Van de redactie. Over sourcing en inburgering Column Madan Ramrattansing. Het IT-toezicht bij De Nederlandsche Bank Interview met Evert Koning

Redactieraad drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA drs. E. Koning RE RA CISA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA

Redactie M. M. Buijs RE RI drs. Th. M. J. Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. C. L. Wauters EMEA drs. Th. Wijsman RE Hoofdredactie prof. dr. G.J. van der Pijl RE

Eindredactie Y.M. Kloppenburg MA LVB Networks [email protected]

4 Van de redactie 5 Over sourcing en inburgering Column Madan Ramrattansing

7 Het IT-toezicht bij De Nederlandsche Bank Interview met Evert Koning

10 De application server in het middelpunt John Zuidweg

16 De statistische steekproef: uitdaging voor de EDP-auditor (deel 2) Arjan Hassing

20 Uitbesteding bij financiële ondernemingen: wet- & regelgeving en de IT-auditor (deel 2 – Wbp) Jeroen van Puijenbroek

Uitgever Reed Business bv Postbus 152 1000 AD Amsterdam Tel.: 020-5159222 www.reedbusiness.nl

30 IT Governance, Performance & Compliance

Abonnementen ‘De EDP-Auditor’ wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor 2008 € 88,75 excl. btw. (Studentenprijs € 31,80) De verzendtoeslag voor België bedraagt € 7,37 en voor de Nederlandse Antillen en overige landen € 22,85. De prijs van losse nummers is € 24,95 excl. btw.

32 Een dag uit het leven van Ronald Heil

Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd. Abonnementenadministratie en lezersservice Reed Business bv Postbus 4, 7000 BA Doetinchem Tel.: 0314-358358 Fax: 0314-358161 E-mail: [email protected]

Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema’s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN 0929-0583

Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan ‘de EDP-Auditor’. U kunt uw bijdrage sturen naar de eindredactie. Advertenties Reed Business Media Amsterdam Postbus 152 1000 AD Amsterdam 020 - 515 9666 www.reedbusinessmedia.nl [email protected] Geldend advertentietarief 1-1-2008 Vormgeving Studio Putto BNO, De Rijp

4

jaargang 17 - 2008

de EDP-Auditor Colofon ‘De EDP-Auditor’ is een uitgave van de Nederlandse Orde van Register EDP-Auditors

Inhoud

Boekbespreking door Ed Ridderbeekx

34 Verslag vanaf grote afstand: conferenties Blackhat en Defcon – augustus 2008 Maarten Veltman

40 ‘Secure IT’: Rijksbrede IT-auditdag 2008 IT-auditors bijeen

42 Van de NOREA

Van de redactie

Redactiewissel

V

anaf deze plek veel dank aan Madan Ramrattansing, die een aantal maanden het redactiewerk overnam van Thea Gerritse, in de periode waarin zij genoot van haar sabbatical. Madan neemt in zijn column afscheid met een spetterende ‘rap‘ voor het herintredende redactielid. En uiteraard ook een hartelijk ‘welkom terug’ aan Thea. Met de kredietcrisis in volle gang is het interessant om te lezen over de wijze waarop de Nederlandsche Bank haar IT-toezicht uitoefent. Maarten Buijs en Chris Wauters spraken daarover in een interview met Evert Koning, NOREA-bestuurslid en hoofd van het expertisecentrum ITauditing van de Nederlandsche Bank. Vervolgens gaat John Zuidweg in op de betekenis van de opkomst van application servers voor het werk van de IT-auditor. Hij beschrijft onder meer hoe verschillende application servers een vorm van Identity Management bieden, waarbij alle identiteitsgegevens van gebruikers centraal kunnen worden vastgelegd. Arjan Hassing gaat in op het gebruik van statistische steekproeftechnieken bij de Belastingdienst. Hoewel het gebruik van steekproeven juridisch gezien is toegestaan, blijkt dat nog wel discussie mogelijk is over de wijze waarop deze worden uitgevoerd. In een eerder artikel betoogde Jeroen van Puijenbroek al dat er risico’s kleven aan uitbesteding. Nu gaat hij verder in op de vraag wat de Wet bescherming persoonsgegevens (Wbp) voor de IT-auditor betekent.

alleen via literatuur: ook via conferenties. Daarom in dit nummer een verslag van de Blackhat- en Defconconferenties van de hand van Maarten Veltman en een verslag van de Rijksbrede IT-auditdag 2008 door Nathalie Timmer en Peter Doorduin. In de rubriek Een dag uit het leven van... neemt Ronald Heil ons mee naar zijn binnen- en buitenlandse activiteiten als IT-audit manager bij KPMG. Ten slotte vragen wij in het bijzonder uw aandacht voor de berichten van de NOREA, waaronder vooral ook voor de nieuwe Richtlijn Permanente Educatie, waarover de ledenvergadering op 10 december zal besluiten.

Ed Ridderbeekx bekijkt in de boekbespreking het boek IT Governance, Performance & Compliance, een bloemlezing van artikelen onder de redactie van NOREA-voorzitter Hans Donkers en Brigitte Beugelaar. Maar het IT-auditvak ontwikkelt zich niet 4 | de EDP-Auditor nummer 4 | 2008

Column

Over sourcing en inburgering Madan Ramrattansing

A

ls het goed is gegaan, moet het u niet zijn opgevallen dat ik gedurende ruim een half jaar de redactionele taken heb waargenomen van mijn collega, laten we haar T noemen. Zij maakt normaliter deel uit van de redactie van uw vakblad, maar had een sabbatical leave. Ik zal trachten u te schetsen hoe mijn toetreding tot dit sanctum sanctorum voor IT-auditors ongeveer is gegaan. Je bent aan het werk en quasi-spontaan staat je collega pontificaal in de deuropening – de ingang en tevens uitgang, zodat vluchten niet mogelijk is; ramen vormen op driehoog geen serieuze optie. ‘Ik heb gesproken met [naam van degene die hiërarchisch hoger op de ladder staat dan T en ik, zodat T kan zeggen ook maar gestuurd te zijn, de grijns op haar gezicht zullen we maar even negeren]. En zij – jawel, ook onze baas is een vrouw – heeft geopperd dat jij de meest geschikte persoon bent om mijn taken in de redactie van de EDP-Auditor waar te nemen. Zou je dat willen doen?’ De consternatie slaat toe, maar aangezien de deuropening nog steeds niet is vrijgegeven, rest na enig doelloos geblader in de agenda slechts een glimlach en een ‘ja hoor, lijkt me leuk, ik doe het’. En omdat ik enkele maanden geleden een symposium heb bijgewoond over sourcing in alle mogelijke verschijningsvormen, weet ik dat hier sprake is van outsourcing op micro-economisch niveau; ik ervaar dat aan den lijve. Mijn voorgangster treedt weldra weer aan. Ik voorzie in dit verband overigens dat het herintreden een terugkerend fenomeen zal worden, denk bijvoorbeeld aan: • spijtoptanten, de collega’s die zich, om hen moverende redenen, onbegrijpelijk genoeg uit het register laten uitschrijven, dan wel die zich 5 | de EDP-Auditor nummer 4 | 2008

niet-actief lid verklaren en die daarna weer tot inkeer komen; • degenen die, na door de tuchtrechter vaderlijk te zijn toegesproken, voor bepaalde duur geschorst zijn, dan wel uit het register zijn geschrapt (dit heeft zich bij mijn weten overigens nog niet voorgedaan) en die diep berouw tonen en • IT-auditors die met sabbatical zijn geweest en die weer uit de sabbat moeten geraken. Nu weet ik ook wel, dat voor herinschrijving in het register allerlei formele regels gelden, denk bijvoorbeeld aan het aantoonbaar hebben voldaan aan de permanente educatieregels gedurende de uitschrijvingsduur, maar zou het niet leuk zijn om ook informeel en bij wijze van ludieke actie de verloren schapen weer te verwelkomen en hen te herbevestigen in ons mooie beroep? Ook daar waar geen herinschrijving van toepassing is? Ik wil op deze plaats een voorzet doen die, dat geef ik grif toe, af en toe mank kan gaan. Maar het gaat even om het idee, het komt wel goed wanneer het NOREA-bestuur dit verder oppakt en een commissie instelt. Ik heb daar een ingang, ook een collega trouwens. Zingen hoeft niet, onze expertise ligt immers op ander terrein en je wilt als auditor wel serieus blijven overkomen. Rappen zou het mooist zijn, maar voorlezen volstaat eventueel ook. Wel is enig gevoel voor dramatiek wenselijk, ongeveer zoals de rederijkers hun voordrachten moeten hebben gehouden. Als basis heb ik ons eigen volkslied genomen, hier en daar in een moderne spelling. En om de zaken niet te complex te maken veronderstel ik dat de herintreder auditmanager is, tegenwoordig kan iedereen dat worden, toch?

Lofrap van de auditor Wilhelmus van Nassaue will not be back. Hij niet, ik wel: IT-auditor ben ik, van Duitsen bloed,1 zweet en tranen heb ik gelaten om, soms ver daarbuiten, maar voornamelijk in den vaderland getrouw beeld- en andere verklaringen, onder meer, te mogen afgeven. Daarom en ook al omdat het kabinet de pensioengerechtigde leeftijd steeds maar op blijft schuiven: IT-auditor, hoogstwaarschijnlijk, nee, zeker weten blijf ik tot in den dood. Ziek, echt doodziek werd ik af en toe van alle regels en begrippen die over mij werden uitgestort. Maar inmiddels weet ik niet beter en zijn COBIT, ITIL, ASL en BiSL gevleugelde begrippen. Een Prinse van Oranje Dat is Willem-Alexander, watermanager en IOC-lid. Maar ook ik heb een zekere business, als auditmanager en lid van de NOREA. Scherpzinnig ben ik, vrij onverveerd, in mijn oordeelsvorming, al duurt het even voordat anderen dat inzien. Uiteindelijk wordt dit alom gewaardeerd, ook door den Koning van Hispanje, ik acht hem hoog en hoewel nog niet tot mijn vaste klantenkring behorend, ja hem heb ik altijd geëerd. Sinterklaas trouwens ook, van jongsaf aan al eigenlijk, al kwam dat bij hem door de vele cadeautjes die ik kreeg. Die mag ik nu echter niet meer zonder meer aannemen.

Zo zou ik nog even door kunnen gaan, het Wilhelmus kent vijftien coupletten, maar u begrijpt vast al wat ik bedoel. Zoals het gezegde in Spanje luidt: ‘No hay mal que por bien no venga’, ofwel: elk nadeel heeft zijn voordeel (en nee, ik weet niet wat er eerder was, dit gezegde of de soortgelijke uitspraak van Neerlands voetbalvirtuoos). Waarmee ik maar wil zeggen dat ook aan deze outsourcing, net als in het echte leven, een einde komt en dat, als u dit leest, het stokje inmiddels weer is overgedragen aan T. Hoe zij haar intrede heeft gedaan en of zij bovenstaande lofrap heeft gereciteerd kan ik u helaas niet melden vanwege de tijd die er ligt tussen de deadline voor het aanleveren van dit stuk en haar feitelijke terugkeer. Ik had in elk geval al wel een oorkonde van inburgering klaarliggen. Geschreven met een ouderwets pre-IT-hulpmiddel, de ganzenveer. En uiteraard voorzien van een lakstempel, als bewijs van authenticiteit. 6 | de EDP-Auditor nummer 4 | 2008

Ik wens u alvast prettige feestdagen en een vruchtbaar en gezond 2009. Het ga u goed. ■ Noot 1 Op deze plek wordt de herintredende auditor enige vrijheid geboden en mag, afhankelijk van de samenstelling van de voorouderlijke stamboom, gekozen worden voor één van de volgende tussenvoegsels: ‘niet’, ‘een beetje’ of, bij gerede twijfel, ‘misschien’.

Interview

‘Het IT-toezicht van De Nederlandsche Bank behoort tot de mondiale top’ Een gesprek met Evert Koning, werkzaam bij De Nederlandsche Bank en NOREA-bestuurslid Maarten Buijs en Chris Wauters

Begin 2004 verscheen een interview met Evert Koning

Toezicht bij De Nederlandsche Bank

in de EDP-Auditor. Hierin werd onder meer de toezichthoudende rol van De Nederlandsche Bank (DNB) besproken. Evert maakt nu al weer enige tijd deel uit van het NOREA-bestuur. Hoog tijd dus om Evert nog eens te spreken en te vragen naar zijn ervaringen en de ontwikkelingen. Een gesprek met een man die het belang van opleiding, kennis en samenwerking op diverse fronten vooropstelt…

Wat is de taak van DNB?

‘Kort gezegd is het de taak van DNB om crediteuren te beschermen en bij te dragen aan de stabiliteit van het financiële stelsel. Zij doet dit onder andere door toezicht te houden op de financiële instellingen, waaronder ongeveer 125 banken. DNB moet in haar rol van toezichthouder onder andere de bestuurders van financiële instellingen goedkeuren. Als aanbevelingen van DNB niet worden opgevolgd, dan vindt er een gesprek plaats met de betrokken bestuurders. Als uiterste middel kan DNB de vergunning van een instelling intrekken. In de praktijk is dit nog nooit gebeurd. De afgelopen 25 jaar is er een goede vertrouwensrelatie opgebouwd tussen DNB en de instellingen.’ Evert geeft leiding aan een expertisecentrum waar 15 ITauditors werkzaam zijn en is als zodanig eindverantwoordelijk voor het toezicht op de IT. De algemene toezichthouders binnen DNB huren capaciteit in van het expertisecentrum. IT is één van de tien risicogebieden die FIRM (Financiële Instellingen Risico-analyse Methodiek) onderscheidt. ‘Het IT-toezicht van DNB behoort tot de mondiale top. Dit is het resultaat van de aanpak van DNB: risicoanalyse en zelf onderzoek ter plaatse uitvoeren en niet alleen steunen op rapporten van de externe auditors. Verder stuurt DNB teams met hoogopgeleide en ervaren mensen op pad, die een gedegen technisch onderzoek kunnen verrichten. DNB is een kennisinstituut, en de mensen zijn de belangrijkste assets. Kennismanagement speelt dan ook een belangrijke rol en vindt veelvuldig plaats op verschillende onderwerpen, zoals een specialistisch onderwerp als I-series en P-series. Ook internationaal doen we veel aan kennisuitwisseling.’ Kun je meer vertellen over de internationale samenwerking binnen het IT-toezicht?

‘Het belang van internationale samenwerking is alleen maar gegroeid. We streven naar een gelijksoortige manier van toezicht binnen de internationale financiële wereld. Wat IT betreft zijn we internationaal actief sinds 2002. DNB organiseerde de eerste internationale conferentie in Amsterdam, wat heeft geleid tot de International Supervisory Group voor 7 | de EDP-Auditor nummer 4 | 2008

IT (ISG-IT). Binnen de ISG willen wij vooral van elkaar leren: zo leren we van elkaars aanpak, praktische ervaringen en methoden en technieken. Zo merkten we bijvoorbeeld dat Canada en Hong Kong over mooie toezichttools beschikten, reden voor ons om FIRM te ontwikkelen. Sindsdien vindt er jaarlijks een conferentie plaats. Binnen ISG-IT is een aantal werkgroepen actief, bijvoorbeeld op het gebied van security, uitbesteding en contingency planning, die vervolgens op de conferenties verslag doen van hun activiteiten. Naast de ISG bestaat er natuurlijk ook nog de European Central Bank (ECB). Binnen de ECB heeft DNB vooral veel contacten met de West-Europese landen. Niet alle landen hebben een toezichthouder in de centrale bank. Tot slot biedt DNB ook ondersteuning aan niet-ECB-leden. In feite is dit een soort technische assistentie aan met name Oost-Europese landen voor het ontwikkelen en implementeren van adequaat toezicht. Zo hebben we seminars gegeven in onder andere Macedonië, Rusland, Armenië en Oekraïne. Een dergelijk seminar heeft een belangrijk uitstralingeffect; de hele regio is daarbij aanwezig.’ Wat voor normen stelt DNB aan financiële instellingen?

