weer uit op de wetgeving. Er is te weinig wetgeving die daadwerkelijk de internetcriminelen aanpakt. We moeten het vaak doen met oude wetgeving. Het is wel raar want veel Cloud oplossingen wordt vaak gezegd men moet zich aan de lokale wetgeving houden, maar internetcriminelen die vanuit Ukraine of China opereren die kun je met lokale wetgeving niet pakken. Heel raar, sterker nog er is een casus geweest met een wit Russische hacker die gepakt is maar doordat er geen uitleveringsverdrag is tussen wit Rusland en Nederland kon hij niet vervolgd worden voor zijn daden in Nederland. Vanuit Wit Rusland werd aangegeven dat ze maar in Nederland een server moesten blokkeren, een beetje rare oplossing. Wij hebben een koppeling getracht te maken tussen code voor informatiebeveiliging en de av23 van het CBP. Wat vindt je ervan en denk je dat normenkaders hulp kunnen bieden bij audits? Dit kun je inhoudelijk het beste aan een jurist zelf vragen omdat ik zelf niet voldoende afweet van de materie. Een normenkader kan zeker een goede aanvulling zijn, echter bij privacy audits gebruiken wij bij ons kantoor vaak juristen omdat het toch wat ingewikkelder in elkaar zit dan gedacht. Bij security audits is het wat makkelijker om zoiets te hanteren en wordt vaak het boeren verstand gebruikt. Ben zelf niet zo een voorstander van de checklist methodiek van normenkaders, omdat in de praktijk het normale boerenverstand vaak toch het beste resultaat geeft. Het afwerken van een checklist zorgt ervoor dat een 68
auditor zijn eigen intelligentie en inzichten niet gebruikt. Het gebruik van normenkaders als checklists in een tijd waarin de techniek zo snel veranderd en elke dag iets nieuws bij komt is heel erg lastig. Als auditor wil ik graag een stempel zetten dat iets goed is maar ik wil wel zeker weten dat die stempel het juiste weerspiegeld en ik niets over het hooft gezien heb. De principal based benadering is in deze denk ik een betere methode. Echter bij bedrijven die helemaal niets hebben ter controle of bij audits kan een normenkader een goed begin zijn.
69
Bijlage 3b: Gespreksverslag geinterviewde II Wij hebben de gegevens die in sociale media worden opgeslagen gecategoriseerd in risicoklasse 1 of Welke risicoklasse denk jij dat dit hoort? Het is heel lastig om sociale media gegevens in een risicoklasse te plaatsen omdat je niet precies weet welke gegevens er precies geplaatst worden in sociale media. Klant van ons die handelt in persoonsdata, die koopt in en verkoopt eigenlijk valt dat dan onder risicoklasse 0. Dat zijn gegevens wat je op straat kunt oprapen, zoals waar je woont en je telefoon. Maar op het moment dat je weet voor wie het bedoeld is en dus verbanden kunt leggen voor wie het bedoeld is. Dan is het dus een beetje een grijs gebied als je zegt het is bedoeld voor bijvoorbeeld het kankerfonds. Dat is dus ook wat PET (Privacy Enhancing Technology) voorschrijft. Die zegt, je deelt je data in verschillende blokken. Risicoklasse 0 zijn in principe jou gegevens en mijn gegevens dat is openbaar en op het moment dat je het kunt koppelen met tabellen met privacy gevoelige tabellen dan volgt er een hogere risicoklasse. Dit omdat je verbanden kunt leggen. Dit is waar PET op hammert. PET is een boekwerk met hoe kun je er nou voor zorgen dat privacy gegevens goed worden beveiligd. Een richtlijn hoe je het zou moeten doen. Denk je dat de Wbp achterloopt op de technologie? De wet loopt niet achter op de technologie. De wet zegt dat je passende maatregelen moet nemen. Daarbij moet je rekening houden met het soort organisatie. Er is een verschil of je een organisatie bent van 5 man of van 1000 man en welke maatregelen je moet treffen. En anderzijds geeft het aan dat je moet kijken naar de techniek op dit moment. Je moet rekening houden met wat passend is naar technische maatstaven van dit moment. De wet zegt niet dat je encryptie sleutels moet gebruiken. Vindt je dat gebruikers zelf verantwoordelijk zijn voor het plaatsen van privacygevoelige informatie op sociale media? Als gebruiker vertrouw je erop dat sociale media zijn of haar privacy gewaarborgd wordt. Google geeft zelf aan bij het gebruik van Gmail dat je privacy pas wordt beschermd en gewaarborgd als je ervoor betaald. Je gaat in zee met een gratis dienst dus je moet je bewust zijn van wat er geplaatst wordt, maakt in principe niet uit of het in zakelijk verband of prive verband wordt gedaan. Als je allerlei dingen op twitter loopt te verkondigen dan kun je niet voorkomen dat iemand het niet kan lezen. De stelling: Je bent als gebruiker dus eigenlijk het grootste risico ben ik absoluut mee eens. Denk je dat sociale media onderdeel zou moeten zijn van het beveiligingsbeleid? Ja dat denk ik wel, als je het hebt over een bedrijf en medewerkers gaan met sociale media werken, waarschijnlijk doen ze dat zo wie zo al. Dan is het goed om als organisatie na te denken, van hoe vertel ik mijn medewerkers waar ze mee moeten oppassen wat ze over ons kantoor roepen op sociale media. Je kunt niet tegen houden dat mensen prive dingen roepen. Maar wel wat ze over hun werksituatie of over hun klanten zeggen. Je moet zorgen dat er een beleid voor geformuleerd wordt en dat het uitgedragen wordt door de organisatie. Er zijn genoeg voorbeelden te noemen van de youtubes en de Facebooks. Mensen realiseren zich niet gauw wat het effect is. Je hebt het over sociale media, hoe jij handelt op sociale media is gelijk aan hoe jij handelt op een verjaardag. In onze arbeids overeenkomst staat dat wij ons aan een bepaalde afspraken moeten houden en dat is dat we niet praten over onze klanten op verjaardagsfeestjes en andere gelegenheden. Dit is toch een stukje beleid. Je raakt hoe jij met mensen communiceerd en social media is er deel van. Ik geloof niet dat je mensen moet verbieden. Dit werkt niet. Denk daarom ook dat er een passende training en bewust wording gecreerd moet worden bij de medewerkers. Afhankelijk van wat voor soort bedrijf dien je er beleidsmatig over na te denken, vervolgens kijk je hoe belangrijk is het en wat zijn de risico’s en wat moet ik er mee doen. 70