‘De normen komen voort uit internationaal overleg in het Bazels Comité voor banken en zijn gebaseerd op principes. Deze zijn vastgelegd in een Algemene Maatregel Van Bestuur bij de Wet financieel toezicht. DNB hanteert dus normen en geen specifieke regels. Daarvoor zijn de betrokken instellingen te verschillend. DNB verwacht van de instellingen dat zij op basis van een risicoanalyse zélf een beheerste

organisatie inrichten en voldoen aan eigen normen. DNB toetst op basis van een eigen risicoanalyse of het stelsel van beheersmaatregelen voldoet aan hetgeen je mag verwachten van die instelling. De resultaten van een onderzoek worden na een feitelijke afstemming gerapporteerd aan de raad van bestuur van de betreffende instelling. Het abstractieniveau van onze rapportage is daardoor vrij hoog. Wij stellen aanbevelingen op, maar wij hebben ook oog voor de haalbaarheid. De instelling geeft vervolgens een reactie waarin ze aangeeft hoe en wanneer ze de verbeteringen heeft doorgevoerd. Na enige tijd komen wij kijken of de aanbevelingen zijn opgevolgd. Over onze normatiek praten we veel. Eénmaal per drie à vier maanden hebben we vaktechnisch overleg met de hoofden IT-audit van de financiële instellingen. Verder vinden er soms “themaonderzoeken” bij meer instellingen tegelijk plaats. Hierover wordt dan ook overleg gepleegd.’ DNB is toezichthouder. Wie houdt er toezicht op DNB?

‘Primair houdt de RvC toezicht op DNB. De Algemene Rekenkamer is bevoegd om onderzoeken bij ons uit te voeren. DNB anticipeert hierop door binnen het toezichtsproces met regelmaat ‘peer reviews’ uit te voeren. We beschikken natuurlijk ook over een interne accountantsdienst die verantwoordelijk is voor het interne toezicht. Ten slotte heeft DNB regelmatig in haar hoedanigheid als Zelfstandig Bestuursorgaan (ZBO) afstemmingsoverleg met het ministerie van Financiën. De auditdienst van Financiën voert overigens geen onderzoek uit bij DNB.’

8 | de EDP-Auditor nummer 4 | 2008

In 2004 beschrijf je een risk assessment tool dat wordt ontwikkeld voor het toezicht van DNB. Hoe staat het daarmee?

‘De tool, Financiële Instellingen Risico-analyse Methodiek geheten, wordt breed gebruikt. De doelstelling van FIRM is het vaststellen van het inherente risico; voor IT onderverdeeld in vier subrisico’s: strategie/beleid, beheersing, continuïteit en security. FIRM maakt hierbij onderscheid tussen de verschillende soorten instellingen. Denk aan banken, verzekeringsmaatschappijen en pensioenfondsen. De tool is niet statisch, maar ontwikkelt zich dynamisch, in overleg met de instellingen en met zoveel mogelijk transparantie. Wij hebben vanuit het expertisecentrum een cursus ontwikkeld voor onze algemene toezichthouders, die gaat over hoe om te gaan met het IT-risico van FIRM, bij grote en bij kleinere organisaties. De tool helpt ons om risicogebaseerd toezicht te houden, waarbij je bijvoorbeeld ook beargumenteerd keuzes maakt om dingen niet te doen.’

DNB/MARTIJN BARTH

Je hebt de rol van DNB en het toezicht op IT geschetst. Wat voor type IT-auditors werken er bij DNB om hierin te kunnen voorzien?

‘De IT-auditors van ons expertisecentrum hebben een sterk analytisch vermogen. Het onderzoek moet altijd plaatsvinden in een korte tijd en het gaat om complexe omgevingen. Ook overtuigingskracht en ruggengraat zijn nodig om de boodschap op hoog niveau over te kunnen dragen. Dit laatste vergt ook veel communicatieve vaardigheden.’ Wat zijn belangrijke en actuele problemen waar je als toezichthouder IT tegenaan loopt?

‘Een belangrijk onderwerp waar we aan werken, is cybercrime. Cybercrime (virussen, phishing en dergelijke) vormt aanleiding om te praten met collega-toezichthouders. Op 6 en 7 oktober organiseerde ik daarom een Europese conferentie met mijn collega’s over deze problematiek. Ook hier is samenwerking essentieel. Binnen Nederland vindt overleg plaats met internetproviders en technisch specialisten. In dit kader vinden ook “bijzondere activiteiten” plaats in samenwerking met het Financieel Expertise Centrum (FEC). Samen met de AFM, het OM en het KLPD wordt een belangrijk project uitgevoerd, gericht op de analyse en aanpak van cybercrime. Ook hebben we veel aandacht voor continuïteit van dienstverlening, vooral bij uitbesteding van ICT aan ICT-dienstverleners. Op dit vlak heeft DNB veel geleerd van cases in de Verenigde Staten, India en Duitsland. De financiële instellingen staan ook wat dit betreft onder toezicht, waarbij met name gekeken wordt naar de afgesloten Service Level Agreements (SLA’s). In de Verenigde Staten staan de dienstverleners zelf onder toezicht, dat is in Nederland niet het geval.’ NOREA

‘Nederland is eigenlijk te klein voor twee soortgelijke beroepsgroepen’ In het bestuur fungeer ik tevens als linking pin naar de Commissie Permanente Educatie (CPE), die nu Commissie Educatie (CE) heet. Tijdens een ‘heisessie’ met de toenmalige CPE is besloten om naast het controleren en houden van toezicht vanuit de commissie, ook meer ledengericht te gaan opereren. De CE moet dus niet meer alleen het bestraffende vingertje omhoog houden, maar ook cursussen gaan aanbieden en de registratie meer faciliteren. Daar wordt door de CE hard aan gewerkt. Verder ben ik ook contactpersoon vanuit het bestuur naar de redactie van de EDP-Auditor. De NOREA heeft ook een taak waar het de samenwerking betreft van onze opleidingen. Bij elke opleiding staan hoogleraren aan het roer, met sterke eigen ideeën. De post-masteropleidingen zijn het voorportaal voor ons vak. Daarom is afstemming en samenwerking met de opleidingen en de beroepsorganisatie zo belangrijk. Een andere belangrijke vorm van samenwerking is die met ISACA. Nederland is eigenlijk te klein voor twee soortgelijke beroepsgroepen. In Nederland bevinden zich circa 1300 RE’s en hiervan zijn er ongeveer vierhonderd ook lid van ISACA. Samenwerking zou goed kunnen plaatsvinden op het gebied van opleidingen, maar bijvoorbeeld ook op het gebied van de ledenadministratie. Natuurlijk zijn er ook belangrijke verschillen tussen de twee beroepsgroepen. Eén beroepsgroep is nu dus nog een brug te ver, maar het uitgangspunt zou wel moeten zijn, dat we daar waar mogelijk samen zouden moeten optrekken en kennis zouden moeten delen. De CISA-titel is internationaal bekend en eigenlijk zou ook de NOREA zich internationaal meer moeten profileren. Het Nederlandse IT-auditvak staat internationaal hoog aangeschreven. We zouden hier meer gebruik van kunnen maken in onze PR en profilering. In de huidige wereld van globalisering is dit eigenlijk vanzelfsprekend.’ Wat zou je de lezer tot slot nog willen meegeven?

‘Zoek meer de samenwerking op en deel actief kennis met elkaar. Samenwerking is namelijk de sleutel tot een beter beroep. RE’s, RA’s, RO’s en CISA’s kunnen veel van elkaar leren, zowel nationaal als internationaal. Blijf elkaar dus echt opzoeken.’ ■

Noot van de redactie

Nu we het over auditors hebben, laten we eens kijken naar jouw huidige activiteiten bij de NOREA. Welke zijn dat?

Helaas kon Evert vanuit zijn functie als toezichthouder niet ingaan

‘Ik ben nu vier jaar bestuurslid bij de NOREA. Daarvoor maakte ik vijf jaar deel uit van de Commissie van Toelating.

geen vragen gesteld over dit actuele onderwerp.

op de gebeurtenissen rond de kredietcrisis. De redactie heeft hem


Artikel

De application server in het middelpunt

John Zuidweg

Steeds meer organisaties maken gebruik van application servers om informatie uit databases te ontsluiten. Dit heeft grote consequenties voor de manier waarop de netwerkarchitectuur wordt ingericht. Wat betekent dit voor de IT-auditor? In dit artikel wordt eerst ingegaan op het begrip application server en wordt daarna duidelijk gemaakt op welke manier de application server-architectuur tot stand gekomen is. Vervolgens wordt uitvoeriger ingegaan op een aantal centrale componenten, waarbij het concept Identity Management een belangrijke plaats inneemt. Vanuit deze beschrijving wordt ten slotte een aantal aandachtspunten voor de IT-auditor geïdentificeerd.

N.J. (John) Zuidweg heeft Information Security Technology gestudeerd aan de Technische Universiteit Eindhoven. In het kader van zijn afstuderen heeft hij bij EDP Audit Pool onderzoek gedaan naar de betrouwbaarheid van Oracle Application Server. Inmiddels is hij als EDP-auditor werkzaam bij Ernst & Young Advisory. Dit artikel is geschreven op persoonlijke titel. Het bevat een samenvatting van enkele aspecten uit het afstudeerverslag [ZUID08].

H

et begrip ‘application server’ is niet in enkele woorden volledig te definiëren. In essentie is het een computerprogramma waarmee applicaties aangeboden kunnen worden via het netwerk. Deze applicaties zijn doorgaans van het type webpagina of webservice. Met behulp hiervan kunnen gebruikers of andere application servers toegang krijgen tot gegevens uit bijvoorbeeld een database. De application server fungeert dus als intermediair tussen een databron en gebruikers of services en is daarmee een typisch voorbeeld van middleware. In de praktijk omvat een application server echter meer functionaliteit dan alleen een computerprogramma voor het aanbieden van applicaties. In veel gevallen gaat achter dit begrip een complete architectuur van diverse componenten schuil. Deze architectuur biedt functionaliteit die voorheen verzorgd werd door het DBMS1 of door programma’s op de pc’s van eindgebruikers. In het kader van een onderzoek naar de technische infrastructuur is deze architectuur daarom voor IT-auditors zonder meer het analyseren waard, als het gaat om de exclusiviteit, integriteit en beschikbaarheid van informatie. Bij een technische IT-audit is het mechanisme voor autorisatie en authenticatie van gebruikers een cruciaal aspect. Ook wat dit betreft kan de application server een belangrijke rol spelen: verschillende application servers bieden een vorm van Identity Management waarbij alle identiteitsgegevens van gebruikers centraal kunnen worden vastgelegd. Van mainframe tot middleware Vanaf de jaren tachtig van de vorige eeuw begonnen veel organisaties hun mainframes en terminals te vervangen door servers en pc’s. In veel gevallen konden bedrijfsprocessen hiermee op een goede manier worden ondersteund. Toch had ook deze client-server-architectuur te kampen met beperkingen: binnen organisaties zag men de prestaties van de diverse applicaties afnemen naarmate meer clients aan de server werden gekoppeld. Ook was het voor systeembeheerders een forse klus om alle applicaties op de verschillende PC’s te beheren en te zorgen voor een zorgvuldige toekenning van autorisaties. Het is daarom niet verwonderlijk dat er veel belangstelling was voor de nieuwe drielaagsarchitectuur die in de jaren negentig van de vorige eeuw werd gepresenteerd. Deze architectuur beloofde namelijk de beperkingen van de clientserver-architectuur op te kunnen lossen. Evenals in de client-


server-architectuur stonden de data op een centrale server en werden applicaties vanaf pc’s aangestuurd. De applicaties met bedrijfslogica verschoven echter van de clients naar een nieuwe component: de application server. Informatie uit de database werd op deze manier ontsloten via deze tussenliggende component. Kenmerkend voor de manier waarop dit gebeurde, is het gebruik van webtechnologie. Application servers zijn namelijk bij uitstek geschikt voor het aanbieden van webapplicaties: webpagina’s die door eindgebruikers benaderd kunnen worden via een browser op hun pc en webservices die met andere applicaties kunnen communiceren door middel van XML2-berichten (zie [LEAN00]). Component of architectuur Het product application server is inmiddels door verschillende softwarefabrikanten uitgewerkt en op de markt gebracht. Bekende leveranciers zijn Adobe (met ColdFusion), Red Hat (met JBoss), Oracle (met Oracle Application Server) en IBM (met WebSphere Application Server). Tussen de diverse application servers zijn verschillen te ontdekken wanneer de implementatie in ogenschouw genomen wordt. Over het gehele spectrum genomen, valt echter wel te concluderen dat bijna alle application servers meer functionaliteit bevatten dan alleen het aanbieden van applicaties: de term application server is in veel gevallen een soort paraplubegrip geworden waaronder een complete architectuur van middleware schuilgaat. Een duidelijk voorbeeld hiervan is te vinden bij de applica-

tion server van Oracle (hierna: OAS, zie ook [GREE04]). Bij nadere beschouwing blijkt namelijk dat de application server in dit geval uit minstens zes subcomponenten bestaat (zie figuur 1). Verder valt op dat deze subcomponenten in twee categorieën onderverdeeld kunnen worden. De midtier bevat de kernfunctionaliteit van de application server, terwijl de infrastructure een meer ondersteunende rol vervult. De web cache fungeert als proxy: alle binnenkomende verzoeken komen binnen via deze component. Statische (gedeeltes van) webpagina’s worden direct door de web cache aangeboden aan gebruikers, zodat de HTTP-server minder wordt belast. Aangezien de application server met gebruikers en applicaties communiceert via webservices en webpagina’s, nemen deze componenten een centrale plaats in binnen de application server. Communicatie met deze webapplicaties verloopt namelijk doorgaans via het hyper text transfer protocol (HTTP) of, met gebruikmaking van certificaten, via de beveiligde versie van dit protocol (HTTPS). Overigens is de HTTP-server binnen OAS een aangepaste versie van de open source Apache webserver. Bij het auditen van de web cache en de HTTP-server is vooral de beoordeling van patch-management van groot belang. Omdat deze componenten zich aan de ‘voorkant’ van de architectuur bevinden, worden ze door een eventuele aanvaller namelijk als eerste benaderd. Via internet zijn diverse bekende beveiligingslekken voor deze producten eenvoudig te vinden. Wanneer niet accuraat

Figuur 1 Conceptweergave architectuur Oracle Application Server


wordt gepatched, is hierdoor voor een aanvaller de eerste barrière al snel geslecht.

Java EE Java Enterprise Edition (Java EE, voorheen J2EE) is een versie van de

Bij een application server gaat het uiteindelijk om de applicaties die aangeboden worden. Binnen OAS kunnen vier soorten applicaties worden onderscheiden: Forms, Reports, Portal en Java. Forms en Reports zijn typische Oracle-producten uit het client-server-tijdperk. Oracle Forms is een soort omgeving waarmee binnen een bepaalde opzet applicaties gemaakt kunnen worden, waarmee informatie uit de database kan worden opgevraagd en gewijzigd. Oracle Reports is geschikt voor het (periodiek) opbouwen van rapportages over gegevens uit de database. Oracle heeft deze producten geconverteerd naar een drielaagsarchitectuur zodat Forms- en Reports-applicaties uitgevoerd kunnen worden op de application server, waardoor gebruikers deze applicaties kunnen benaderen via een webbrowser. Oracle Portal is ook een standaardomgeving van Oracle, alleen is deze wel vanaf het begin specifiek toegesneden op een drielaagsarchitectuur. Oracle Portal is een verzameling van webpagina’s waarmee verschillende databronnen (bijvoorbeeld databases of andere webpagina’s) via één centrale plek ontsloten kunnen worden. Ook het inrichten en beheren van dit portal gebeurt ‘gewoon’ via een webbrowser. Naast al deze standaard Oracle-applicaties, bestaat binnen OAS ook de mogelijkheid om ‘maatwerksoftware’ aan te bieden. De programmeertaal waarin deze software geschreven dient te worden is Java. Met behulp van deze programmeertaal kunnen stukjes code uitgevoerd worden in HTML-pagina’s. Ook is het mogelijk om een applicatie te schrijven die een webpagina, een webservice of zelfs een complete verzameling van webpagina’s of webservices genereert. Deze applicaties kunnen communiceren met de database, zodat het mogelijk is via een webpagina of webservice informatie uit de database op te vragen of te modificeren (zie ook kader Java EE). De veiligheid van deze applicaties is voor IT-auditors een belangrijk aspect: de applicaties zijn gemakkelijk via een webbrowser te benaderen en geven direct toegang tot de database. Zelfs indien de architectuur goed beveiligd is, kan het complete systeem onderuit gehaald worden als applicaties lekken bevatten of niet op een goede manier zijn ingericht. Een succesvolle cross site scripting (XSS)3 aanval kan bijvoorbeeld leiden tot een ‘gekaapte’ SSO-sessie (zie kader Single sign-on), waarmee een ongeautoriseerde kwaadwillende gebruiker aan de slag kan met alle applicaties die gebruikmaken van dit mechanisme. Een onzorgvuldig geprogrammeerde of geconfigureerde applicatie kan dan ook grote gevolgen hebben. Het uitvoeren van beveiligingstesten op deze applicaties is daarom van groot belang. De enige echte oplossing is security by design: applicatieveiligheid zal al tijdens het ontwerp- en implementatieproject een belangrijke plaats moeten krijgen. Alleen achteraf testen op beveiligingsproblemen vergroot het risico dat programmeerfouten over het hoofd gezien worden, die wellicht in een later stadium door een kwaadwillende kunnen worden mis-

objectgeoriënteerde programmeertaal Java. Java EE is speciaal gericht op de ontwikkeling van server-side software zoals webapplicaties. De meegeleverde bibliotheken bevatten een verzameling van functionaliteiten die gebruikt kan worden in deze applicaties. De bibliotheek die ontwikkeling van Enterprise Java Beans (EJB’s) mogelijk maakt, speelt een belangrijke rol binnen de context van de application server als intermediair tussen het DBMS en de gebruiker. Met behulp van deze EJB’s kunnen gegevens uit de database op een voor de programmeur eenvoudige wijze vertaald worden naar zogenaamde Java-beans. Een Java-bean is een virtueel object dat een record in de database representeert. Elk veld uit het database record wordt vertaald naar een attribuut van dit object, zodat de waarden van het record corresponderen met de inhoud van de attributen. Door deze Java-beans op een efficiënte manier te synchroniseren met de database kan de systeembelasting van het DBMS in veel gevallen significant worden verlaagd. In vergelijking met ‘klassieke’ Java-programma’s maken deze EJB’s het werk voor softwareontwikkelaars gemakkelijker, aangezien zij zich niet langer hoeven te bekommeren over de implementatie van de communicatie met de database. Indien EJB’s gebruikt worden, behoeven applicaties in principe niet langer SQL-code te bevatten voor de communicatie met het DBMS. Dit kan zowel de veiligheid als de interoperabiliteit ten goede komen. (Zie bijvoorbeeld [GREE04] voor meer informatie.)

bruikt om toegang te krijgen tot een functionaliteit waarvoor deze persoon niet is geautoriseerd. De Certificate Authority (zie [MISR05]) is verantwoordelijk voor het uitgeven en intrekken van certificaten van gebruikers en componenten. Elk certificaat bevat een publieke sleutel die toebehoort aan de eigenaar van het certificaat. Deze sleutels kunnen gebruikt worden voor het verifiëren van de identiteit van gebruikers en componenten; tevens bieden deze sleutels de mogelijkheid om gegevens voor veiligheidsdoeleinden te versleutelen voordat deze worden verzonden.4 Een publieke sleutel kan ook weer gebruikt worden voor het certificeren van een andere publieke sleutel, zodat een hiërarchie van certificaten kan ontstaan. Het gaat hier dus om beveiliging van gegevens (exclusiviteit) en om authenticatie van gebruikers en componenten. Voor ITauditors is het daarom van belang vast te kunnen stellen dat de Certificate Authority zorgvuldig is ingericht en goed wordt beheerd. Belangrijk is hierbij dat een certificaat uitsluitend wordt toegekend aan een geautoriseerde entiteit, zodat uit het certificaat kan worden opgemaakt op welke entiteit het betrekking heeft. Ook is van belang dat certificaten ingetrokken worden als de onderliggende sleutel of een bovenliggend certificaat is gecompromitteerd. In de Metadata Repository is een groot deel van alle configuratiegegevens van de componenten uit de mid-tier opgeslagen. Het centraal vastleggen van deze gegevens maakt de


application server schaalbaar, aangezien hierdoor op relatief eenvoudige wijze meerdere mid-tiers te koppelen zijn aan één infrastructure. Voor IT-auditors is de integriteit van deze configuratiedata een belangrijk aspect, omdat dit weerslag heeft op alle componenten uit de mid-tier. Hierbij is het

van belang dat alleen application servers toegang hebben tot de repository, zodat manuele modificatie van gegevens uitgesloten is. Oracle Internet Directory (zie ook [DESM05]) bevat gegevens die betrekking hebben op identiteiten en autorisaties

Single sign-on

Figuur 2 Oracle Application Server single sign-on proces voor interne applicaties Door gebruik te maken van single sign-on (SSO) kan voorkomen worden dat een gebruiker voor meerdere applicaties apart moet inloggen (met diverse gebruikersnamen en wachtwoorden). Bij het benaderen van een applicatie binnen OAS werkt dit mechanisme als volgt (zie ook [WISH06]): 1 Een gebruiker probeert met een webbrowser een applicatie binnen OAS te benaderen. De applicatie ‘controleert’ of een geldig applicatie-cookie5 aanwezig is in de browser van de gebruiker. De gebruiker krijgt direct toegang tot de applicatie indien een geldig applicatie-cookie aanwezig is. 2 Als geen geldig applicatie-cookie aanwezig is, wordt de gebruiker doorgestuurd naar de SSO-server die bepaalt of de gebruiker reeds is ingelogd door te controleren of een geldig SSO-cookie aanwezig is in de browser van de gebruiker. 3 Indien dit niet het geval is, wordt de gebruiker gevraagd een geldige gebruikersnaam en wachtwoord in te voeren in de webbrowser. (Oracle Internet Directory (OID) wordt geraadpleegd voor het controleren van deze gegevens.) Wanneer de gebruiker is ingelogd wordt een SSO-cookie opgeslagen in de webbrowser van de client. 4 Wanneer een geldig SSO-cookie aanwezig is, controleert de SSO-server via OID de autorisaties van de gebruiker op de applicatie. 5 De gebruiker krijgt toegang tot de applicatie indien deze hiervoor geautoriseerd blijkt te zijn. De toegang wordt verkregen doordat de webbrowser van de gebruiker wordt doorverwezen naar een speciale URL die naast de locatie van de applicatie ook een versleuteld authenticatietoken bevat, zodat de applicatie kan vaststellen dat de gebruiker hiertoe geautoriseerd is. 6 Zodra de gebruiker toegang verkregen heeft tot de applicatie wordt een applicatie-cookie weggeschreven in de browser van de gebruiker, zodat de gebruiker gedurende de actieve sessie de applicatie kan benaderen, zonder dat hiervoor de SSO-server geraadpleegd hoeft te worden. SSO kan binnen OAS ook gebruikt worden voor het benaderen van externe bronnen zoals websites. Het mechanisme werkt dan als een systeem dat de gebruiker automatisch ‘inlogt’ bij de externe bron nadat de gebruiker zich succesvol heeft geauthentiseerd bij de SSO-server.


van gebruikers. Door alle autorisatiegegevens in deze LDAPdirectory te centraliseren, kunnen identiteiten en autorisaties van gebruikers gemakkelijker beheerd en gecontroleerd worden. Alle identiteiten, rollen en permissies die eerst én deels in de database én deels in diverse applicaties waren vastgelegd kunnen nu op één plaats worden opgevraagd en gewijzigd. Zeker voor grote organisaties die te maken hebben met veel medewerkers die in dienst treden, van functie veranderen of de organisatie verlaten kan een dergelijke vorm van identity management veel toegevoegde waarde hebben. Voor beheerders is het weliswaar een grote uitdaging om alle identiteiten, rollen en permissies uit databases en applicaties op een juiste manier te centraliseren, maar als dit eenmaal gerealiseerd is, kan dit veel tijdsbesparing opleveren. Ook voor IT-auditors kan dit voordelig zijn, omdat ze zich in dit geval bij het onderzoek naar autorisaties in principe kunnen beperken tot de internet directory. Ook voor gebruikers kan een dergelijke opzet voordelen met zich meebrengen: door gebruik te maken van single sign-on (zie kader) hoeft een gebruiker slechts één enkele keer in te loggen, waarna authenticatie automatisch plaatsvindt voor alle applicaties waarvoor de betreffende gebruiker geautoriseerd is. Dit zou zelfs voordelen kunnen hebben voor de veiligheid van de IT-omgeving, aangezien gebruikers minder wachtwoorden behoeven te onthouden, waardoor men minder snel geneigd zal zijn tot het noteren van wachtwoorden op ‘spiekbriefjes’ aan bijvoorbeeld de onderkant van het toetsenbord. Voor IT-auditors was informatie over authenticatie en identificatie van gebruikers altijd al een belangrijk aspect. Het risico bestaat wel dat, indien het wachtwoord van een gebruiker bekend is bij een onbevoegde, hij direct toegang heeft tot alle applicaties van die gebruiker. Het is mogelijk alle componenten van OAS op één en dezelfde computer te installeren. In productieomgevingen worden de componenten doorgaans verdeeld over verschillende fysieke componenten, om zo de benodigde performance en schaalbaarheid te kunnen bieden. Door deze hardware met elkaar te verbinden via een standaard TCP/ IP-netwerk kunnen de diverse componenten samenwerken, zodat de application server kan functioneren. Indien kritieke componenten redundant zijn uitgevoerd, kunnen calamiteiten worden opgevangen. Hiermee hangt de beschikbaarheid van de application server in belangrijke mate af van de manier waarop de diverse componenten zijn verdeeld over de gebruikte hardware. Tevens speelt het (interne) netwerk een grote rol. Oracle heeft de naam application server aangepast, omdat deze vlag de lading niet langer dekt. Daarom is nu de naam ‘Oracle Fusion Middleware’ in het leven geroepen. Onder deze naam worden nu diverse pakketten (zoals ‘Collaboration Suite’ en ‘Business Intelligence’) aangeboden waar een application server deel van uitmaakt. Aandachtspunten voor de IT-auditor In het voorgaande werd duidelijk dat een application-archi-

tectuur een verzameling is van diverse samenwerkende componenten. Per component is reeds kort aangegeven welke aspecten bij een IT-audit van belang zijn. Bovendien is het uitschakelen van standaardaccounts (of in elk geval het wijzigen van de wachtwoorden ervan) een essentiële stap bij het beveiligen van deze architectuur. Hierbij is ook het afschermen van allerlei (webgebaseerde) beheerinterfaces en het verwijderen van meegeleverde demoapplicaties van groot belang. De diverse componenten communiceren intensief met elkaar via het netwerk. Aangezien de beveiliging van de individuele componenten nooit geheel gegarandeerd kan worden, is het raadzaam het netwerk zodanig te segmenteren dat alleen die componenten met elkaar kunnen communiceren waarvoor geldt dat een verbinding noodzakelijk is. Feitelijk gaat het hier om security in depth: door het hardenen van de diverse componenten en de onderliggende systemen, het implementeren van een goed patchbeleid en het segmenteren van het netwerk, kan de architectuur als geheel veiliger worden gemaakt. Aan de IT-auditor de taak zekerheid te verschaffen over de kwaliteit van deze maatregelen. Controlewerkprogramma’s en diverse applicaties (zie [ZUID08]) kunnen hierbij goede hulpmiddelen zijn. Een gefundeerd oordeel over de exclusiviteit, integriteit en beschikbaarheid van de beschikbaar gestelde informatie kan echter niet gegeven worden, voordat de complete architectuur is geanalyseerd in de context van de organisatie. Daarnaast bestaat de mogelijkheid dat databasebeheerders (DBA’s) door de aanschaf van een application server te maken kunnen krijgen met een forse uitbreiding van hun functie en verantwoordelijkheden. Naast de database moet de beheerder bijvoorbeeld ook webservers, webapplicaties en een Certificate Authority beheren. In sommige gevallen kan dit zelfs leiden tot schending van het beginsel van functiescheiding. Afhankelijk van het type applicaties kan het daarom noodzakelijk zijn dat, naast de DBA, een applicatiebeheerder wordt aangesteld, die verantwoordelijk is voor het technische beheer van de applicaties. Hiervan kan bijvoorbeeld sprake zijn wanneer een DBA zowel het technische beheer uitvoert van financiële programma’s als van de onderliggende database. Ten slotte is het van belang zich te realiseren dat er een verschuiving optreedt in de plaats waar de autorisaties van gebruikers zijn opgeslagen. Waar dit vroeger vastlag in de database en in sommige applicaties, wordt dit in de application server-architectuur in principe in een LDAP-directory vastgelegd, waarbij er slechts één of hooguit enkele database accounts worden gebruikt. In de praktijk zijn echter allerlei mengvormen mogelijk, zodat de autorisaties alsnog verspreid over de systemen kunnen liggen waardoor er niet eenvoudig uitspraken gedaan kunnen worden over de inrichting van deze autorisaties. Conclusie Implementatie van een application server kan leiden tot een veiligere en robuustere architectuur die schaalbaar is. Voor zowel beheerders als IT-auditors introduceert deze architec-


tuur echter ook een aantal extra aandachtspunten. Hierbij zijn hardening van de complete keten, applicatieveiligheid, een doordachte functie-indeling en een duidelijk vastgelegde autorisatiestructuur van groot belang. Dit alles kan niet met een standaard controlewerkprogramma worden afgedicht: een grondige analyse van het complete systeem in de context van de organisatie is vereist, alvorens conclusies getrokken kunnen worden over de betrouwbaarheid van het systeem. ■

[MISR05] Misra, V.H., Oracle Application Server Certificate Authority,

Literatuur

2 XML staat voor eXtensible Markup Language.

[BLEI98] Bleichenbacher, D., Chosen Ciphertext Attacks Against Protocols

3 XSS is een techniek waarbij een aanvaller een speciale programmacode

Oracle Corporation, 2005. [WISH06] Wishbow, N., Oracle Application Server Single Sign-On, Oracle Corporation, 2006. [ZUID08] Zuidweg, N.J., IT Auditing of Oracle Application Server, Technische Universiteit Eindhoven, 2008, http://tinyurl.com/zuidweg2008-pdf. Noten 1 DBMS staat voor Database Management System, dit is de software die het gebruik van een digitale database mogelijk maakt.

Based on the RSA Encryption Standard PKCS #1, Lecture Notes in Computer

laat uitvoeren in de browser van een gebruiker wanneer deze een

Science 1462 (1998).

webpagina benadert. Met behulp van deze techniek zou bijvoorbeeld

[DESM05] Desmond, E., Oracle Identity Management Concepts and

de inhoud van een sessie cookie ‘gestolen’ kunnen worden.

Deployment Planning Guide, Oracle Corporation, 2005.

4 Al is het aan te raden om verschillende publieke sleutels te gebruiken

[GREE04] Greenwald, R., R. Stackowiak en D. Bales, Oracle Application Server 10g Essentials, O’Reilly, 2004.

voor authenticatie enerzijds en versleuteling anderzijds, zie [BLEI98]. 5 Een cookie is een klein tekstbestandje dat opgeslagen kan worden in

[LEAN00] Leander, R., Building Application Servers, Cambridge University

een webbrowser. Cookies bevatten vaak gegevens die ervoor dienen de

Press, 2000.

gebruiker te identificeren.

ADVERTENTI E

#ONTROLLERS-AGAZINENL Dé website voor controllers, treasurers en financieel managers

ControllersMagazine.nl: dé website voor controllers, financieel managers

en

treasurers.

Spraakmakend,

informatief

en

onafhankelijk. Actualiteit wordt aangevuld met vakinhoud en opinie. Met nieuws, actualiteiten, dossiers, weblogs en vacatures. Surf naar www.controllersmagazine.nl


Artikel

De statistische steekproef Uitdaging voor de EDP-auditor (deel 2)

Arjan Hassing

In het eerste nummer van de vorige jaargang van de EDP-Auditor heb ik de theorie over de statistische steekproefmaterie voor EDP-auditors aan een beschouwing onderworpen. Ik zegde daarin toe nader in te gaan op de stand van zaken in de rechtspraak, de mate van aanvaardbaarheid van de aanpak van de Belastingdienst en de wijze waarop een belastingplichtige zich in mijn ogen daartegen zou kunnen verweren. Op die onderwerpen ga ik nu in.

D

e onderwerpen die in dit artikel worden besproken zijn niet toevallig gekozen; ze hangen nauw met elkaar samen. Zo heeft een groot deel van de jurisprudentie over statistische steekproeven betrekking op rechtszaken tussen de fiscus en belastingplichtigen. Na de accountantskantoren maakt de Belastingdienst de afgelopen jaren ook steeds meer gebruik van statistische steekproeven in haar boekenonderzoeken. Op zich is dat een begrijpelijke ontwikkeling. Statistische steekproeven hebben al vaak hun diensten bewezen bij de controle van de kwaliteit van administratieve processen. En als ze goed uitgevoerd worden, kan een enorme inspanningsbesparing worden gerealiseerd. Bovendien probeert de Belastingdienst met minder menskracht meer controles uit te voeren; daar past een efficiënte uitvoering van de werkzaamheden bij. Daarnaast profiteert de gemiddelde belastingbetaler – weliswaar slechts in geringe mate – van de lagere kosten van het fiscale apparaat. De uitvoering van onderzoeken op statistische grondslag brengt echter ook risico’s met zich mee. Een ervan is dat bij de controle op de belastingheffing het toevalsbeginsel een rol gaat spelen. Daarnaast lijkt de Belastingdienst zich met name te richten op organisaties van grote omvang. Nu valt daar wat voor te zeggen, omdat – zoals ik in het vorige artikel heb geprobeerd duidelijk te maken – de methodiek alleen toepasbaar is indien de ‘wet van de grote aantallen’ opgaat. Anders dient op een andere wijze (bijvoorbeeld integraal) gecontroleerd worden. Een ander risico is het antwoord op de vraag of de Belastingdienst voldoende kennis en vaardigheden in huis heeft voor de toepassing van statistische technieken. Onzuiverheden in de toegepaste methode kunnen in veelvoud in de uiteindelijke correctie terugkeren. De belastingplichtige wordt dan voor de keuze gesteld om de correcties te accepteren of grote inspanningen te verrichten (en vaak hoge kosten te maken) om de correcties te weerleggen. Vaak dient de belastingplichtige externe kennis in te huren om de door de Belastingdienst gehanteerde werkwijze te doorgronden.

drs. A.J.A. (Arjan) Hassing RE RA is partner Advisory bij Ernst & Young Accountants en betrokken bij de beoordeling van de door de Belastingdienst gehanteerde steekproefmethodiek in fiscale boekenonderzoeken bij cliënten en het vormgeven van horizontaal toezicht bij cliënten.