Wat zie jij als grootste risico bij het gebruik van Sociale Media? Dat je uitlatingen doet waardoor de organisatie schade ondervindt. Daarbij moet je denken aan imagoschade. Voor de organisatie en voor de medewerker zelf, namelijk zijn ontslag. Intern gehoste sociale media, zoals een sametime of een Yammer hebben veel kleinere risico’s dan extern gehoste sociale media, zoals een Facebook of Google. Daar is je grootste risico afbreuk risico en in een doem scenario het lekken van gevoelige data. Binnen je netwerk, binnen je mensen en blijft het veiliger. Je hebt geen afbreuk risico dat je lekt naar derden. Naar mijn mening gaat sociale media erom dat je berichtjes plaatst en communiceert zoals Facebook of Twitter. Als jij iets negatiefs uitlaat op een Facebook, dan gaat het naar al jou volgers en deze kunnen deze kunnen er vervolgens ook weer van alles mee doen. Ze kunnen het weer delen, je krijgt een soort sneeuwbaleffect. Jij bent dus de greep kwijt over je initiele bericht. Dit staat dan los van het feit of hoe goed Facebook of Google het beveiligd heeft. Dan is het de gebruiker die er verkeerd mee omgaat. Het risico van welke gegevens Facebook opslaat en verwerkt is vele malen kleiner dan de manier waarop gebruikers omgaan met het plaatsen van berichten. De Wbp is van toepassing binnen de Europese landsgrenzen en Nederland. Stel dat Twitter geen vestiging in Nederland heeft hoe zorg je ervoor dat gegevens goed worden verwerkt? Er zijn organisaties die in Tweets handelen en Tweets worden dus al commercieel verkocht aan derden. Ik ken een bedrijf die 10 miljoen Tweets heeft gekocht om trendanalyses maken op basis van hashtags om beursnoteringen te voorspellen. Ze hebben zelfs gezegd dat op basis van Tweets wisten ze een half dag van te voren dat Bin Laden vermoord wou worden. Zij zeggen, dat als je gericht trendanalyses kunt doen dan kun je op bepaalde momenten een trend zien dat dingen gaan gebeuren. Maar ze kopen dus wel Tweets, er is een bedrijf in Engeland waar ze deze Tweets vandaan halen. Er wordt dus in gehandeld terwijl ik daar zelf geen toestemming voor gegeven hebt. Ik weet niet hoe dat zit maar het is wel interessant in deze discussie. Ik ben er niet van bewust, maar misschien staat er ergens op Twitter iets met kleine letters dat mijn Tweets hiervoor gebruikt worden. Iedereen kan dus elkaar volgen en makkelijk volgen. Alles wat jij Twittert is dus niet privacy beschermd. Wat je Twittert is openbaar, het maakt dus verder niet uit hoe je het beveiligd. Het is openbaar dus het valt onder risico klasse 0. Dus als je Twittert en je plaatst bedrijfsgevoelige gegevens dan is heb je pech en is het je eigen schuld. Hoe zit het met Amerikaanse sociale media bedrijven die niet onder de Wbp vallen. Hoe kun je ervoor zorgen dat zij hun gegevens toch volgens de Wbp maatstaven zouden verwerken? Het enige manier om het goed aan te pakken is door internationale wet en regelgeving. Facebook heeft natuurlijk een bepaalde verplichting zowiezo en draagt in hun statement echt uit dat privacy hoog in het vaandel te hebben, anders kunnen ze de tent sluiten. Maar zij geven ook aan dat zij geld verdienen met de gegevens die zij in hun handen hebben, door advertenties en dergelijken. Dus dat is voor hun een gigantisch bedrijfsrisico. De vraag is natuurlijk hoe gebruikers zouden reageren op een lek bij Facebook zelf en hoe erg ze dat zelf zouden vinden. De reden dat ze bij Facebook zitten is natuurlijk omdat hun vrienden er ook op zitten en omdat je er makkelijk mee kunt communiceren. We hebben een koppeling gemaakt tussen de hoofdstukken van de AV23 en deze vergelijken met de code voor informatiebeveiliging. Denk je dat dit de lading dekt en aanvullende zekerheid geeft voor de organisatie? Dit dekt je wel tegen claims maar niet tegen imagoschade. De AV23 is gebaseerd op de Wbp en is voor bedrijven die gegevens verwerken. In principe maakt het niet uit of dit intern of extern gehost wordt alleen dat je bij intern gehoste dan zelf de sociale media aanbieder wordt.
71
Als je deze met elkaar vergelijkt dan geef je dus eigenlijk aan dat er in AV23 iets ontbreekt waardoor er geen waarborg bestaat dat de sociale media aanbieder zich houdt aan de Wbp in het kader van beveiliging, dit wordt door de interviewers inderdaad bevestigd. Ik zie dat een aantal hoofdstukken van de Code van Informatiebeveiliging ontbreekt. Fysieke beveiliging hoofdstuk vanuit de Code voor Informatie beveiliging ontbreekt in onze match tussen de 14 hoofdstukken uit AV23 beveiliging en de code voor informatiebeveiliging. Hoofdstuk 12 van de code voor Informatiebeveiliging mist ook in de AV23. Vanuit de organisatie moet je onderkennen dat je niet weet hoe er met gegevens op sociale media zoals Facebook wordt omgegaan. Je kunt dan waarschijnlijk alleen maar denken, het zal wel goed zijn wat een Facebook doet. Binnen je organisatie dien je afspraken te maken door bijvoorbeeld sociale media gebruik op te nemen in een beveiligingsbeleid en met awareness van je personeel bezig te zijn. Denk je dat er meer gesteund moet worden op vertrouwen in plaats van op controle? Vertrouwen is goed maar controleren is beter. Kijk naar Diginotar, die hadden dit geregeld.(refererend naar de code voor Informatiebeveiliging )Dit is ook het makke van normenkaders, Diginotar had ook alle zaken goed geregeld op papier. Het is leuk dat dat je procedures bedenkt maar je moet ook naar de techniek kijken. Procedures zijn leuk maar het juist mis waar ze buiten de procedures om gaan handelen. Dit gebeurt in de praktijk gewoon. Procedures kunnen dus zowel op opzet, bestaan en werking getoetst worden alleen als er niet gekeken wordt dat er ergens een server gebruikt wordt om dingen op te dumpen dan gaat je procedure dus mis. Die backdoors zitten vaak niet in de scope. De 2e kamer heeft gezegd als gevolg van de gebeurtenissen van digid. Iedereen die digiid gebruikt wordt jaarlijks verplicht gesteld om geaudit te worden door een EDP-auditor (RE). Ze hebben daar een normenkader voor gemaakt gericht op webapplicaties. Daaronder valt oa een hacktest. Zij zien het belang in dat je niet alleen naar procedures moet kijken maar ook periodiek een technische test moet laten uitvoeren. In het kader van het onderzoek van sociale media zou het dus ook verder moet gaan dan procedureel. Er moet ergens een vinger aan de pols worden gehouden.Als je een audit laat uitvoeren laat dan ook een penetratietest uitvoeren. Tekenend dat de tweede kamer daarmee komt. Dat toch het besef begint door te druppelen dat er toch naar andere dingen gekeken moet worden. In jullie onderzoek en nu met wat er met diginotar en digid is gebeurt moet je eigenlijk moet je eigenlijk een stap verder dan alleen een normenkader. Dit geeft eigenlijk aan dat de Nen onvoldoende waarborgen bied in het geval van Diginotar. Dit zijn eigenlijk je general IT controls die een stuk werking moeten waarborgen maar dan ben je er niet. Je moet ook je gezonde verstand gebruiken maar je moet dus echt onder de motor kap kijken. Dit kader is statisch, de Code voor Informatiebeveiliging schrijft voor hoe jou security, vanuit de deming cyclus (Plan-Do-Check-Act) in elkaar moet zitten.