Chi-kwadraattoets De Belastingdienst kan een goede controle uitvoeren door alle uitgaven en ontvangsten individueel te controleren. Bij middelgrote organisaties was dat echter al nauwelijks meer uitvoerbaar. Daarom heeft de Belastingdienst in het verleden


ervoor gekozen controlesystemen te gebruiken, waarmee niet alle inkomsten en uitgaven worden gecontroleerd. Aanvankelijk gebruikte de Belastingdienst een controlemiddel dat bekend is geworden als de ‘chi-kwadraattoets’. Kort gezegd werd met deze methode een selectie toegepast op het voorkomen van bepaalde cijfers. De praktijk heeft uitgewezen dat fraudeurs een onbewuste voorkeur hebben voor bepaalde cijfers. Aan de hand van deze toets testte de Belastingdienst de betrouwbaarheid van financiële administraties. Bij een te grote onbetrouwbaarheid kon de fiscus de administratie verwerpen en zelf de winst vaststellen. De belastingplichtige kreeg de mogelijkheid om aan te tonen dat de door de Belastingdienst vastgestelde winst onjuist was. In feite is dat een soort omkering van de bewijslast. De chi-kwadraattoets is ooit door een belastingplichtige aan het oordeel van de rechter voorgelegd met de stelling dat de methode nimmer betrouwbaar kon zijn. Uiteindelijk is de methode door de Hoge Raad aanvaard. Meegegeven werd dat de methode alleen bruikbaar is als blijkt dat getallen en cijfers in de administratie niet toevallig zijn en er tevens andere gebreken in de administratie worden aangetroffen. De Hoge Raad stelde dat als enkel de chi-kwadraattoets wees op onbetrouwbaarheid van de administratie, dat onvoldoende bewijs opleverde om deze af te keuren. De Belastingdienst was daarmee terug bij af, maar zat niet stil en ontwikkelde de afgelopen jaren de monetaire steekproef als efficiënt controlemiddel om de betrouwbaarheid van administraties vast te stellen. Monetaire steekproeven in de rechtspraak Inmiddels worden alweer enkele jaren gulden- of eurosteekproeven gebruikt door de Belastingdienst. En als in het steekproefonderzoek de goedkeuringsgrens wordt overschreden, projecteert de Belastingdienst vaak niet alleen binnen het onderzochte jaar, maar worden de uitkomsten ook geëxtrapoleerd naar (doorgaans) vier andere jaren. Omdat een aantal onderzochte ondernemers hierdoor met enorme naheffingen (en boetes) werd geconfronteerd, zal het geen verbazing wekken dat de methode door enkele op deze wijze gecontroleerde ondernemers bij de rechter ter discussie is gesteld. Het betrof geschillen met betrekking tot de loonbelasting, de BPM (Belasting van Personenauto’s en Motorrijwielen) en de omzetbelasting. Loonbelasting Ten aanzien van de loonbelasting betrof het een uitzendbureau dat circa 150 arbeidskrachten uit Engeland had aangetrokken. Deze werknemers werden tijdelijk in Nederland tewerk gesteld en ontvingen een maandelijkse kostenvergoeding voor onder andere huisvesting in Nederland. De onkostenvergoeding werd onbelast verstrekt; de wet biedt onder voorwaarden ook de mogelijkheid daartoe. Op basis van een onderzoek aan de hand van een monetaire steekproef kwam de Belastingdienst tot het oordeel dat de kostenvergoeding ten onrechte onbelast was gebleven. De naheffing (inclusief boete) van de Belastingdienst liep, na projectie en extrapolatie, in de miljoenen guldens. Het uitzendbureau ging onder

meer tegen het gebruik van de steekproef en de extrapolatie naar andere jaren in verweer. Het hof oordeelde echter dat ‘de onderzoeksmethode zoals die door de inspecteur is gehanteerd een betrouwbare schatting vormt van de omvang van de fouten in de inhoudingen van loonheffing door belanghebbende.’ Het uitzendbureau ging in cassatie bij de Hoge Raad tegen deze uitspraak. BPM Een importeur van auto’s en motoren verkocht deze voertuigen aan dealers in Nederland. Via de dealers vonden de auto’s en motoren hun weg naar de eindconsumenten. Meestal vraagt de importeur de kentekens aan voor de geïmporteerde auto’s en motoren. De importeur draagt BPM af aan de Belastingdienst over de auto’s en motoren, zoals deze aan de dealers geleverd worden. Op het moment van prijswijzigingen of als dealers accessoires toevoegen, is de afgedragen BPM niet meer correct. Op basis van een onderzoek aan de hand van een monetaire steekproef kwam de Belastingdienst tot het oordeel dat de afgedragen BPM te laag was. Ook in dit geval beliep de naheffing (inclusief boete) van de Belastingdienst, na projectie en extrapolatie, in de miljoenen guldens. De importeur ging onder andere tegen het gebruik van de steekproef en de extrapolatie naar andere jaren in verweer, maar het hof accepteerde uiteindelijk de methode, zonder deze overigens diepgaand te onderzoeken. Het hof achtte de steekproef statistisch betrouwbaar en vond het daarom niet bezwaarlijk als naar andere jaren werd geëxtrapoleerd. De importeur liet het daar niet bij zitten en ging in cassatie bij de Hoge Raad. Omzetbelasting Tot andere conclusies kwam het hof in een geding dat betrekking had op omzetbelasting. De Belastingdienst voerde aan de hand van een monetaire steekproef een boekenonderzoek uit naar incasso en afdracht van omzetbelasting bij een middelgroot accountantskantoor. Omdat relatief veel onvolkomenheden uit de steekproef naar voren kwamen, kwam het bedrag van naheffing en boeten boven de acht miljoen gulden uit. Het accountantskantoor ging in verweer bij de rechter en deze kwam tot de conclusie dat ‘in een belastingstelsel als dat van de toegevoegde waarde, waarin de factuur een essentieel element vormt voor de controle en voor de uitoefening van het aftrekrecht, het niet past aan de hand van een steekproef, hoe betrouwbaar op zichzelf ook, aan te nemen dat niet aan een controle onderworpen facturen onjuist zijn.’ Het wezenskenmerk van de omzetbelasting (neutraliteit) wordt bij gebruik van een steekproef verbroken, met als gevolg dat de ondernemer niet in staat is de facturering te corrigeren. Bij deze uitspraak legde de Belastingdienst zich niet neer en deze ging in cassatie bij de Hoge Raad. Cassatie bij de Hoge Raad De drie zaken (eigenlijk vier, omdat er sprake is van twee BPM-zaken) zijn in januari 2004 tegelijk aan de Hoge Raad voorgelegd en deze heeft pas in maart 2008 uitspraak


gedaan. De uitspraak van de Hoge Raad kwam op het volgende neer: 1) De Hoge Raad acht het gebruik van de guldenssteekproef geoorloofd bij het opleggen van de naheffingsaanslagen loonbelasting. De inspecteur heeft de naheffingsaanslagen niet gebaseerd op de uitkomst van de steekproef, maar op het feit dat de belastingplichtige niet aannemelijk heeft kunnen maken dat de vergoedingen onbelast waren. De inspecteur hoeft het bedrag van de naheffing niet onder te verdelen in bedragen per werknemer aan wie een kostenvergoeding is verstrekt. 2) De Hoge Raad vindt dat het in het BTW-stelsel prima past om via een steekproef aan te nemen dat niet aan een controle onderworpen facturen onjuist zijn. Wanneer de inspecteur door middel van een steekproef, en extrapolatie van de resultaten daarvan, komt tot een deugdelijke berekening van ten onrechte niet voldane omzetbelasting, is controle door middel van een steekproef acceptabel. Een fundamenteel beginsel van het stelsel van belasting over de toegevoegde waarde wordt gevormd door het uitgangspunt dat bij elke transactie omzetbelasting verschuldigd wordt onder aftrek van de omzetbelasting, waarmee de onderscheiden elementen van de prijs rechtstreeks waren belast. Daarbij behoeft niet gewaarborgd te zijn dat die belastingplichtige de na te heffen belasting alsnog vergoed krijgt van zijn afnemer. 3) De Hoge Raad oordeelt dat naheffing van BPM op basis van een geëxtrapoleerde steekproef in strijd is met het stelsel van de Wet BPM 1992. De Hoge Raad stelt voorop dat de voldoening van BPM op aangifte door een importeur niet op eigen naam geschiedt, maar namens elk van de betrokken kentekenhouders. Dit brengt met zich mee dat de kentekenhouder wiens belastingschuld het betreft, aangewezen moet kunnen worden. Bij een naheffingsaanslag die niet is te herleiden tot een kentekenhouder is dat niet het geval en deze zijn om die reden niet acceptabel. Verweer tegen monetaire steekproef De Hoge Raad staat het gebruik van monetaire steekproeven toe bij controles van loonbelasting en omzetbelasting en keurt de systematiek af bij controles van BPM. Hoewel er argumenten tegen de uitspraken van de Hoge Raad met betrekking tot loonbelasting en omzetbelasting te bedenken zijn, is verzet tegen de uitspraken praktisch niet zinvol en slechts van wetenschappelijke waarde. De oplettende lezer heeft echter al gemerkt in de hiervoor opgenomen uitspraken, dat de Hoge Raad de monetaire steekproef weliswaar toestaat bij loonbelasting en omzetbelasting maar geen oordeel heeft over hoe deze steekproeven uitgevoerd moeten worden.

tingdienst voor de onderzochte organisaties geen mogelijkheid tot correctie is en de financiële consequenties veel groter zijn, rijst de vraag of deze aanpak wel toepasbaar is in belastingcontroles. Goede mogelijkheden voor verweer tegen de aanpak van de Belastingdienst bevinden zich naar mijn mening op de volgende drie gebieden: 1) Extrapolatie naar andere perioden De Belastingdienst voert haar steekproef doorgaans uit op één jaar en extrapoleert de uitkomsten van het controlejaar naar vier andere jaren. Voor die extrapolatie bestaat onvoldoende deugdelijke grondslag. En daarmee moet het niet moeilijk zijn om die van tafel te krijgen. Vaak wordt door de Belastingdienst aanvullend onderzoek uitgevoerd of de AO/IC (Administratieve Organisatie en Interne Controle) van de organisatie in de niet-onderzochte perioden wezenlijk afwijkt van die van de onderzochte periode. Indien dat niet het geval is, vindt de Belastingdienst de extrapolatie gerechtvaardigd. Als die handelwijze acceptabel zou zijn, zouden accountants bij hun jaarrekeningcontroles zich ook een hoop moeite kunnen besparen door steeds één jaar regulier te controleren en zich in de andere jaren te beperken tot beoordeling van de AO/IC. Overigens biedt ook de Hoge Raad mogelijkheden aan belastingplichtigen om zich te verweren tegen extrapolatie naar andere jaren. 2) Krappe foutmarges De Belastingdienst hanteert voor de bepaling van het materieel belang en de controletolerantie een eigen richtsnoer. De inhoud van dit richtsnoer is overigens niet openbaar, maar kan aan de hand van enkele controlerapporten van de Belastingdiensten afgeleid worden. De wijze waarop de Belastingdienst het materieel belang en de controletolerantie bepaalt, is streng als gekeken wordt naar de wijze waarop deze in andere situaties (bijvoorbeeld accountantscontrole) bepaald wordt. Hoe lager deze grenzen gesteld worden, hoe sneller de steekproef leidt tot afkeuren van de steekproefstelling. De vraag rijst dan of dat redelijk en billijk is. Daarnaast hanteert de Belastingdienst de maximale fout uit de steekproef als waarde waarmee vastgesteld kan worden of de materialiteitsgrens is overschreden. De kans

Foutbereik en puntschatter Bij de uitvoering van een monetaire steekproef wordt – na selectie en beoordeling van de getrokken elementen – de fout die zich in een bepaalde populatie bevindt, niet uitgedrukt in één waarde maar in een ‘foutbereik’. Met de vooraf gekozen zekerheid (bijvoorbeeld 95 procent) kan gesteld worden dat de fout in een bepaalde populatie ligt tussen een bepaalde minimumwaarde (de ‘minimale fout’) en een bepaalde maximumwaarde (de ‘maximale fout’).

En daar liggen mijns inziens eventuele verweermogelijkheden. De Belastingdienst heeft haar steekproefaanpak immers grotendeels geënt op de aanpak die reeds langere tijd in de jaarrekeningcontrole door accountants gebruikt wordt. Omdat er bij de steekproefonderzoeken van de Belas-

De gemiddelde fout in dit foutbereik heet de ‘puntschatter’. Het behoeft geen verdere toelichting dat de puntschatter meer voor de hand ligt dan de maximale fout, als de meest objectieve waarde ter benadering van de werkelijke fout in de populatie.


dat deze waarde de materialiteitsgrens overschrijdt, is hoger dan de overige waarden uit het foutbereik, terwijl de kans dat de maximale fout gelijk is aan de werkelijke fout minimaal is. Ook hier geldt de vraag of de keuze voor de maximale fout redelijk en billijk is. Meer voor de hand ligt de puntschatter of gemiddelde fout in de steekproef (zie kader). 3) Geen onderzoek naar compenserende fouten Een andere verweermogelijkheid is het gegeven dat door de Belastingdienst doorgaans een klein gedeelte van de administratie van de belastingplichtige wordt onderzocht. Dit deel is specifiek gericht op het doel van het onderzoek en de vraag of te weinig belasting is afgedragen. De vraag of teveel belasting is afgedragen wordt in principe niet onderzocht, bovendien zou onderzocht moeten worden of compenserende posten niet op een andere plaats in de administratie zijn opgenomen. Er zijn meer verweermogelijkheden, maar de genoemde drie hebben mijns inziens de grootste kans van slagen. Het voorgaande zou tot de conclusie kunnen leiden, dat overwogen dient te worden om de steekproefsystematiek aan een rechter voor te leggen. Behalve dat ook dat (inclusief hoger beroep) waarschijnlijk weer een lang traject wordt, gaan de ontwikkelingen een kant op waardoor ik niet verwacht dat dat zal gebeuren. In deze ontwikkelingen wordt aan belastingplichtigen de kans geboden om (onder voorwaarden) zelf de belastingcontroles uit te voeren. En die kans – waarmee meer grip op de eigen fiscale positie kan worden verkregen en verrassingen kunnen worden voorkomen – dienen belastingplichtigen mijns inziens niet te laten lopen. Horizontaal toezicht Onlangs is het Bedrijfsplan 2008-2012 van de Belastingdienst verschenen. Eén van de daarin geformuleerde doelen en ambities voor de komende jaren is de versterking en verbreding van het toezicht. Daarbij is ‘verticaal’ toezicht de traditionele vorm van toezicht door de Belastingdienst waarbij deze achteraf beoordeelt (door middel van boekenonderzoeken en steekproeven) of bedrijven zich aan hun fiscale verplichtingen hebben gehouden. Bij horizontaal toezicht – dat nu een jaar of drie bestaat – gaat het om wederzijds vertrouwen tussen de belastingplichtige en de Belastingdienst. Belastingplichtigen dienen op basis van eigen onderzoek vooraf fiscale risico’s aan de fiscus te melden. Daarvoor in de plaats krijgen die bedrijven sneller zekerheid over de eigen belastingpositie dan anders het geval is. Horizontaal toezicht is daarmee een belangrijk instrument voor een organisatie in het kader van haar risicobeheersing. De organisatie weet immers welke potentiële risico’s er bestaan en door deze te melden aan de fiscus, ontstaat er snel duidelijkheid over de omvang van de te betalen belasting. Bovendien gaat er een preventieve werking uit van zelfcontroles voor latere perioden.