72
Bijlage 3c: Gespreksverslag geinterviewde III Wij hebben ons onderzoekskader gespiegeld aan de AV23 van het CBP uit 2011. Wat vindt u daarvan? Ik vind de AV23 een gedateerd document, echter er is geen nieuwere versie. Even voor alle duidelijkheid privacy is meer dan alleen persoonsgegevens bescherming. Ik snap dat voor de IT-auditor het van belang is de informationele privacy eruit te lichten. Je dan maar slechts een subset daarvan. Het is belangrijk dat je je realiseert dat je het zo perfect kan hebben geregeld maar dan nog kunnen er privacy issues in organisaties aanwezig zijn. Wij hebben de privacy beginselen die gehanteerd worden vanuit de PET (Privacy Enhancing Technology) document gebruikt. Wat vindt je daarvan? Ik denk wel dat het een goede kapstok zijn maar dit is een beetje de botsing van juristen en de rest van de samenleving: Als je het over beginselen hebt dan heb je het over fundamentele grond beginselen. En dan is de bescherming van de persoonlijke levenssfeer een fundamenteel beginsel. In feite dien je dit met veel concretere principes. Wat jullie kwaliteit noemen wordt in de praktijk meestal proportionaliteit genoemd. Dit houdt in: Je mag wel gegevens verzamelen maar dat hangt samen met de doelbinding (ander privacy beginsel). Je mag niet meer gegevens verzamelen dan als je je doel kunt bereiken met minder gegevens en dat wordt dan proportionaliteit genoemd. Er staan letterlijk een aantal opmerkingen in de wet die over kwaliteit en de integriteit van de gegevens gaan. Dat je een kopje kwaliteit hebt lijkt mij niet gek, ik werd echter getriggerd door de tekst: ‘Niet bovenmatige’ dat valt meer onder het tabje proportionaliteit en die is veel meer gerelateerd aan de doelbinding. Vooral de juistheid van de gegevens. Gegevens verlies en het verloren gaan van gegevens kan ook al een inbreuk zijn op de Wbp. De CBP is overigens gezaghebbender dan dat ik ben. IT-ers kunnen niet veel met begrippen als proportionaliteit. Dus ik kan mij best voorstellen dat er andere afweging is geweest om deze termen te gebruiken. Bij het gebruik van het beginsel beveiliging snap ik jullie onderzoek wat beter. Eigenlijk zeggen jullie: Aanbieders van Sociale Media zijn bewerkers en hoe ga je hier toezicht op houden en hoe ga je je interne controle op orde krijgen. Mijn lange antwoord is nee dat lukt je niet. Wat wij eigenlijk al gelijk tegenkwamen was de territoriale werking van de Wbp. Wat vindt je hiervan? Klopt, de territoriale werking is een enorm wespennest. Het nieuwe voorstel van Vivianne Reding doet daar een uitspraak over. In de huidige setting vanuit de Wbp is dat een verwerker een vestiging in Nederland dient te hebben. Er ligt een voorstel in Brussel, een opvolgende richtlijn, een verordening. Hierin staat als gegevens betrekking hebben op Europese burgers dan valt dat onder jurisdictie van de Europese Unie. Dit voorstel is met name niet goed gevallen in met name de VS om redenen die jij je kunt voorstellen (Refererend naar de Patriot Act).
We merken toch regelmatig dat vaak privacy settings worden aangepast zo ook bij bijvoorbeeld LinkedIn maar hier wordt dan niks over gecommuniceerd. Wat vind je daarvan? Nou is Linkedin een leuk voorbeeld want het heeft een Nederlandse BV gevestigd op Schiphol. Maar het algemeen beeld is dat bedrijven zich heel matig aan de Wbp houdt. Ook partijen die Europese vestigingen hebben en duidelijk Europese activiteiten ontplooien, dat heeft deels met onbekendheid te maken en deels met onwil. Er staan heel weinig sancties tegenover. Alleen de brute dingen zoals bijvoorbeeld het VU ziekenhuis heeft uitgespookt met camera opnames die worden dan wel. 73
We hebben de 14 punten gekoppeld aan de code voor informatiebeveiliging in ons achterhoofd gericht op technische en organisatorische maatregelen en trefwoorden die gebruik worden is verlies en onrechtmatige verwerking. We waren benieuwd wat je hiervan vindt? Verlies en onrechtmatige verwerking zijn lastig om vanuit de code voor informatiebeveiliging te beoordelen. Waar ik geneigd zou zijn is je te verdiepen in de aard en complexiteit van de gegevens verwerking. Ik denk dat je daar als EDP-auditors in de dop uitspraken over kunt doen. Dit document van het CBP zegt ook in het kader van de 3 risicoklassen dat de complexiteit omvang en de gevoeligheid van de gegevens de belangrijke aanknopingspunten zijn. Complexiteit is wel iets dat je kan meten, omvang kun je ook uitspraken over kunnen doen. Facebook zit qua omvang al een klasse hoger, mochten zich al iets aantrekken van deze risicoklasse. Het document van 2001 waarmee jullie mee aan de haal zijn gegaan is verschrikkelijk gedatteert maar biedt tegelijker tijd ook intressante aanknopingspunten ook voor de praktijk van nu om die afweging te kunnen maken van hoe zwaar moet ik er in gaan zitten. Iedereen is vrij om te posten wat hij wilt op Sociale Media, in artikel 16 van de Wbp staat iets vermeld over bijzondere gegevens. Stel iemand post dit soort gegevens, in hoeverre is de privacy dan gewaarborgd? Ergens verder op in de Wbp staat vermeld dat bij het posten van bijzondere gegevens dat er nadrukkelijk toestemming van de betrokkenen moet zijn. Die nadrukkelijk e toestemming gaan wij juristen wat van vinden. Dan nog denk ik dat je met de uiteindelijk handhaving operatie als blijkt dat de betrokkenen zelf is geweest die die gevens op Facebook heeft gezet dan nog kun je stellen dat betrokkene en verantwoordelijke samenvallen. De definitie van de verantwoordelijk is degene die bepaalde welke gegevens en middelen verwerkt worden en voor welke doeleinden. Bij het zelf plaatsen ben je zelf de verantwoordelijke en de partij die de classificatie had moeten toepassen en de passende en technische maatregelen had moeten vergen van Facebook, jou bewerker. De partij die onrechtmatig bezig is tegen de betrokkene is de betrokkene zelf. Het wordt anders dat als jij iets over je ex meldt die bijvoorbeeld joods is of je hebt een bekende die HIV positief is ofzo. Dit gaat namelijk over iemand anders. Als je als bedrijf of medewerker van een bedrijf op sociale media begeeft. Dan zal je zelf maatregelen moeten treffen voor risicoklasse 3? Volgens de letter van de wet, als je een medewerker uit hoofde van zijn functie op Sociale Media laat gaan, en hierbij worden persoonsgegevens verwerkt want onontkoombaar is dan moet het bedrijf een beperkingsovereenkomst aangaan met bijvoorbeeld Facebook. Er van uitgaande dat de medewerker zodanig in Facebook zit en dat zijn eigen netwerk ermee ingetrokken wordt. Je hebt ook genoeg bedrijven die posten vanuit hun Twitter account in naam van de organisatie en ook een aparte eigen account hebben. Ik ben van mening dat mijn eigen Twitter account ook daadwerkelijk mijn eigen Twitter account is. Dit is overigens de grote uitdaging bij sociale media: wie ben je in welke context. Heel plat geslagen, kan je als bedrijf op Facebook begeven als jij het corporate Facebook account gebruikt in het kader van je functie. Het aan derden verstrekken van persoonsgegevens gegevens van je medewerkers valt onder de instemmingsbevoegdheid van de ondernemingsraad. Stel dat Shell besluit dat alle medewerkers moeten aangeven dat ze bij Shell werken dan zou je op dat terrein een discussie kunnen krijgen. Wij hebben vervolgens beveiliging uit de privacy beginselen van het PET uitgelicht en deze 14 hoofdstukken van de AV23 en naast de code voor informatiebeveiliging gelegd. Wat vindt je van deze benadering? Ik ben zelf geen administratieve organisatie of edp achtige achtergrond. Dus ik ken de hoofdstuk indeling van de code voor informatiebeveiliging niet echt, dus dat is erg lastig. Ik snap wel dat je het wilt mappen, maar dat is lastig in deze. Deze hele set van 14 punten wil je aan een externe partij opleggen bij het verwerken van gevoelige gegevens. Sociale Media zijn grote partijen met generieke diensten en ook dat 74
zijn gratis diensten waar je gebruik van maakt ook als je ervoor betaalt zijn het niet de bedragen die je ervoor betaald. Ik snap wel dat bedrijven actief willen zijn op sociale media maar doet dit dan als bedrijf en niet op het niveau van de medewerker zelf. Weet niet eens of het beveiligingsvraagstuk zo interessant is in deze maar ik denk dat het rechtmatigheidsvraagstuk een veel belangrijkere in deze is. Bij sociale media diensten is het vaak zo dat werksfeer contact vaak ook in je privésfeer contacten komen. Dat is iets waar je als bedrijf geen toegang voor hoeft te krijgen. Als dat andere is een keuze van de betrokkene wat die blootgeeft op sociale media. Mijn onderbuik gevoel zou gaan knellen als een contact van een medewerker op sociale media zich ineens in bedrijfscontext zou belanden. Ook dat is een keuze van de betrokkene zelf. Als je het vanuit bedrijfscontext gaat benaderen zijn het niet altijd persoonsgegevens meer, maar bedrijfsgegevens. Als je namens je organisatie aan de knoppen zitten dan ben je de organisatie, maar dan gaat het echt om een corporate account. Ik kan me best voorstellen dat als iemand iets publiceert op sociale media over zijn of haar organisatie wat negatief is dat daar disciplinaire maatregelen op volgen. Maar dit is een andere discussie, namelijk uitingsvrijheid en wat mag een medewerker wel en niet zeggen. Het grootste risico hiervan is dus het oplopen van Imago schade voor je organisatie. Daar zie je organisatie al een hele tijd mee worstelen. Wij hadden het gevoel dat je je medewerkers wat bewuster zou moeten maken over het gebruik van sociale media dit komt dus ook terug in ons kader. Zou dit kader een goede hulp kunnen zijn voor het gebruik van sociale media bij organisaties? Ik vind het voor sociale media wat zwaar overkomen. Er gaan mensen vaak beleid ergens op maken. Er is ooit eens een bekende Amsterdamse wethouder (Schaeffer) geweest die zei: Is hier over nagedacht of is dit beleid? Een belangrijk argument en daar heb je gelijk in. Internet gebruik op de werkvloer, ook daar wordt geprocedeerd, werknemers die vormen van ontspanning zochten die niet strookten met het beleid van de organisatie. Wanneer treed je daarin op en wanneer niet. Als je als bedrijf geen uitspraken hebt gedaan over hoe mensen zich op het internet moeten gedragen dan is ook alles goed. De klassieke zaak van kinderporno verspreid dat is een strafbaar feit daar heb je geen beleid voor nodig. Maar uitingen over sociale media is een ander verhaal. Grote organisaties hebben al een beleid hierop, je praat niet over bedrijf maar verwijst naar PR afdeling. Ik denk zelf dat de code voor informatiebeveiliging zeker een goed middel kan zijn bij middel groot tot grote organisaties. Dan in de zin van, hoe ga je om met sociale media en dit daarin te kaderen dan dat je een heel kader op sociale media gaat leggen. IK kan me voorstellen dat je het omdraait en bijvoorbeeld bij de Facebook iphone/android app staat erom bekend dat ze je heel telefoonboek naar Facebook door leveren. Er is in het nieuws geweest dat Facebook het sms verkeer bekijkt, als dit een zakelijk toestel is dan kom je op een gebied dat dit soort diensten leveranciers in je informatiehuishouden aan het kijken zijn. Wat mij interessant zou lijken is om te kijken hoe ik het gebruik van sociale media aanpas met name mobiele Apps in combinatie met het extreme dataminen van deze partijen als ook overheden die over de schouders mee kijken hoe kan je een uitspraak doen vanuit de code voor informatiebeveiliging een uitspraak doe over wanneer wel en wanneer niet je dit soort toepassingen toestaat in een organisatie. Daarnaast moet je uitkijken om de code voor informatiebeveiliging op je organisatie loslaat en vaak zijn de mensen die over sociale media gaan geen IT mensen. Dit zijn vaak mensen van PR en marketing achtigen. Iets zegt me dat je hiermee niet echt gaat scoren in een organisatie bij die doelgroep. Men zou meer op vakmanschap moeten vertrouwen van de auditor dan met vinkjes lijsten werken, al zie je dat laatste vaak in praktijk wel regelmatig gebeuren. Kun je van privacy naar informatiebeveiliging? Een belangrijke aanleiding om aan informatiebeveiliging te willen doen naast je commerciële vertrouwelijkheid van de gegevens is gewoon je wettelijke verantwoordelijkheid en ook je morele verantwoordelijkheid. Jegens je personeel en je klanten, misschien ook je toeleveranciers. Waar iedereen mee worsteld is de vertaling van de principes uit artikel 13 van de Wbp naar de dagelijkse praktijk. Dit is 75
mooi technologie onafhankelijk gedaan maar zo technologie onafhankelijk dat de techneuten er niets mee kunnen en er dus ook niets mee doen.