Steekproeven en data-analyse In het kader van het toezicht als gezamenlijke verantwoordelijkheid van de fiscus enerzijds en ondernemingen en hun adviseurs anderzijds, zullen bepaalde werkzaamheden die traditioneel door de fiscus gedaan werden, nu door belastingplichtigen zelf worden verricht. Een goed voorbeeld van werkzaamheden die door het bedrijf zelf kunnen worden gedaan, is de uitvoering van steekproeven in het kader van tijdig signaleren en beheersen van fiscale risico’s. De methodiek van de Belastingdienst is bekend en daardoor gemakkelijk toepasbaar ter invulling van het horizontaal toezicht. Een alternatief om efficiënt boekenonderzoeken uit te voeren en invulling te geven aan horizontaal toezicht is dataanalyse, door de Belastingdienst nimmer serieus onderzocht en ingezet. De mogelijkheden op het gebied van data-analyse zijn de afgelopen jaren snel gegroeid en verfijnd, waardoor grote volumes aan data efficiënt integraal onderzocht kunnen worden. Door dit integrale karakter kan met dataanalyse één van de meest gehoorde bezwaren – hoe onterecht ook – tegen steekproeven worden weggenomen, namelijk dat slechts een deel van een gegevensverzameling wordt onderzocht. Daarnaast blijkt in de praktijk het opleiden van personeel in data-analyse eenvoudiger dan in de steekproefmaterie. Het voert te ver om in dit verband dieper in te gaan op data-analyses; dit zal in een toekomstig artikel geschieden. Saillant detail is overigens dat data-analyses doorgaans met dezelfde software uitgevoerd worden als waarmee momenteel steekproeven worden getrokken. Tot slot In dit artikel heb ik geprobeerd u mee te nemen in de toepassing van de in het vorige artikel besproken steekproefmaterie. Daarbij ben ik ingegaan op de historie van het gebruik van steekproeven bij de Belastingdienst en de actuele stand van zaken in de jurisprudentie. En hoewel zelfs de Hoge Raad grotendeels meegaat in het toestaan van het gebruik van steekproeven bij belastingcontroles, is er in de rechtspraak nog geen uitspraak gedaan over de te hanteren methodiek. Dat biedt mogelijkheden om tegen de steekproefaanpak van de fiscus in verweer te gaan. Daar staat een beweging tegenover van het in toenemende mate beleggen van belastingcontroles bij de belastingplichtigen zelf: het zogenaamde horizontale toezicht. In die ontwikkeling zie ik een grote toekomst weggelegd voor de door de Belastingdienst zelf geaccepteerde wijze van steekproeven trekken. Een volgende, verder te ontwikkelen stap lijken integrale controles met behulp van data-analyses. Wordt vervolgd. ■


Artikel

Uitbesteding bij financiële ondernemingen Wet- & regelgeving en de IT-auditor (deel 2 – Wbp)

Jeroen van Puijenbroek

Aan uitbesteding kleven risico’s. Daarom worden op grond van weten regelgeving eisen gesteld aan uitbesteding bij financiële ondernemingen. In het eerste 1 deel van dit artikel is ingegaan op de Wet financieel

toezicht (Wft), de eisen die de Wft stelt aan uitbesteding door financiële ondernemingen en de rol die de IT-auditor kan spelen ten aanzien van de naleving van de Wft. Nu komt aan bod wat de Wet bescherming persoonsgegevens (Wbp) voor IT-auditor betekent.

B

ij werkzaamheden die door financiële ondernemingen worden uitbesteed en die onder de definitie van artikel 1 Wfti vallen, zal veelal sprake zijn van verwerking van persoonsgegevens. Dit betekent dat naast de Wft ook de Wbp van toepassing is en dat moet worden voldaan aan de daaruit voortvloeiende eisen. Daarom wordt in dit tweede deel van het artikel ingegaan op de uitgangspunten en structuur van de Wbp, de Wbp en uitbesteding en zal per fase van het uitbestedingproces worden aangegeven met welke bepalingen uit de Wbp de IT-auditor rekening moet houden.

Uitgangspunten en structuur Wbp Uitgangspunten De Wbp is op 1 september 2001 in werking getreden en stelt eisen aan de wijze waarop organisaties mogen omgaan met persoonsgegevens. De Wbp is van toepassing op ‘de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens alsmede niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen’. Hierbij zijn persoonsgegevens gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon (de betrokkene). Onder verwerking wordt iedere handeling met betrekking tot een persoonsgegeven verstaan, vanaf het moment van verzamelen tot en met het verwijderen en vernietigen. De Wbp is dus bijvoorbeeld niet alleen van toepassing op alle gegevens die over een specifieke klant zijn opgenomen in het CRM-systeem (Customer Relationship Management), maar ook op de aantekeningen van de accountmanager die nog in het CRM-systeem moeten worden opgenomen, net als het papieren dossier zolang dit een ‘gestructureerd geheel’ vormt (bijvoorbeeld op naam is gearchiveerd). Het uitgangspunt van de Wbp is dat er, met uitzondering van de verwerking van bijzondere gegevens (zie hierna onder ‘Structuur’), geen verbod is op de verwerking van persoonsgegevens. Persoonsgegevens mogen worden verwerkt, zolang wordt voldaan aan de voorwaarden die de wet stelt aan een rechtmatige verwerking.

mr. drs. J.P.M. (Jeroen) van Puijenbroek RE werkt als senior auditor bij de Audit Rabobank Groep van Rabobank Nederland. Van Puijenbroek is voornamelijk werkzaam op het gebied van het ontwikkelen en (mede)uitvoeren van compliance audits. De auteur heeft het artikel op persoonlijke titel geschreven.

Structuur De inhoudelijke regels die van toepassing zijn op de verwerking van persoonsgegevens, zijn onder te verdelen in drie groepen (‘lagen’) met wettelijke bepalingen2, te weten:


• eerste laag: de algemene bepalingen; • tweede laag: de specifieke bepalingen over het verwerken van bijzondere gegevens; • derde laag: de specifieke bepalingen over doorgifte van gegevens naar niet-EU-landen. Afhankelijk van de precieze vorm van het verwerken en de soort gegevens kunnen tegelijkertijd verschillende groepen met bepalingen uit de Wbp van toepassing zijn. Daarbij zijn de algemene bepalingen altijd van toepassing en andere bepalingen alleen in bepaalde gevallen. Voor het verwerken van gezondheidsgegevens (= bijzonder gegeven) zijn zowel de algemene bepalingen (laag 1) als de bepalingen met betrekking tot bijzondere gegevens (laag 2) van toepassing. In figuur 1 zijn de wettelijke bepalingen per laag weergegeven.

Hierna wordt kort ingegaan op een aantal bepalingen van de in figuur 1 weergegeven lagen. In de paragraaf ‘Wbp en fase uitbesteding’ van dit artikel wordt uitgebreider ingegaan op de diverse bepalingen. Eerste laag: algemene bepalingen Persoonsgegevens mogen slechts worden verwerkt als daarbij wordt voldaan aan de voorwaarden die de Wbp stelt aan een rechtmatige verwerking. Als algemeen uitgangspunt geldt daarbij dat persoonsgegevens in overeenstemming met de wet (niet alleen de Wbp, maar alle relevante weten regelgeving) én op een behoorlijke en zorgvuldige wijze moeten worden verwerkt. Bij het beoordelen van een rechtmatige gegevensverwerking spelen de door de verantwoordelijke (lees: financiële onderneming) geformuleerde doeleinden voor de gegevens-

Figuur 1 Lagen Wbp


verwerking een cruciale rol. De verplichting tot specificatie van het doel van de gegevensverwerking is neergelegd in artikel 7 Wbp. Die bepaling eist: ‘Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven, gerechtvaardigde doeleinden verzameld’. De limitatief opgenomen verwerkingsgronden in artikel 8 Wbp zijn een invulling van welke doeleinden gerechtvaardigd zijn. Het doelbindingsbeginsel verbiedt verwerkingen van persoonsgegevens die onverenigbaar zijn met de doeleinden waarvoor de gegevens zijn verkregen. De geformuleerde doeleinden bepalen ook welke gegevens mogen worden verwerkt (terzake dienend en niet bovenmatig) en hoe lang deze mogen worden bewaard. In figuur 2 is de relatie tussen het voor het verzamelen omschreven doel en de andere algemene bepalingen weergegeven. Een andere algemene bepaling is de meldingsplicht. Met uitzonderingen van de gegevensverwerkingen die voldoen aan de eisen van het Vrijstellingsbesluit Wbpii dienen alle

gegevensverwerkingen vóór de aanvang van de gegevensverwerkingen te worden gemeld bij bij het College Bescherming Persoonsgegevens (CBP, de nationale toezichthouder). De melding bestaat onder meer uit de doeleinden, categorieën van betrokkenen en categorieën van gegevens en categorieën van ontvangers.3 De gegevensverwerkingen in het kader van de financiële dienstverlening zijn in principe meldingsplichtig. De door de financiële ondernemingen gedane meldingen zijn te raadplegen in het openbare meldingenregister op de website van het CBP (www.cbpweb.nl). Tweede laag: specifieke bepalingen over verwerken bijzondere gegevens Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk hande-

Figuur 2 Spilfunctie artikel 7 Wpb (welbepaald doel) binnen hoofdstuk 2 Wbp


len waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod). Het verwerken van deze persoonsgegevens is in principe verboden, tenzij wordt voldaan aan een van de in de Wbp opgenomen uitzonderingsgronden. Een verzekeringsmaatschappij mag bijvoorbeeld gezondheidsgegevens verwerken, voor zover dat noodzakelijk is voor: • het beoordelen van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of • de uitvoering van de verzekeringsovereenkomst. Derde laag: specifieke bepalingen over doorgifte naar niet-EU-land Persoonsgegevens mogen slechts worden doorgegeven naar een land buiten de EU, de zogenaamde derde landen,iii indien dat land een passend beschermingsniveau biedt. Voor een aantal landen heeft de Europese Commissie (EC) besloten dat een passend beschermingsniveau aanwezig is. De scope van zo’n besluit kan per land verschillen.4 Deze landen zijn Argentinië, Canada, Guernsey, Isle of Man, Verenigde Staten (voor zover de ontvangende partij de Safe Harbor Principles heeft onderschreven) en Zwitserland. Wanneer een land onvoldoende bescherming van persoonsgegevens biedt, is het gegevensverkeer niet uitgesloten, maar onderworpen aan aanvullende regels. Er kan worden voldaan aan een van de in de Wbp opgenomen uitzonderingsgronden (bijvoorbeeld ondubbelzinnige toestemming van de betrokkene of noodzakelijk voor de uitoefening van een overeenkomst). Indien de uitzonderingsgronden niet van toepassing zijn, dan zal er een vergunning moeten worden aangevraagd bij de minister van Justitie voor de doorgifte van persoonsgegevens. In de paragraaf ‘Wbp en fasen uitbesteding’ van dit artikel wordt ingegaan op de diverse bepalingen uit figuur 1. Op de bepaling ‘informatieverstrekking aan de betrokkene’ wordt niet verder ingegaan, omdat het uitbesteden van gegevensverwerkingen voor deze bepaling niet leidt tot aanvullende verplichtingen voor de financiële onderneming. Naast de zojuist genoemde bepalingen zijn er in de Wbp ook bepalingen opgenomen over toezicht en sancties (hoofdstukken 9 en 10 Wbp). Deze blijven buiten beschouwing in dit artikel. Gedragscode Organisaties kunnen de (deels) open normen uit de Wbp in een gedragscode verder invullen en het CBP verzoeken te verklaren dat de daarin opgenomen regels, gelet op de bijzondere kenmerken van de sector waarin deze organisaties werkzaam zijn, een juiste uitwerking vormen van de Wbp of van andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens (hoofdstuk 3 Wbp). De Gedragscode Verwerking Persoonsgegevens Financiële instellingen (hierna kortweg: gedragscode) van de Nederlandse Vereniging van Banken (NVB) en het Verbond van Verzekeraars (VvV) bevat een dergelijke nadere uitwerking.

De gedragscode draagt bij aan een grotere doorzichtigheid van het gebruik van persoonsgegevens in de financiële sector. De gedragscode is in 2003 door het CBP goedgekeurd en heeft een geldigheidsduur van vijf jaar. Medio 2008 is door het NVB en de VvV een gemoderniseerde tekst van de gedragscode naar het CBP gestuurd ter goedkeuring.

Wbp en uitbesteding Relatie verantwoordelijke – bewerker De verantwoordelijke is op grond van de Wbp degene die het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt; in deze context is dat de financiële onderneming. De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. De serviceorganisatie verwerkt derhalve gegevens ten behoeve van de financiële onderneming, dat wil zeggen overeenkomstig diens instructie en diens (uitdrukkelijke) verantwoordelijkheid. Het is daarom de financiële onderneming die de doeleinden van de verwerking bij de serviceorganisatie bepaalt en beslist over het gebruik van de persoonsgegevens bij de serviceorganisatie. In geval van uitbesteding van (een deel van) de gegevensverwerking wordt veelal aangenomen dat de serviceorganisatie bewerker is in de zin van de Wbp. Wanneer de ontvangende partij zelf kan beslissen wat zij met de persoonsgegevens doet, is er geen sprake van gegevensverwerking door een bewerker maar van gegevensverstrekking aan een andere verantwoordelijke. Eerste laag: algemene bepalingen Naast de zojuist besproken definitie van bewerker zijn in de Wbp alleen in de eerste laag (Algemene bepalingen) expliciete eisen opgenomen ten aanzien van de bewerker, de serviceorganisatie: • artikel 12 Wbp: ‘Een ieder die handelt onder het gezag van … de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke’ en ‘deze personen …zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen’; • artikel 14 Wbp bepaalt dat ‘Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen.’ Dat wil niet zeggen dat de overige bepalingen (uit de lagen 1, 2 en 3), die rusten op financiële ondernemingen, niet van toepassing zijn op de serviceorganisatie. Zie daarvoor de volgende paragraaf ‘Wbp en fasen uitbesteding’. Toepassingsbereik Wbp Uitbesteding, oftewel outsourcing, moet niet worden verward met offshoring. Offshoring is het verplaatsen van


bedrijfsactiviteiten naar lagelonenlanden of tax heavens. Dit kan plaatsvinden binnen de onderneming of door middel van uitbesteding. India is een land waar veel bedrijven hun IT-activiteiten aan uitbesteden. Maar er worden ook bedrijfsactiviteiten verplaatst (‘geoffshored’) naar diverse landen die onlangs zijn toegetreden tot de Europese Unie, zoals Polen en Hongarije.5 In dit artikel beperk ik mij tot uitbesteding. De Wbp is zowel van toepassing op uitbesteding naar in Nederland als in het buitenland gevestigde serviceorganisaties. De Wbp is namelijk van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van de verantwoordelijke in Nederland. Hieruit volgt dat het niet relevant is of de gegevensverwerking zelf daadwerkelijk plaatsvindt in Nederland. Het criterium is of er een vestiging van de verantwoordelijke in Nederland is en of er in het kader van de activiteiten van die vestiging persoonsgegevens worden verwerkt. Op het door de financiële onderneming verplaatste deel van haar IT-activiteiten naar het buitenland is, voor zover er tot individuele personen te herleiden gegevens worden verwerkt, de Wbp dus onverkort van toepassing. De daar verwerkte gegevens vinden immers plaats in het kader van bancaire activiteiten in Nederland.