In hoevere denk jij dat de Wbp jou privacy beschermt binnen Sociale Media? Niet of Nauwelijks. Alleen al de handhavingsbevoegdheden van het Cbp, we zitten zo wie zo met een verticale handhaving, handhaving vanuit de overheid. Als burger heb je niet zoveel directe middelen om als mij iets niet zint om dit aan te pakken en dat het relatief kostbaar is. Bijvoorbeeld, ikzelf heb een rechtszaak lopen bij bedrijf X. Ik heb het op een rijtje gezet en als ik zelf geen jurist was geweest dan was ik al 10.000 euro verder geweest. Het Cbp heeft in het dossier een dwangsom opgelegd, maar dit heeft 5 tot 6 jaar tijd doorlooptijd gehad. Dat zijn hele grote maatschappij rakende dossiers. Als je kijkt wat het Cbp aan korte termijn effectiviteit haalt dan is dat laag en dan heb je nog zoveel meer issues. Met name de rechtsmatigheids afweging van proportionaliteit die zit in bijna geen enkele organisatie. Ik denk dat zelfs wij daar een fout in maken en dat zal voor jullie werkgevers niet anders zijn. Dat bewust zijn van zo min mogelijk persoonsgegevens verwerken is extreem laag. Er zit een verschil in perceptie tussen IT-er en Jurist, een IT-er weet meestal niet dat het kan en hoe dit zou moeten en een Jurist weet meestal dat het moet maar ik mag niet meer gegevens verwerken dan strikt noodzakelijk is en voor de vraag wat strikt noodzakelijk is moet hij weer bij de techneut zijn die niet weet dat het minder kan en zegt het moet echt met minder gegevens. Jurist denkt dan ik heb me werk gedaan er van uitgaande dat ie weet wat de Wbp inhoud zoals de Burgemeester Utrecht die jurist is en zei: mijn vingerafdruk is toch geen persoonsgegeven (2010). De bevoegdheden zijn er niet, de bewustheden bij de mensen die ze zouden moeten hebben is nihiel dus ik voel mij niet bijzonder beschermd door de Wbp. Het is niet helemaal nul, ik heb wel vertrouwen dat als het echt gillend uit het bocht vliegt dan er dan wel ingegrepen wordt. Zie het voorbeeld van het VU ziekenhuis. Ik vind het geen gek idee om het document uit 2001 te koppelen aan de Code voor informatiebeveiliging en wat kan ik in de praktijk van 2012 ermee, ik vindt het een hele zinnige exercitie. Daar kan ik je minder mee helpen omdat ik niet in de Code voor informatie beveiliging in zit, misschien dat het dan wel een reden is om daar in te duiken. Dat staat los of je het aan Sociale Media moet koppelen of niet. De Code voor informatiebeveiliging gaat ervan uit dat de rechtmatigheidsvraag al beantwoord is. Dat is een basis veronderstelling die erin opgenomen zit. Die doelbinding ga je daar dus niet in terug vinden. De Code van Informatiebeveiliging gaat ervanuit dat dit al geregeld is. En een ander vraagstuk: De rechten van de betrokkenen die zie je zowel binnen sociale media als buiten Sociale Media heel slecht geregeld. Bijvoorbeeld het verwijderingsrecht, de meeste systemen zijn niet eens ingericht om het daadwerkelijk wissen van gegevens en dit staat los van al de back-ups die ooit gemaakt zijn. Een goed voorbeeld ervan is de zaak in Facebook Ierland waarbij iemand zijn gegevens opvroeg en erachter kwam dat ze meer gegevens hadden dan dat je kon zien aan de voorkant. Daar is Facebook overigens niet uniek in, waarschijnlijk gebeurd dat in je eigen organisatie ook bij het wissen van gegevens. Er vinden regelmatig privacy schendingen plaats, alleen in een bedrijfscontext kun je er vaak niet zo heel veel aan doen in het kader van sociale media, behalve dan zich terughoudend opstellen in de mate waarin je daarin participeert. De beurswaardering van Facebook is gebaseerd op het idee dat ze die gegevens ooit gaan verkopen, de vraag is natuurlijk als bedrijven deze gegevens afnemen van sociale media diensten hoe gaan we voorkomen dat daar geen gevoelige informatie tussen zit. Dus de vraag hier zou zijn of je dan niet al een risicoklasse hoger moet gaan zitten omdat de kans dat gevoelige informatie tussen zit groter is.
76
Bijlage 3d: Gespreksverslag geinterviewde IV Wat versta je onder Privacy? Ruim bekeken is dat het beschermen van de persoonlijke levenssfeer. In de context Informatietechnologie betekent privacy dat bescherming van de persoonsgegevens en dat niemand ermee aan de haal kan gaan. Dat ze niet zomaar gegevens kunnen gebruiken voor marketing toepassingen. Privacy binnen werksfeer? 3 vormen van persooonsgegevens dienen binnen het ziekenhuis gerespecteerd te worden. 1 is die van de patient dat is waarschijnlijk de belangrijkste, 2 zijn de medewerkers en 3 zijn de studenten. Ervaringen van Privacy In de 8 jaar als privacy officer, is opgevallen dat men respectloos omgaat met persoonsgegevens. Voorbeeld is dat iemand met een vraag kwam deze persoon had dan een lijst met persoonsgegevens en bepaalde uitslagen. Ander voorbeeld is dat bij de overheid mensen met bepaalde leesteken gewoon werden platgeslagen omdat het systeem slechts met 26 karakters omgaan. Het moet makkelijk zijn, terwijl de patient of persoon Loggen van gegevens is wel goed maar monitoren voor het raadplegen van gegevens is bijna onmogelijk. Businesslogic van creditcards is misschien iets interessant. Logging lijkt oplossing te zijn, maar er is geen ervaring voor. Ziet privacy niet meer als onderschoven kindje, er zijn een aantal incidenten geweest wat de media haalt. BITS of freedom is een organisatie dat steeds meer aandacht krijgt. Een issue zoals daniel het jongetje dat in in indonesie de vliegramp overleeft heeft en daarna de telegraaf met cameras in het ziekenhuis verscheen. Dat werd niet geaccepteerd. Dat het kan wil niet zeggen dat het moet. Maar nog niet Sinds 9-11 meer privacy geschonden van burgers? Door bepaalde groepen, in Amerika is dat voornamelijk door law enforcement in Nederland is dat voornamelijk door inlichtingendiensten ook bepaalde groepen. Heb daar totaal geen sympathie mee, maar de maatschappij lag daar niet zo heel wakker van. Vanuit social media gezien. Een van de financiers van Facebook is de Amerikaanse National Security Agency (NSA). Voelt niks aan de uitspraak van Marc Zuckerberg over dat Privacy dood is, je wilt niet 30 jaar naar dato nog herrinert worden dat je iets fout gedaan hebt omdat ergens een dossier is blijven liggen ergens. Grootste gevaar van Privacy ben je zelf? Is het daar mee eens met de mening, 1 omdat mensen niet bewust zijn wat ermee kan met de gegevens en 2 waar het allemaal mee gekoppeld kan worden. Voorbeeld bedrijfsuitje van proefdierenbedrijf worden fotos gemaakt er staat een nummerbord deze fotos worden op een sociaal media site geplaatst een activisten site komt erachter en gaat opvragen waar het nummerbord van de auto afkomstig en vraag de adresgegevens op een dag later is de auto afgebrand. Zo makkelijk kan het dus gaan. Webcrawlers worden ook gebruikt voor achterhalen van gegevens, deze worden niet alleen gebruikt door google maar ook door de ‘bad guys’. Bij het opzoeken van nieuwe collegas worden vaak social media sites benaderd voor het opzoeken van aanvullende gegevens. De Albert Heijn bonus kaart achterhaald is, gegevens worden alleen gebruikt voor het laten terugkeren van klanten maar de gerichte persoonsgerichte acties zijn een stuk minder. De reden daarvoor is dat de kaarten te vaak zijn uitgewisseld. De persoonlijke gegevens die worden waarschijnlijk niet gebruikt, omdat er teveel tegen beweging is geweest. Teveel anonieme gegevens. 77
Kwaliteitsaspecten doe je er iets mee? CBP geeft aan dat de betrokenne zijn gegevens juist worden verwerkt. Dus als mijn geboortedatum opgeschreven wordt dan moet de geboorte datum juist te worden ingevoerd. Vanuit IT-audit aspecten valt dit dus onder (Data) Integriteit. Vertrouwelijkheid, voor privacy begrippen het belangrijkst, ik vertel iets tegen jou en niet tegen iemand anders. Persoonlijk in een gesprek is het vaak 1 op 1, echter via email is het wat lastiger omdat het niet direct gaat dus er zitten wat tussenlagen. Qua social media is het lastiger, je plaatst iets aan de voorkant echter je weet niet wat er aan de achterkant gebeurd. Uitschrijven social media is ook amper mogelijk, hyves dien je dus de oprichter een mailtje te sturen zodat je je kan uitschrijven. Het zat er niet ingebouwd. Het is lang niet duidelijk welke gegevens aan welke groepen beschikbaar worden gesteld. Linkedin is tevens in opspraak geweest, omdat er wat geupdate werd waarbij zonder medeweten van de gebruiker de gegevens werden doorgespeeld aan derden voor marketing doeleinden. Alles door een vinkje aan of uit te vinken. Als gebruiker teken je voor gebruikersvoorwaarden waarin staat dat toekomstige veranderingen ook automatisch worden goedgekeurd. Beer zegt zelf geen pagina te hebben maar is zelf geneigd om een facebook pagina te openen en hem leeg te laten, want tegenwoordig zie je vaker dat mensen een pagina openen onder jou naam. En er wordt van alles op gepost waar je geen enkele invloed op hebt. Facebook presenteert een nieuwe feature timeline, waarin je zeg maar in het verleden kan kijken wat je status was en wie je vrienden waren en welke berichtje je verstuurd hebt. Gebruik je het WBP in je huidige werk als security officer? Ja bijna dagelijks. WBP en WGBO. Van belang zijn de Bijzondere persoonsgegevens die in het WBP staan vermeld dit betreft: ras, geloof, seksuele geaardheid en vakbondslidmaatschap. Als dat zo is, dan mogen de gegevens niet verwerkt worden, tenzij er een wet is die dat voorschrijft. In de ziekenhuis wereld komt dan de Wet op de geneeskundige behandelingsovereenkomst (WGBO) kijken. Hierin wordt vermeld dat Artsen en behandelaars een medisch dossier moeten aanleggen voor de patient. Zonder de WGBO hadden we in een ziekenhuis geen medisch dossier mogen aanleggen. Ervaringen met het WBP? Het WBP stamt uit de begin 90e jaren en is op een aantal punten een beetje verouderd. Er zitten principes in die niet echt van de grond komen. Een daarvan is je moet gegevensverwerking melden bij het CBP, tenzij je een functionaris gegevensbescherming in je organisatie hebt dan kun je dit bij deze persoon neerleggen. Juristen denken vaak dat het dan ervoor zorgt dat het CBP terug kan zien watvoor registraties er allemaal zijn en zo dan kan zien hey das interessant laten we eens daarop gaan zoeken. Dit is echter nooit de bedoeling geweest van het CBP. De bedoeling van het CBP was dat de burger terug kan zien waar er allemaal gegevensverwerkingen zijn en waarover ze zijn zodat je voor jezelf kunt nagaan of misschien een kans bestaat dat jou gegevens erbij staan. Het is dus transparantie naar de burger toe. Beer werkt al drie jaar in het ziekenhuis en heb nog nooit een patient gezien die vroeg hey ik ben benieuwd of hier gegevens van mij erin staan zou ik deze mogen inzien. Het transparantie mechanisme werkt niet. Sommige ziekenhuizen hebben geen functionaris gegevensbescherming en die melden dus deze gegevens netjes aan bij het CBP, echter daar zie je dus ook niemand naar toe gaan om gegevens op te vragen. Wordt je vaak pas achteraf in het livegang traject benaderd voor advies? Ja, het is wel minder maar dit gebeurd nog steeds erg vaak. Vaak meer van kun je dit goedkeuren want we gaan volgende week live. Als je dan aangeeft dat je hiermee graag eerder geconfronteerd had willen
78
worden, dan krijg je 2 reacties: of ze komen inderdaad eerder naar je toe met de vraag en 2 ze komen helemaal niet meer naar je toe.