Dat betekent dat die verwerkingen wat betreft de privacybescherming onder het Nederlandse recht vallen.6

Wbp en fasen uitbesteding In figuur 3 zijn de fasen van het uitbestedingproces weergegeven, met per fase de belangrijkste op te leveren producten. Voor meer informatie over de verschillende fasen van het uitbestedingproces wordt verwezen naar het eerder gepubliceerde artikel. Analysefase De eisen die de Wbp stelt aan de analysefase hebben betrekking op doelbinding, rechtmatige grondslag, kwaliteit en verbod verwerking bijzondere gegevens. Doelbinding en grondslag Persoonsgegevens worden voor een vooraf bepaald doel verzameld en kunnen vervolgens voor dat doel worden verwerkt. De doeleinden, waarvoor de van en over de klant verkregen persoonsgegevens in het kader van de financiële dienstverlening worden verwerkt, zijn opgenomen in de door de financiële onderneming gedane melding bij het CBP. Deze doeleinden zijn veelal afgeleid van de eerder besproken sectorale gedragscode. De doeleinden uit de gedragscode zijn:

Figuur 3 Fasen uitbestedingsproces


1) het beoordelen en accepteren van (potentiële) cliënten, het aangaan en uitvoeren van overeenkomsten met een betrokkene en het afwikkelen van het betalingsverkeer; 2) het verrichten van analyses van persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden; 3) het uitvoeren van (gerichte) marketingactiviteiten om een relatie met een betrokkene tot stand te brengen en/of met een cliënt in stand te houden dan wel uit te breiden; 4) het waarborgen van de veiligheid en integriteit van de sector, daaronder mede begrepen het bestrijden, voorkomen en opsporen van (pogingen tot) (strafbare) gedragingen die gericht zijn tegen de branche waar een financiële instelling deel van uitmaakt, de groep waartoe een financiële instelling behoort, de financiële instelling zelf, haar cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen; en 5) het voldoen aan wettelijke verplichtingen. Daarnaast zullen bij de meeste financiële ondernemingen de doeleinden ook nog apart in de algemene voorwaarden en/of in een privacystatement zijn opgenomen. Het verzamelen en vervolgens verder verwerken mag alleen wanneer de grondslag daarvoor in de Wbp kan worden gevonden. Hierbij kan worden gedacht aan de situatie dat het verwerken van persoonsgegevens noodzakelijk is in het kader van c.q. voortvloeit uit een overeenkomst met de klant, met toestemming van de betrokkene plaatsvindt, of noodzakelijk is voor het gerechtvaardigde belang van de financiële onderneming (bijvoorbeeld het verwerken van persoonsgegevens ten behoeve van direct marketing). De verwerking van de persoonsgegevens door de serviceorganisatie moet binnen de doelstelling én de grondslag vallen van de financiële onderneming die de gegevensverwerking uitbesteedt. De IT-auditor dient dit, in deze fase in een quality assurance-rol (QA-rol), vast te stellen. Zolang de financiële onderneming een rechtmatige grondslag heeft voor de verwerking, is het niet relevant of zij de gegevensverwerking zelf uitvoert, dan wel dat zij de verwerking uitbesteedt aan een serviceorganisatie. Kwaliteit De verwerking van persoonsgegevens moet voldoen aan kwaliteitseisen. Kwaliteit in de zin van de Wbp betekent niet alleen dat de gegevens juist en nauwkeurig zijn maar (vooral) ook dat de persoonsgegevens toereikend, ter zake dienend en niet bovenmatig zijn, gelet op de doeleinden waarvoor ze werden verzameld of vervolgens worden verwerkt. In het kader van de uitbesteding van werkzaamheden betekent dit dat aan de serviceorganisatie niet méér persoonsgegevens mogen worden verstrekt door de financiële onderneming dan strikt noodzakelijk is voor de uitvoering van de aan haar uitbestede taak. Hierna volgen enkele voorbeelden. Medewerkers van een callcenter die voor een financiële onderneming klanten telefonisch benaderen (zogenaamde out-

bound calls), hoeven geen inzage te hebben in de totale klantenportefeuille (afgenomen producten/diensten, saldistanden, kredietlimieten, et cetera) van de te bellen leads. Er kan worden volstaan met beperkte autorisatie op het betreffende productiesysteem. Bij een telefonische actie waarbij bestaande klanten met een doorlopende reisverzekering worden benaderd, om tegen aantrekkelijke voorwaarden het product ‘doorlopende annuleringsverzekering’ af te nemen, hoeven deze callcentermedewerkers bijvoorbeeld slechts rechten te hebben op een (deel van) het verzekeringssysteem en niet tot bijvoorbeeld betaal-, spaar- en/of hypotheeksystemen. De IT-auditor stelt, in deze fase in een QA-rol, vast of de financiële organisatie niet méér gegevens wil gaan verstrekken aan de serviceorganisatie dan nodig is voor de uit te besteden werkzaamheden (‘verstrekken’ houdt in dit geval ook in ‘ter beschikking stellen’). Verbod verwerking bijzondere gegevens Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod). Het verwerken van deze persoonsgegevens is in principe verboden, tenzij wordt voldaan aan een van de in de Wbp opgenomen uitzonderingsgronden. Een verzekeringsmaatschappij mag bijvoorbeeld gezondheidsgegevens verwerken voor zover dat noodzakelijk is voor: • het beoordelen van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of • de uitvoering van de verzekeringsovereenkomst. Net als voor de rechtmatige grondslag is het niet van belang of de financiële onderneming zelf de bijzondere persoonsgegevens verwerkt of dit laat doen door een serviceorganisatie. Van belang is dat voor de financiële onderneming ten minste een van de uitzonderingsgronden op het verbod van het verwerken van bijzondere persoonsgegevens van toepassing is. Aan de serviceorganisatie worden in het geval van verwerking van bijzondere gegevens wel zwaardere beveiligingsmaatregelen vereist (zie ook hierna in de ‘Contractfase’). Selectiefase Uitbesteding van gegevensverwerkingen vindt veelal plaats naar een in het buitenland gevestigde serviceorganisatie. De Wbp stelt in die gevallen niet alleen eisen aan de serviceorganisatie, maar ook aan het land waar de serviceorganisatie is gevestigd. Hierbij dient in de selectiefase rekening te worden gehouden. Persoonsgegevens mogen in principe slechts worden doorgegeven naar een land buiten de EU, indien dat land een passend beschermingsniveau biedt. Wanneer de serviceorganisatie in een land is gevestigd dat onvoldoende bescherming van persoonsgegevens biedt, zal er een vergunning moeten worden aangevraagd bij de minister van Justitie voor de doorgifte van persoonsgegevens.iv


Het aanvragen van een dergelijke vergunning loopt via het CBP. Aan de vergunning worden nadere voorschriften verbonden die nodig zijn om de bescherming van de persoonlijke levenssfeer en de uitoefening van de daarmee verband houdende rechten te waarborgen. Deze waarborgen kunnen voortvloeien uit passende contractuele bepalingen die de financiële onderneming opneemt in een overeenkomst met de buitenlandse serviceorganisatie. De Europese Commissie heeft modelcontracten (standard contractual clauses) goedgekeurd, die voldoende waarborgen bieden. Een van deze beschikkingen heeft betrekking op de doorgifte tussen een verantwoordelijke, gevestigd binnen de Europese Unie (EU), en een bewerker, gevestigd buiten de EU.7 Voor een rechtmatige gegevensverwerking zal de vergunning moeten zijn verleend, voordat met de transitiefase wordt begonnen. De IT-auditor stelt, in deze fase in een QA-rol, vast of de vergunning (tijdig) is aangevraagd. Bij het aanvragen van een vergunning moet rekening worden gehouden met het feit dat de termijn van acht weken veelal niet wordt gehaald, die ligt eerder tegen de zes maanden.8 Contractfase De serviceorganisatie heeft een eigen verantwoordelijkheid om te voldoen aan de Wbp. In de meeste bewerkercontracten is een algemene passage opgenomen in de trant van: ‘Leverancier zal persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met toepasselijke weten regelgeving inzake de bescherming van persoonsgegevens alsmede de toepasselijke privacyreglementen van de financiële onderneming X verwerken.’ Op grond van de Wbp dient echter een aantal onderwerpen expliciet in de overeenkomst te zijn opgenomen en daarnaast wordt geadviseerd een aantal andere onderwerpen nader te beschrijven. Deze worden nu beschreven. Beveiliging/geheimhouding De financiële onderneming die een serviceorganisatie inschakelt, moet er voor zorgen dat de serviceorganisatie passende technische en organisatorische beveiligingsmaatregelen treft ter beveiliging van de persoonsgegevens. Om te voorkomen dat de serviceorganisatie een andere betekenis geeft aan ‘passend’, met alle nadelige gevolgen van dien, wordt geadviseerd dat de financiële onderneming in de overeenkomst of in een bijlage invulling geeft aan wat zij onder passend verstaat. Hierbij kan worden gedacht aan het classificeren van de gegevensverwerking en het aan de hand hiervan opnemen van een overzicht van verwachte technische en organisatorische maatregelen op basis van, bijvoorbeeld, de in de Code voor informatiebeveiliging of de Achtergrondstudies en verkenningen 23 van het CBP.9 Naast de verplichting passende beveiligingsmaatregelen te treffen, dient in de overeenkomst ook te worden opgenomen dat de financiële onderneming het recht heeft het overeengekomen beveiligingsniveau op naleving te (laten) controleren, dan wel dat de serviceorganisatie wordt verplicht dat zij

een onafhankelijke deskundige (bijvoorbeeld een IT-auditor) een audit laat uitvoeren naar de naleving van de in de overeenkomst overeengekomen beveiligingseisen. Voorts dient in het kader van de vertrouwelijkheid in de overeenkomst te worden opgenomen dat de door de serviceorganisatie in te zetten medewerkers de geheimhoudingsplicht uit de Wbp onderschrijven. Doelbinding Geadviseerd wordt om in de overeenkomst op te nemen dat de serviceorganisatie de persoonsgegevens uitsluitend mag verwerken ten behoeve van de door de financiële onderneming vastgestelde doeleinden en de gegevens niet voor eigen gebruik mag verwerken. Bewaartermijn Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden. Geadviseerd wordt om in de overeenkomst op te nemen dat de serviceorganisatie de persoonsgegevens niet langer onder zich houdt dan voor het uitvoeren van de overeengekomen verplichtingen redelijkerwijs noodzakelijk is. Daarnaast is het advies de persoonsgegevens, inclusief gemaakte kopieën, onmiddellijk na volledige nakoming van genoemde verplichtingen, terug te geven aan de financiële onderneming, dan wel, na verkregen toestemming, te vernietigen. Rechten betrokkene De betrokkene heeft het recht op inzage, verwijdering, verbetering, et cetera van de over hem verwerkte persoonsgegevens. Voor de betrokkene verandert er niets door het uitbesteden van de gegevensverwerking. Hij dient zijn verzoek gewoon in bij de verantwoordelijke, de financiële onderneming, en deze geleidt het verzoek door naar de serviceorganisatie. Om te voorkomen dat de serviceorganisatie niet wil meewerken of dit beschouwt als aanvullende dienstverlening (lees: hier extra inkomsten voor wil hebben) wordt geadviseerd om in het contract op te nemen dat de serviceorganisatie mee moet werken aan het uitvoeren van een verzoek tot inzage, verwijdering, verbetering, et cetera en dat dit behoort tot de reguliere werkzaamheden. Het is verstandig om hier een periode aan te verbinden. De financiële onderneming dient immers binnen vier weken een volledig overzicht van de verwerkte persoonsgegevens aan de betrokkene mede te delen. Onderaannemerschap Serviceorganisaties besteden soms delen van hun eigen werkzaamheden weer uit aan andere serviceorganisaties (‘onderaannemerschap’). Om in control te blijven op de uitbestede werkzaamheden, is het advies dat de financiële onderneming dit in het contract regelt. Hierbij kan worden gedacht om in het contract op te nemen dat de serviceorganisatie niet zonder toestemming van de financiële onderneming een andere serviceorganisatie mag inschakelen. Of dat in het contract wordt opgenomen dat de serviceorganisatie verplicht is,


indien zij een andere serviceorganisatie inschakelt, schriftelijk vast te leggen dat alle op haar rustende verplichtingen (zoals op het gebied van beveiliging, geheimhouding, doelbinding, et cetera) onverkort gelden voor de ingeschakelde, andere serviceorganisaties en dat de uitbestedende serviceorganisatie de naleving hierop aantoonbaar controleert. Transitiefase In de transitiefase gaan de systemen en middelen over van de financiële ondernemingen naar de serviceorganisatie. Na de overgang is op grond van de Wbpv voor de IT-auditor een rol weggelegd in bijvoorbeeld het beoordelen of de persoonsgegevens nog steeds betrouwbaar zijn en of de autorisaties goed zijn ingeregeld. Wat de IT-auditor allemaal precies kan/ moet controleren, is afhankelijk van wat er allemaal overgaat naar de serviceorganisatie. Worden bijvoorbeeld de ‘dozen’ en de personeelsleden integraal verplaatst naar de serviceorganisatie, of vindt er ‘alleen’ een dataconversie plaats naar een bestaande applicatie/netwerkcombinatie bij de serviceorganisatie, of worden de gegevens geconverteerd naar een nieuwe applicatie? De verantwoordelijke heeft vóór de aanvang van de gegevensverwerking, deze destijds gemeld bij het CBP. Naast de doeleinden, categorieën van betrokkenen en categorieën van gegevens die daarop betrekking hebben, zijn onder meer ook de categorieën van ontvangers gemeld bij het CBP. Nu de financiële onderneming (een deel van) deze gegevensverwerking uitbesteedt, kan het zijn dat de melding bij het CBP dient te worden aangepast. De bewerker is een categorie van ontvangers. In het meldingsprogramma van het CBP bestaat de mogelijkheid om elke individuele bewerker met naam en toenaam op te nemen. De financiële onderneming heeft ook de mogelijkheid om te kiezen voor een algemene omschrijving bij ontvangers. De ING Bank vermeldt bijvoorbeeld expliciet ‘bewerkers’ als categorie van ontvangers, Fortis Bank geeft een beperkte lijst van bewerkers (met naam genoemd) en de Rabobank en de ABN AMRO Bank hanteren beide dezelfde ruime omschrijving van een categorie van ontvangers waar bewerkers onder vallen. Namelijk, ‘Personen en instanties die betrokken zijn bij de financiële dienstverlening, waaronder onderdelen van de groep en andere financiële instellingen wereldwijd’.10 Wanneer de financiële onderneming bij de initiële melding hierop niet of mogelijk onvolledig (denk aan Fortis Bank) heeft geanticipeerd, dient zij, binnen een jaar na de overgang van de verwerking naar de serviceorganisatie, de wijziging door te geven aan het CBP. Bij een compliance audit van de uitbestede gegevensverwerking dient de IT-auditor te controleren of in de melding bij het CBP de serviceorganisatie op de een of andere manier als ontvanger is opgenomen. Wanneer dit niet het geval is, wordt geadviseerd om, gezien de onderhoudbaarheid, aan te bevelen dat de serviceorganisatie c.q. bewerker als categorie van ontvanger wordt opgenomen (in meer of mindere mate expliciet) in de te wijzigen melding.

Contractmanagement Ten aanzien van deze fase hebben de normen uit de Wbp betrekking op het beoordelen van de uitbestede werkzaamheden. Hiervoor is al aangegeven dat de financiële onderneming moet toezien op de naleving van de beveiligingsmaatregelen. Van de financiële onderneming wordt niet verlangd dat zij de informatiesystemen van de serviceorganisatie fysiek of technisch controleert. Afhankelijk van wat is overeengekomen met de serviceorganisatie, zal het toezien zich manifesteren in: 1) het uitvoeren van een audit naar de naleving van het overeengekomen beveiligingsniveau, hetgeen kan worden gedaan door de eigen IT-auditors van de financiële onderneming, of door in opdracht van de financiële onderneming ingehuurde externe IT-auditors; 2) het steunen op een door een onafhankelijke partij uitgebrachte TPM (third party mededeling) naar de naleving van het overeengekomen beveiligingsniveau, in opdracht van de bewerker (serviceorganisatie). Hierbij dient te worden opgemerkt dat niet zonder meer kan worden gesteund op de in het kader van SOX uitgebrachte SAS 70-verklaringen. In tegenstelling tot veel andere TPM’s is een SAS70-verklaring duidelijk niet gebaseerd op een vooraf bepaald vast normenkader. De serviceorganisatie heeft als opdrachtgever van een SAS 70-onderzoek in theorie een zeer grote vrijheid in het bepalen welke onderdelen (beheersmaatregelen) van de eigen organisatie onderzocht gaan worden. Vervolgens geeft een onafhankelijke accountant een SAS 70-verklaring bij deze beschreven beheersmaatregelen. Vanuit het oogpunt van de financiële onderneming is deze vrijheid een risico, want uiteindelijk is zij de gebruiker van de SAS 70-verklaring. Het feit dat een onderneming geen invloed heeft op de te beoordelen beheersmaatregelen, kan ertoe leiden dat een SAS70-verklaring minder bruikbaar wordt. De vraag rijst in hoeverre de onderneming met het verkrijgen van een SAS70-verklaring feitelijk ‘in control’ is over de uitbestede activiteit.11 De IT-auditor dient te beoordelen of, en zo ja op welke wijze de financiële onderneming heeft gecontroleerd dat het overeengekomen niveau van beveiliging door de serviceorganisatie wordt nageleefd. Conclusie Audits naar rechtmatige gegevensverwerkingen in geval van uitbesteding door een financiële onderneming zijn compliance audits waarbij de open normen van de Wbp door de IT-auditor moeten worden geïnterpreteerd. Deze open normen zijn deels ingevuld door de Gedragscode Verwerking Persoonsgegevens Financiële instellingen, eigen privacyreglementen van financiële ondernemingen, uitspraken van het CBP en jurisprudentie. Echter, voor een groot aantal bepalingen geldt dat er nog ruimte is voor interpretatie. Dit betekent dat de IT-auditor juridisch onderlegd moet zijn of in zijn auditteam over juridische kennis moet kunnen beschikken. ■


Literatuurverwijzingen

Noten i Uitbesteden (art. 1 lid 1. Wft): het door een financiële onderneming verlenen van een opdracht aan een derde tot het ten behoeve van die

1 Puijenbroek, J.P.M. van, Uitbesteding bij financiële ondernemingen; Wet- & regelgeving en de IT-auditor (deel 1 – Wft), de EDP-Auditor, jaargang 17, 2008, nr. 1.

financiële onderneming verrichten van werkzaamheden: a) die deel uitmaken van of voortvloeien uit het uitoefenen van haar

2 Gardeniers, H.J.M en E. Schreuders, De Wet bescherming persoonsgegevens, in: S. M. Huydecoper, Wet bescherming persoonsgegevens en ICT –

bedrijf of het verlenen van financiële diensten; of b) die deel uitmaken van de wezenlijke bedrijfsprocessen ter onder-

Monografieën Recht en Informatietechnologie (deel 4), Sdu Uitgevers, Den Haag, 2006, p. 25.

steuning daarvan. ii In het Vrijstellingsbesluit Wbp zijn 42 veelvoorkomende soorten gegevensverwerkingen (onder meer sollicitatie, personeelsadministratie, salarisadministratie, debiteuren en crediteuren, et cetera) opgenomen, waarvan het bestaan in het algemeen mag worden verondersteld en die

3 Zie ook: J.P.M. van Puijenbroek, De Wbp en personeelsverwerkingen Een ondergeschoven kindje bij Compliance onderzoeken, de EDPAuditor, jaargang 14, 2005, nr. 5. 4 Puijenbroek, J.P.M. van, ‘Gegevensverkeer met landen buiten de

daarom niet te hoeven worden gemeld. Per soort verwerking worden in

Europese Unie’ uit: Cuijpers, C.M.K., e.a., Privacy concerns; het delen van

het Vrijstellingsbesluit eisen gesteld aan de doeleinden van de gegevens,

persoonsgegevens bij fusies overnames en binnen concerns, Elsevier,

de verwerkte gegevens, de betrokkenen, de ontvangers en de bewaar-

2003. 5 Jongen, H.D.J., Offshoring – enkele aandachtspunten, Computerrecht,

termijn van de gegevens. iii Derde landen zijn alle landen buiten de Europese Unie met uitzondering van de landen van de Europese Economische Ruimte (EER). Naast de

2005, 31, p. 197 – 201. 6 Puijenbroek, J.P.M. van, Verstrekking van persoonsgegevens in het

landen die lid zijn van de Europese Unie zijn dat Noorwegen,

bedrijfsleven, in: S. M. Huydecoper, Wet bescherming persoonsgegevens

Liechtenstein en IJsland. Deze landen hebben zich verplicht Richtlijn

en ICT – Monografieën Recht en Informatietechnologie (deel 4), Sdu Uitgevers, Den Haag, 2006, p. 89.

95/94/EG te implementeren in nationale wetgeving. iv Voor het verplaatsen van bedrijfsactiviteiten is geen van de in artikel 77

7 Beschikking 2001/497/EG, PbEG 2001 L 181/19: deze beschikking heeft

lid 1 Wbp opgenomen uitzonderingsgronden van toepassing. De rede-

betrekking op de doorgiften tussen twee verantwoordelijken waarvan

nen voor uitbesteding zijn van bedrijfseconomische aard, wat niet onder

er een binnen en een buiten de EU is gevestigd.

een van de uitzonderingsgronden valt.

Beschikking 2002/16/EG, PbEG 2002 L6/52 (waar in de Wbp wordt

v In tegenstelling tot het in deel I van dit artikel vermelde, is het hier vermelde ook van toepassing op grond van de Wft.

gesproken van bewerker spreken de Europese Richtlijn en de daarop gebaseerde beschikkingen van verwerker): deze beschikking heeft betrekking op de doorgifte tussen een verantwoordelijke, gevestigd binnen de EU, en een bewerker, gevestigd buiten de EU. Beschikking 2004/915/EG, PbEG 2004 L385/74: Deze beschikking heeft betrekking over een door het bedrijfsleven opgesteld modelcontract voor de doorgifte tussen twee verantwoordelijken, waarvan er één gevestigd is in een land binnen de EU en de andere partij buiten de EU gevestigd is. 8 Terstegge, J., Binding corporate rule, the data transfer solution, Data Protection Law & Policy, 2005-6. 9 Blarkom, G.W. van en J.J. Borking, Beveiling Persoonsgegevens, Achtergrondstudies en Verkenningen 23, Registratiekamer, Den Haag, april 2001. 10 Zie voor de volledige meldingen het meldingenregister op de website van het CBP (www.cbpweb.nl) onder openbare registers. Meldingsnummers: ING Bank (1067019), Fortis Bank (1289790), ABN AMRO Bank (1045168) en Rabobank (1029654). 11 Overhand H.C. en N.P.A.H. Lamb, Outsourcing en SAS70, is beheersing van risico’s mogelijk?, Bank en effectenbedrijf, april 2006, p. 16.


VOLG NU EEN OPLEIDING BIJ ELSEVIER FINANCIËLE EDUCATIE De

kennispartner

voor de

financieel en fiscaal

professional Elsevier Financiële Educatie is dé kennispartner voor u als financieel en fiscaal professional. Reeds jaren bieden we hoogwaardige examengerichte beroepsopleidingen aan vanuit een uitgebreide marktkennis en een heldere visie op de toekomst. Onze cursussen vormen voor u de beste weg naar officiële diploma’s. Onze diensten kenmerken zich door actualiteit, praktijkgerichtheid én persoonlijke aandacht. Onze missie: continu werken aan de optimale performance van u als financieel en fiscaal professional. ONZE OPLEIDINGEN Naast opleidingen op het gebied van financiële planning, hypotheken en pensioenen, verzorgt Elsevier Financiële Educatie ook opleidingen op het gebied van loonadministratie, belastingen en accountancy.

SLAGINGSPERCENTAGE Onze slagingspercentages zijn al jaren significant hoger dan het landelijk gemiddelde;

VRAAG VANDAAG UW OPLEIDINGSBROCHURE AAN VOOR: ■ Financieel adviseur ■ Hypotheekadviseur ■ Pensioenadviseur ■ Fiscaal adviseur ■ Accountant

voor veel cursisten dé reden om te kiezen voor een opleiding bij Elsevier Financiële Educatie. Wij nodigen u uit om vandaag nog kennis met ons te maken.

■ Loonadministrateur ■ Permanente Educatie

TEL.: 020 515 9360 E-MAIL: [email protected]

Bekijk ons aanbod via www.efe.nl

Boekbespreking

IT Governance, Performance & Compliance

I

Titel: IT Governance, Performance & Compliance Redactie: Hans Donkers en Brigitte Beugelaar Uitgever: Kleine Uil Jaar: 2008 Pagina’s: 248 ISBN/EAN: 9789077487648 Te bestellen via: www.compact.nl

drs. E.J.M. (Ed) Ridderbeekx RE CISA is werkzaam bij Fortis Audit Services en lid van de redactie van de EDP-Auditor.

n juli van dit jaar kreeg ik de beschikking over een boek met de titel IT Governance, Performance & Compliance. In de begeleidende brief stond het volgende: ‘Compact, dat in de jaren zeventig begon als een interne KPMG-activiteit, is in de afgelopen 35 jaar uitgegroeid tot het toonaangevende tijdschrift op het gebied van IT Auditing en IT Advisory Services. Om de belangrijkste artikelen van de afgelopen paar jaar uit Compact bij een breder publiek onder de aandacht te brengen, zijn deze bijeenbracht in dit Engelstalige boek. Het boek bevat artikelen op het gebied van IT Governance, IT Performance en IT Compliance. De artikelen zijn geschreven door gerenommeerde KPMG specialisten, die hun bijdragen hebben geactualiseerd naar aanleiding van de meest recente inzichten en ontwikkelingen.’ Met de publicatie van dit nieuwe boek zet KPMG in zekere zin een traditie voort. Ter gelegenheid van het 12,5-jarig bestaan van Compact (een verwijzing naar ‘COMPuter en ACcountanT’, de oorspronkelijke subtitel van het tijdschrift) verscheen in 1986 al het boek 24 over EDPauditing, en bij het 25-jarig bestaan, op de drempel van de eeuwwisseling, werd een groot aantal artikelen gebundeld in een speciale jubileumuitgave Compact & ICT Auditing. Vormgeving Ook het nieuwe boek is dus een bloemlezing van Compact-artikelen. Dat is een solide vertrekpunt, want het tijdschrift met die naam herbergt over het algemeen artikelen van een goede kwaliteit. De tweehonderdachtenveertig pagina’s zijn gebundeld in een hardcover, en zien er heel mooi uit. Er is duidelijk veel aandacht besteed aan de vormgeving; het is zo’n boek dat, als je het schijnbaar achteloos in je kantoor laat slingeren, 30 | de EDP-Auditor nummer 4 | 2008

door iedereen die binnenkomt met interesse zal worden opgepakt om eens even nader te bekijken. ‘International Edition’, staat er op de voorkant. Het is mij niet bekend dat er ook een nationale editie is, waarschijnlijk is het bedoeld om de uitgave nog wat extra cachet te geven. Hans Donkers en Brigitte Beugelaar hebben de redactie gevoerd, en Rob Fijneman geeft in het voorwoord nog even aan dat KPMG graag haar inzichten deelt ‘with our clients, our current and future people, and the community’. Tot zover de uiterlijkheden. Wat staat er eigenlijk in het boek? Inhoud De achttien artikelen in het boek zijn georganiseerd rondom zeven aandachtsgebieden. We beginnen bij IT Strategy en Governance (drie artikelen), komen via ERP Advisory (drie artikelen) bij IT Attestation (drie artikelen), slaan rechtsaf naar IT Project Advisory (twee artikelen), gaan de brug over bij IT Security Services (twee artikelen) en nemen de afslag naar IRM in the External Audit (drie artikelen). We hebben ten slotte de bestemming bereikt met Regulatory and Compliance Issues (twee artikelen). Dat is nogal een verscheidenheid aan thematiek, die je dan ook nog eens moet plaatsen onder de paraplu IT Governance, Performance & Compliance, dat is immers de titel van het boek. Daar komt bij dat de artikelen afkomstig zijn uit de tijdschriftuitgaves van Compact, die op hun beurt rond een bepaald thema zijn opgebouwd. Zo komen de drie artikelen in het hoofdstuk IT Attestation uit Compacts die als thema’s respectievelijk Efficiency en IT, Corporate Governance en IT en Lines of Business hadden. Dat maakt het allemaal niet eenvoudig om de logica in de structuur van het boek te doorgronden. De redacteuren doen ook nergens

een echte poging om de samenhang tussen de zeven aandachtsgebieden te verduidelijken. Weliswaar wordt ieder hoofdstuk kort ingeleid, maar je blijft steeds een beetje zitten met de vraag: hoe past dit hoofdstuk nu binnen IT-governance, performance en compliance? Hoe verhoudt het zich tot de andere hoofdstukken? Bij een blik op de individuele bijdragen die voor deze uitgave zijn geselecteerd, valt op dat sommige artikelen hun oorsprong vinden in een tamelijk gedateerde editie van het tijdschrift. Het eerste artikel in het boek, Use of the balanced scorecard for ICT performance management, gaat zelfs terug tot 2001. De Compacts uit dat jaar heb ik al lang en breed bij het oud papier gevoegd, en ik kon dus niet nagaan in hoeverre de ‘actualisatie met meest recente inzichten’, zoals beloofd in de begeleidende brief, inderdaad heeft plaatsgevonden. Voor Practical experiences with SAS 70 projects (oorspronkelijk in Compact 2005/2) kon ik dat wel, en de aanpassingen zijn marginaal; je vraagt je af of het geen gemiste kans is dat men de praktische ervaringen met SAS-70 van de afgelopen drie jaar niet in het artikel heeft verwerkt.

iedere dag mee in aanraking, en lezenswaardig is het zeker. Door de variëteit van haar klantenkring zit KPMG ook in een prima positie om daar met deskundigheid aandacht aan te besteden. Het artikel over de veranderde eisen die Generation Y zal stellen aan IT, geeft een aangename, bijna luchtige doorbreking van de standaardthema’s. Daarnaast kan ik, als doorsnee lezer, sommige artikelen prima als naslag gebruiken (bijvoorbeeld de SAS-70-artikelen) of als ondersteuning bij dagelijkse auditwerkzaamheden (het artikel over het project portfolio management).

Wie IT Governance, Performance & Compliance aanschaft om een samenhangende visie op die drie thema’s uit de titel te krijgen, wordt waarschijnlijk een beetje teleurgesteld. Wie daarentegen relevante artikelen wil lezen die op een of andere manier iets te maken hebben met governance, IT, performance of compliance, heeft aan dit boek een soort kerstpakket: de inhoud kent een bonte variëteit van kalfspasteitjes tot kleurpotloden, maar het is leuk om te krijgen en er zit altijd wel iets van je gading bij. ■

ADVERTENTI E

Artikelen Er is dus wel wat aan te merken op de structuur van het boek en de onderlinge samenhang van de artikelen. Is dat erg? Nee, eigenlijk niet. Dat nadeel wordt namelijk ruimschoots gecompenseerd door de kwaliteit van de individuele bijdragen. Het is weliswaar moeilijk te doorgronden welke selectiecriteria de redacteuren hebben toegepast, maar die selectie uit de Compacts van de afgelopen jaren is best geslaagd als het gaat om relevantie van de materie en variëteit van de onderwerpen die de revue nog eens passeren. Persoonlijk vind ik díe artikelen het meest interessant, die de niches en minder in kaart gebrachte gebieden van ons vak raken, zoals fiscale aspecten van IT en interne controle in de geliberaliseerde energiemarkt. Je komt daar niet 31 | de EDP-Auditor nummer 4 | 2008

Een dag uit het leven van

Ronald Heil Het is vrijdagochtend 22 augustus, 6.00 uur, tijd om op te staan. De periode van begin juli tot en met eind augustus is het prettig opstaan, wetende dat veel landgenoten nog op vakantie zijn. Immers, zonder files ben ik in ongeveer 35 minuten op mijn werkplek in het KPMG-gebouw te Amstelveen. In december doe ik over dezelfde rit, rond hetzelfde tijdstip, minimaal 1,5 uur over een enkele reis.

n de afgelopen jaren heb ik de drukke files in de winterperiode goed kunnen omzeilen door opdrachten in het buitenland uit te voeren. Een van mijn favoriete uitspraken is dan ook, dat ik bijna net zo snel bij het kantoor van één van mijn klanten in Kopenhagen ben, als dat ik naar mijn eigen werkplek in Nederland reis.

I

klant graag ons voorstel uitgewerkt wil zien, in een formele opdrachtbevestiging voor het uitvoeren van een ethical hack op hun kritieke IT-omgeving. Ik probeer het voorstel deze ochtend af te ronden, zodat de directeur er naar kan kijken en we het voorstel maandag in concept naar de klant kunnen sturen.

De tijd die de laptop nodig heeft voor het opstarten, gebruik ik voor het begroeten van collega’s en het halen van het eerste kopje koffie. Klanten maken vaak grapjes over de koffie die auditors drinken (in veel gevallen compleet zwart met een grote voorkeur voor een dubbele of driedubbele espresso). Deze ochtend heb ik geen afspraken en gebruik ik de tijd voor het afronden en uitbrengen van rapportages. Het was een drukke periode met veel audits, adviesopdrachten en ethical hacking. Ondertussen komt er nog een berichtje binnen dat een

In de middag heb ik een afspraak met KPMG Marketing en Communicatie voor het doorspreken van het storyboard van de Evil Mouse film (trailer), die we aan het maken zijn. De première van de Evil Mouse trailer zal plaatsvinden tijdens het aanstaande Information Security Forum (ISF) Congress dat in november in Barcelona te Spanje wordt gehouden. Een tijdje terug heeft het management van het ISF enthousiast gereageerd op de Evil Mouse marketing slogan zoals ik die al vaker voor internationale conferenties heb gebruikt: ‘We

Ir. R. (Ronald) Heil CISSP CISA is als manager werkzaam bij KPMG IT Advisory.


will demonstrate that our HID (Human Interface Device) may HIT back. From the very beginning of the computer era everyone is trusting mice and keyboards completely. They can’t do anything on their own, right?? We’ll show in a live demo that mice can sniff around more than you might think. Perhaps it would be a good idea to tighten the bonds with your pet. Or would you let your mouse turn evil?’