Rol van het CBP? Het CBP is niet meer bereikbaar voor commentaar, ze hebben die rol niet meer. Stel je voor dat er juristen in huislopen die het ook niet meer weten, dan zou er toch een autoriteit moeten zijn waar ze terecht moeten kunnen voor hun vragen? Ze hebben alleen een handhavende rol, geen adviserende rol. Dus je krijgt geen antwoord op je vragen maar als je het fout doet krijg je wel een boete. Dat is niet de juiste manier. Het goed dat ze meer moeten kunnen doen, dus qua hogere boetes geven aan bedrijven die hun werk niet goed doen, maar ze zouden ook tijd moeten hebben om de dialoog aan te gaan met bedrijven die graag hun zaken op orde willen hebben maar niet weten hoe. Het CBP heeft te weinig capaciteit. Jaarverslagen van het CBP lijkt erop dat ze wel goede dingen doen? Ze doen wel nuttig werk, maar ze moeten wel meer capaciteit hebben om sancties uit te oefenen en meer ruimte hebben om vragen te beantwoorden. Oftewel ze moeten zich niet zo terugtrekken in hun ivoren toren maar zich meer open stellen naar buiten toe. WBP te vaag en voor meerdere opvattingen interpreteerbaar? Het is op zich wel interpreteerbaar echter je moet wel thuis zijn in de materie. Geen een wet leest als een roman. Persoonsgegevens zijn herleidbaar naar een persoon, de vraag is wanneer is dat wel of niet is. De vraag is of losse gegevens wel herleidbaar zijn, maar de combinatie ervan kan dat dus wel zijn. Het heeft overigens niet altijd te maken met de wet, maar ook met jurisprudentie. Als je kijkt naar de herleidbaarheid van gegevens van bijvoorbeeld naar een adres, huisnummer en plaats is jurisprudentie er pas later aan toegevoegd. Dit hoeft niet altijd herleidbaar te zijn naar een persoon maar kan ook naar een gezin herleidbaar zijn. Een gezin is geen persoon dus mag dat volgens de WBP. Dit is dus naderhand door de jurisprudentie, cq rechter, aangepast. Een gezin is in dit geval dus ook een persoon. Het WBP is een goede privacy waakhond. In de gezondheidszorg heeft het WBP ervoor gezorgd dat de uitwisseling van regionale samenwerkingspartners wat professioneler zijn geworden. Er zijn wat inspecties bij een aantal ziekenhuizen geweest die ervoor gezorgd hebben dat er heeft moeten sluiten en andere hun werkzaamheden heeft moeten aanpassen. Wie de privacy van gegevens kan waarborgen in een social media omgeving is diegene die de gegevens vrijgeeft, oftewel de individu zelf. Maar ook diegene die de gegevens verwerken, dus bijvoorbeeld als ik gegevens aan de belastingdienst doorgeef verwacht ik niet dat deze het doorgeeft aan het blad margriet. Hoe kijk je tegen de Patriot Act aan? Hij is niet van toepassing in nederland… Ze hebben in Amerika tegenwoordig mijn 10 vingerafdrukken. Vanuit informatiebeveiliging dient ieder amerikaans bedrijf zijn of haar gegevens overdragen aan de nationale autoriteit van amerika als zij daarom vragen. In Amerika is privacy ook een non issue, ook in de cultuur. Het bestaat gewoon niet. Als je nieuw bankrrekening gaat openen dan vragen zij gewoon een track record van mogelijke openstaande issue of aankopen. In Amerika is privacy niet belangrijk het is belangrijker dat er geld verdient wordt. In Amerika wordt vaak in kleine domeinen een wet in elkaar gezet, bijvoorbeeld voor zorgverzekeraars en de gezondheidzorg is er Heath Insurance Portability and Accountability Act (HIPAA). Deze zorgt ervoor dat zorgverzekeraars en de zorgsector met respect omgaan met de gegevens van de patient in het kader van privacy. Maar verder niet veel meer en voor de commerciele sector is er helemaal niets. Als voorbeeld in theorie zou iedere law enforcer, dus ook een parkeerwachter, zou de gegevens kunnen opvragen bij Microsoft over mij bij het ziekenhuis kunnen opvragen (mocht je een dienst draaien van
79
microsoft binnen het ziekenhuis). Om het nog completer te maken en zorg ervoor dat je dit niet aan hem mee deelt. Dan kan dat middels de patriot act dus uitgevoerd worden. Het WBP is gebaseerd op de europese privacy wet. Deze europese privacy wet wordt herzien, de resultaten verwachten ze in 2012. Op basis daarvan zou de nieuwe WBP moeten worden gemaakt. Wat er waarschijnlijk in voor zal komen is de meldplicht, maar de huidige minister (Donner) wil de meldplicht nu al invoeren. Dat is al reeds ingevoerd voor de telecom bedrijven. Beer vindt het overigens een goed punt dat dit gebeurd. In Engeland heeft dit erg goed gewerkt, daar werden namelijk veel fouten gemaakt binnen de overheid waardoor het soms spanningen tussen overheid en burgers leidde. Binnen het ziekenhuis is reputatie schade een steeds belangrijker issue aan het worden. Als dit voorkomt dan komt er niemand meer naar je toe. Je overtreed dan niet eens een wet, maar je bent wel afhankelijk van externe financierders en dat is in principe niet eens de overheid maar meer andere commerciele financierders. Je kunt je dat niet permitteren.
Aangevuld worden van Wbp? Het huidige meldplicht zal waarschijnlijk verwijderd worden en vervangen worden door het nieuwe meldplicht. Die datalekken zal er ook inkomen. Sociale Media wet? Beer geeft aan dat hij niet weet wat je daarvoor zou moeten optuigen. Maar qua landsgrenzen binnen de EU zouden er geen verschillen moeten zijn in het WBP omdat deze gebaseerd is op de EU. Er staat ook in het WBP een stuk waarin gegevensuitwisseling binnen de EU mag plaatsvinden. Buiten de EU mag dat alleen als de wet in voldoende mate gelijk is aan de EU richtlijn. Er zijn er een aantal, zoals argentinie en enkele eilanden bij Engeland. Maar Amerika dus niet. Eu safe harbor wordt niet toegepast binnen het ziekenhuis. Als er gegevens worden uitgewisseld met andere ziekenhuizen buiten de EU zoals Amerika of canada, dan zal dat door middel van een contract dienen te worden gedaan. Daarbij kun je denken aan leveranciers van software pakketten die aan. Sociale Media vanuit bedrijfscontext? Grootste bedreiging bij social media op de werkplek is en eerste het individu zelf, waarbij gegevens op straat komen door eigen toedoen of een van zijn collega’s. Dus dat privacy links worden geschonden, trouwens dit is ook schadelijk voor het bedrijf. En een tweede risico is dat er rechtstreeks gegevens op straat komen te liggen van het bedrijf, dit zijn bedrijfsgeheimen. Te denken valt aan bijvoorbeeld dat 2 studenten whatsuppen over waar een sleutel ligt van een magazijnkast voor een bepaalde stof en deze stof kan dan bijvoorbeeld schadelijk zijn. Whatsup is niet echt een veilig medium om te communiceren. Omdat de voorwaarden gebaseerd zijn op amerikanen en niet mensen buiten deze landgrenzen. Het is altijd belangrijk bij het gebruik van een social media te kijken waar de vestigingsplaats van de media wordt geplaatst maar ook waar deze verwerkt worden. Beiden zijn van belang. Als de vestigingsplaats in Amerika betreft en de verwerking vindt plaats in amerika dan heb je een probleem maar anders om ook. Dit vanuit de US patriot act. Yammer wordt gebruikt binnen het ziekenhuis, er wordt gebruik gemaakt van een subdomein. Hier zijn twee issues aan men kan niet zien of diegene die zich aanmelden daarvoor ook echt medewerkers zijn van het ziekenhuis. Het wordt gehost door meneer Yammer zelf in Amerika. Zelf hosten is mogelijk maar dat heeft een prijskaartje. Het business model van Yammer, waar verdienen ze hun geld mee? Helaas waarschijnlijk voor marketing doeleinden. Er is een gedragscode geschreven voor het gebruik van social media binnen het ziekenhuis. Ik kan het verbieden echter niet afdwingen. Het heeft alleen zin als er een alternatief is. Vaak is er het geld issue bij ICT een probleem. Informatiebeleid is er niet binnen het ziekenhuis en Informatie beveiligingsbeleid is er wel. Informatiebeleid is waarschijnlijk een technisch verhaal, maar is gericht op slechts op patienten en 80
niet op de werknemers of studenten. TIP: denk er van te voren over na en dus niet over IT Infrastructuur maar vanuit Business doelstellingen, te denken valt aan Business IT alignment, wat wil de business? Welke strategie dienen wij te nemen als ziekenhuis?
Sociale Media: Kansen of slechts bedreiging voor het ziekenhuis? Het een bedreiging zien, ik zie het meer als uitdaging. Het is ook een kans voor het ziekenhuis. Het Ziekenhuis zal grote problemen krijgen met vergrijzing, dus met social media krijg je makkelijker contact met jonge hippe snelle medewerkers. Je kunt Social media niet links laten liggen dus, meeste vacatures gaan tegenwoordig online. Afdeling voorlichting zal niet actief monitoren wat er allemaal op Yammer gebeurt. Er zal wel een soort van screening zijn van wat er allemaal over het ziekenhuis wordt. Risicos Wbp en Sociale Media? Social media vragen geen geld voor hun diensten, maar moeten wel geld verdienen. En dat gebeurt dus door het verkopen van jouw gegevens. En dan moet je je dus afvragen waar het kantoor staat. Met clouddiensten wordt het nog moeilijker, want het WBP is alleen geldig in Nederland en Europa. Wat als de server in China of US staat? In een sas-70 verklaring kun je een niveau afdekken, maar het kan zijn dat de clouddienst weer andere afspraken heeft waar bijvoorbeeld backups worden gedaan of vernietigd worden en daar dien je dus weer een aparte verklaring hebben tussen de clouddienst en het bedrijf waar de backup wordt gedaan. De hele keten wordt vaak niet belicht in de sas-70 verklaring. Ten eerste wat je als organisatie altijd moet doen is je eigen gebruikers, medewerkers voorlichten en opvoeden in het gebruik van social media. Daarmee dek je een deel van het probleem af en ben je niet geheel afhankelijk van derden. Ook familieleden van medewerkers vallen hier onder. Ten tweede dien je altijd bewust te zijn wat kwaadwillenden willen doen met de informatie over je organisatie. Zet zelf webcrawlers aan, en kijk wat anderen over het ziekenhuis zeggen zoals proefdier bedrijven of groeperingen zoals die tegen abortus zijn. Ten derde, maar dit gaat niet zozeer over het ziekenhuis is bijvoorbeeld je eigen organisatie de wereld inprijzen op social media door het gebruiken van een pseudoniem. Bijvoorbeeld ik ben bij ziekenhuis X geweest en het is het meest geweldige ziekenhuis en daar hebben zij me direct geholpen en er werken alleen maar vriendelijke mensen. Verspreid dit over allerlei social media waardoor het ene slechte bericht teniet wordt gedaan. Raamwerk privacy audit? Ik ken alleen de zelf evaluatie van het CBP gedaan. Het probleem is het raamwerk is gebaseerd op het WBP en het WBP is een beetje achterhaald. De Wet gaat ervanuit dat je van te voren alles dicht geregeld hebt en dat is in de praktijk lang niet altijd zo. Soms moet je toestemming achteraf vragen. Bekend met de Code voor informatiebeveiliging? Ik ben er wel bekend mee. In de gezondheidzorg is dit de NEN 7510.
Informatiebeleid ook iets over Social Media? In het statuut binnen het ziekenhuis staat 1 regel over het gebruik van social media. Gebruik je gezonde verstand. 81