Afgelopen weken is het secretariaat druk bezig geweest om deze opdracht te plannen: het regelen van de interviews, hotels, vliegtickets (wie vliegt wanneer heen, terug, et cetera), teamoverleg, reserveringbevestigingen enzovoorts. Het geeft me een mooi gevoel: ‘alles is geregeld’, de komende zeven weken zal ik niet meer op kantoor komen. Kopenhagen wordt mijn tijdelijke nieuwe thuis.

het wel zijn charme om zo vaak internationaal bezig te zijn. Door het vele reizen heb ik veel kennis opgedaan van andere culturen (hoe om te gaan met…), het bedrijfsleven in andere landen leren kennen en geleerd om snel zelfstandig te kunnen opereren op onbekend ‘terrein’, met strikte deadlines. Door die kennis word je een ‘breder’ persoon, iets wat goed past bij het profiel van KPMG.

Evil Mouse is een erkend, grappig en technisch interessant project om het beveiligingsbewustzijn van medewerkers te verhogen. Het ziet er uit en voelt als een normale computermuis, maar zodra de muis met de computer wordt verbonden, komt de muis tot leven en wordt het een geautomatiseerde hacker device. Evil Mouse is in staat zichzelf te activeren, informatie te stelen (bijvoorbeeld toetsaanslagen, gegevens van de disk, screenshots, netwerkverkeer, et cetera), deze informatie op te slaan op het interne geheugen van Evil Mouse en/of de gestolen gegevens te versturen via bijvoorbeeld het internet of een draadloze verbinding. Tijdens het doorspreken van het storyboard kijken we ook gelijk naar mogelijke effecten, zoals filmovergangen en geluid. Aan het eind van de middag loop ik nog even langs mijn teamleden, die druk bezig zijn met het uitvoeren van een penetratietest op een internetbank. Het leuke van ons werk is dat we altijd overleggen met collega’s in Nederland of in het buitenland om op deze manier de beste kennis voor de klus te gebruiken. Het blijkt dat de internetbank nog wel wat aan de beveiliging kan verbeteren: één van de teamleden is er al in geslaagd via het internet toegang te krijgen tot de achterliggende systemen. Daarmee is het verkrijgen van ongeautoriseerde toegang tot klantgegevens een kleine vervolgstap. Samen proberen we nog wat aanvallen uit en bespreken we de verdere aanpak van de opdracht.

Maandag 25 augustus 5.30 uur Het is altijd lastig wakker worden als de wekker net iets vroeger afgaat dan normaal. Het is maar een half uurtje, toch voelt het aan als een halve dag. Maar vandaag is een speciale dag, we gaan met een groot Nederlands team naar een grote klant in Kopenhagen in Denemarken. Om 6 uur zit ik in de auto naar Schiphol. Ik blijf nu een weekje weg dus dat wordt ‘lang parkeren’.

Het vliegtuig vertrekt op tijd… Eenmaal aangekomen in Kopenhagen wachten we op onze bagage. Op weg naar de taxi ontvang ik een laatste glimlach (tenminste, dat hoop ik) van een antidrugshond.

Eenmaal terug op mijn plek pak ik het mapje met informatie over onze komende opdracht in Kopenhagen.

Even na 7.10 uur loop ik naar de Elite-balie van KLM, altijd handig om die rijen bij de normale incheckbalies te kunnen vermijden. Daar tref ik een collega aan die ‘problemen’ heeft met het inchecken, blijkbaar is zijn bagage (vanwege wat dossierstukken) net iets te zwaar. Gelukkig is de oplossing eenvoudig, omdat ik een hogere bagagelimiet heb, neem ik de stukken over. De komende maanden doen we dit wekelijks, dus hopelijk gaat het straks iets soepeler. Helaas, op dit vroege tijdstip staat er voor Europese vluchten bijna altijd een rij bij de douane. Ik sta altijd versteld van de aantallen mensen die heen en weer vliegen. Gek eigenlijk, maar zelf doe ik er ook hard aan mee… Ik ontvang een sms van een collega, hij zit al aan de koffie in de vertrekhal. Afgelopen jaren was ik met recht een vaste klant van Schiphol te noemen, met bijna wekelijkse vluchten. Het zou me niet verbazen als ze in het restaurant zeggen ‘Voor meneer een koffie zwart met een flesje water, toch?’. Toch heeft 33 | de EDP-Auditor nummer 4 | 2008

Voor het team wordt het een drukke periode, de deadlines zijn bekend en staan vast. Met zijn allen moeten we nu proberen om 139 full COBITcontrols af te maken. Dat betekent meer dan 800 testen, het houden van 75 interviews en toch gezamenlijk werken aan de feiten, veel informatie delen. Gelukkig hebben we intussen mooie hulpmiddelen om alles digitaal vast te leggen en te rapporteren. Vanwege de technische complexiteit van de omgeving is dit toch een behoorlijke uitdaging. Het is immers een van de grootste datacenters in Europa. Omdat we zowel landelijk als wereldwijd werken, weet je nooit precies hoe je werkweek eruit ziet. Vooral verzoeken voor testwerkzaamheden (zoals penetratietesten) komen vaak op korte termijn bij ons binnen. Soms moet je de volgende week ineens in Dubai zijn. Dan moet je de agenda helemaal omgooien. Het reizen verandert tijdelijk zowel je werk- als je leefomgeving. Het is uitdagend, je moet snel kunnen opereren en beslissen, en duidelijk kunnen communiceren om klanten en teams tevreden te houden. Maar bovenal is het ook belangrijk om de teambuilding niet te vergeten, we zitten tenslotte de komende weken met elkaar. Gelukkig is KPMG hier ook flexibel in en kunnen we er een mooie en gezellige periode van maken. ■

Artikel

Verslag vanaf grote afstand Conferenties Blackhat en Defcon – augustus 2008 Maarten Veltman

In dit artikel leest u over twee conferenties, die afgelopen zomer plaatsvonden in Las Vegas, in de staat Nevada, Verenigde Staten. Het gaat om de jaarlijkse Blackhat-USA-briefings en de aansluitende

Dit verslag van Blackhat en Defcon is gebaseerd op gepubliceerde presentaties, audio- en video-opnamen [6ed45c] [ytnj59]. De presentaties (pdf) zijn vrij beschikbaar op internet. Op het moment van schrijven is tevens een beperkt aantal audio- en video-opna-

Defcon-hackerbijeenkomst. De auteur was hier

men gratis beschikbaar. Tegen betaling is al het audio- en videoma-

niet zelf bij aanwezig, maar heeft voor u zijn verslag

teriaal van beide conferenties verkrijgbaar. [3zbdw8]. Geduld wordt in deze beloond, want na zes maanden wordt ook het audio- en

gebaseerd op publicaties naar aanleiding van

videomateriaal vrijgegeven op internet.

beide gelegenheden.

In dit artikel is gekozen om internetverwijzingen via tinyurl.com te laten lopen. Als voorbeeld: om de referentie [6n6apw] via internet te raadplegen, gaat u naar http://tinyurl.com/6n6apw. Voor de duidelijkheid: de cijfers 0 en 1 worden niet gebruikt (dit zijn dus de letters o en l).

Blackhat en Defcon Defcon, een driedaagse bijeenkomst, werd dit jaar al weer voor de zestiende keer georganiseerd en is inmiddels uitgegroeid tot een mega-event met meer dan 8000 deelnemers vanuit de hele wereld. Tijdens Defcon, dat verwijst naar het Amerikaanse Defensie alertheidniveau, worden de klok rond een groot aantal hackerpresentaties, -wedstrijden, diverse vormen van entertainment, socials en feesten gehouden. Een bekende wedstrijd tijdens Defcon is bijvoorbeeld het Capture the Flag (CTF), waarbij hackers hun kennis en kunde kunnen laten zien door op speciaal daartoe ingerichte netwerk-/ systeemomgeving in te breken en the flag te veroveren. Een ander vermakelijk onderdeel is spot the fed, waarbij het aanwezige publiek vermeende agenten van de FBI, CIA of andere buitenlandse diensten aanwijst, waarna op ludieke wijze ondervraging op het podium plaatsvindt. Een indruk en uitslag van een aantal events zijn terug te vinden op de website van Defcon [5eln8], enkele filmpjes zijn te vinden via onder andere You Tube (geef als zoekopdracht ‘Defcon 16’). Daar waar de toegang tot Defcon afgestemd is op het budget van Amerikaanse pubers en studenten (toegangskosten 120 dollar), is Blackhat gericht op deelnemers uit het (internationale) bedrijfs- en overheidsleven (toegangskosten 1700 dollar). Daarnaast is het mogelijk om enkele dagen Blackhatcursussen te volgen, over onderwerpen op het gebied van bijvoorbeeld webapplicatie-penetratie-testing, IT forensics en reverse engineering. Kleinere versies van Blackhat worden overigens sinds enkele jaren ook in Japan en Europa (Amsterdam) georganiseerd. ing. M. (Maarten) Veltman RE is sinds 2000 werkzaam bij het ministerie van Defensie als senior IT-auditor bij de Audit Dienst Defensie.

Samen zijn Blackhat en Defcon goed voor meer dan honderd presentaties, verdeeld over verschillende parallelle tracks. 34 | de EDP-Auditor nummer 4 | 2008

Een omgebouwde winkelwagen, ter illustratie van ‘war carting’ [6n6apw] slide 82.

Beide conferenties overlappen elkaar echter op diverse fronten. De organisatie is bijvoorbeeld in dezelfde handen en ook een aantal sprekers staat op beide conferenties. Tijdens de bijeenkomsten wordt inhoudelijk gediscussieerd over nieuwe (theoretische) bedreigingen en kwetsbaarheden. Maar ook wordt er voortgeborduurd op bekende hackertechnieken en aanvalsmethoden. Om sommige presentaties te kunnen volgen, moet je al aardig thuis zijn in de materie. Voor een IT-auditor is het echter al prettig om te weten wat de laatste bedreigingen, risico’s en ontwikkelingen zijn. Het zelf kunnen uitvoeren van de aanvallen of in detail doorgronden van de informatie is niet voor elke auditor nodig. Beide conferenties vormen daarnaast ook een goed moment voor het lanceren van nieuwe hacker tools. Met deze tools kan soms met een enkele druk op de knop een gecompliceerde aanval volledig geautomatiseerd uitgevoerd worden. Een overzicht (overigens niet volledig) van uitgebrachte tools is terug te vinden op internet [5kj29v]. In the picture Nagenoeg elk jaar gebeurt er iets tijdens een van beide conferenties, dat de aandacht krijgt van de internationale pers. Zo werden dit jaar enkele Franse journalisten verwijderd van Blackhat, nadat zij wachtwoorden van collega’s hadden afgeluisterd op het voor de conferentie aangelegde persnetwerk [6n6apw]. Overigens is het afluisteren van

gebruikersnamen en wachtwoorden van deelnemers één van de bekende onderdelen op Defcon, waarna deze (deels afgedekt) gepubliceerd worden op de wall of sheep. Het mag duidelijk zijn dat na publicatie van je eigen gegevens je natuurlijk als security professional niet meer serieus genomen wordt. Ook een door de rechter verboden presentatie van enkele MIT-studenten over onveiligheden in het elektronische vervoersbewijs in Boston, kreeg door dit verbod juist extra aandacht. De presentatie is uiteindelijk niet gehouden, maar vervangen door een presentatie van een Nederlandse journalist met als boodschap de vrijheid van meningsuiting. De oorspronkelijke verboden, studentikoze, aansprekende, illustratierijke presentatie [3hwzql] ‘Anatomy of a subway hack’ is overigens, evenals de video van de presentatie die als vervanging diende [3sulel] op internet geplaatst. De verboden presentatie is een uiterst informatieve demonstratie van hackermethodieken, waaronder social engineering (handig ‘gebruik’maken van het menselijk gedrag en handelen) en reverse engineering (het ontleden van de werking van een product zonder ontwerpschema’s en details). Een grappig detail in deze presentatie is de introductie van een nieuwe ‘war’-techniek, na war dialing en war driving, wordt war carting geïntroduceerd. Hierbij wordt gedoeld op een enigszins opzichtige, omgebouwde winkelwagen vol met elektronica (zie illustratie).


Artikel Overigens was dit niet de enige presentatie waarin een ‘war’techniek uitgewerkt werd. Op Defcon was een volledige presentatie gewijd aan het idee en de uitwerking van war ballooning. Hierbij is een grote ballon met helium uitgerust met scanapparatuur voor het in kaart brengen van onveilige draadloze netwerken [3rr5rs]. Niet alleen door tussenkomst van de rechter zijn dit jaar presentaties op Blackhat geannuleerd. Een onderzoeker die gaten in de beveiliging in diskencryptiesoftware van Apple wilde demonstreren, heeft vlak voor de conferentie een nondisclosure agreement met Apple ondertekend. Ook medewerkers van Apple zelf hebben zich naar verluidt teruggetrokken als spreker uit Blackhat [5sa6sd]. In de aanloop van Blackhat was verder veel aandacht voor de aangekondigde presentatie van Dan Kaminsky, waarin hij het inmiddels befaamde Kaminsky-DNS-lek zou toelichten. Details over zijn bevindingen lekten echter uit, enkele weken voordat hij zijn presentatie kon geven. Door misbruik te maken van de door Kaminsky ontdekte kwetsbaarheid kunnen kwaadwillenden het systeem beïnvloeden, waarmee de vertaling van internetnamen (zoals www.cnn.com) in een IP-adres (bijvoorbeeld 157.166.226.26) plaatsvindt. Meer over het DNS-probleem volgt later in dit verslag. Onderwerpen Gelet op het grote aantal presentaties is het ondoenlijk om elke presentatie afzonderlijk te behandelen. Voor de beeldvorming volgt hierna, soms op hoofdlijnen en een andere keer wat gedetailleerder, een indruk van de diversiteit aan onderwerpen en presentaties tijdens beide conferenties. • Ontwikkelingen op het gebied van rootkits. Het begrip verwijst naar geplaatste achterdeuren in besturingsystemen, waarmee opdrachten uitgevoerd worden met de hoogste rechten. De rootkit-programmatuur zorgt ervoor dat het gebruik en de aanwezigheid ervan verborgen blijven. Op internet zijn al enkele jaren kant-en-klare rootkits te verkrijgen voor bijvoorbeeld Microsoft Windows en Unix-platformen. De presentaties dit jaar hadden betrekking op andere platformen, zoals het MacOS-besturingssysteem [3fcsbg], NetBSD [4z6zw7], maar ook platformonafhankelijke rootkits (SMM) stonden op de agenda [4vq68a]. • Tunneling is een techniek waarbij protocollen of informatie verpakt wordt in andere protocollen of verkeersstromen. Naast legitieme toepassing (bijvoorbeeld IPSEC) kleeft er ook een duistere kant aan deze techniek. De techniek kan gebruikt worden om firewalls of intrusion detection-programmatuur te misleiden of om informatie naar buiten te sluizen. Dit jaar werden weer een nieuwe tool [65x4gf] en mogelijkheden voor de inzet gepresenteerd [3rpha3]. • Social networks zoals LinkedIn en Facebook staan nu enkele jaren sterk in de aandacht en groeien nog jaarlijks. Het kon natuurlijk niet uitblijven dat ook op dit gebied het nodige beveiligingsonderzoek zou plaatsvinden. Onder de kop ‘Satan is on my friends list’ worden de mogelijkheden

•

•

•

•

•

voor het beïnvloeden en misbruiken van dergelijke toepassingen uiteengezet [3r5fap]. Ontwikkelingen met betrekking tot het hacken van draadloze netwerken. De aandacht verschuift van access point naar de clients [443nns]. Maar ook nieuwe ideeën om beperkt toegankelijke locaties te scannen op de aanwezigheid van draadloze netwerken. Het concept komt neer op het herprogrammeren van een Apple iPhone en deze uitrusten met wireless scanprogrammatuur en een accu, voor het garanderen van een langdurige stroomvoorziening. Deze telefoon wordt vervolgens via de post verstuurd en komt op plekken en distributiecentra waar normaal gesproken niemand bijkomt. De hacker kan vervolgens verbinding met de telefoon maken en gegevens uitlezen en verbindingen leggen met aangetroffen netwerken [46dd6b]. Onderzoekers hebben mogelijkheden gevonden om het authenticatiemechanisme van beveiligingssoftware, welke direct tijdens het opstarten van een systeem geactiveerd wordt, te doorbreken. Voor het doorbreken van deze zogenoemde pre-boot authenticatiesoftware maken de onderzoekers gebruik van eigenaardigheden van de BIOSkeyboard buffer. Er wordt gedemonstreerd dat deze onvercijferde wachtwoorden met de nodige trucs en tools uitgelezen kunnen worden in het geheugen. Een overzicht van vastgestelde kwetsbare BIOS-versies en authenticatiesoftware is te vinden op [3fa9np]. Een presentatie over de mogelijkheden van het doorbreken van CAPTCHA-mechanismen. CAPTCHA staat voor ‘Completely Automated Public Turing test to tell Computers and Humans Apart’. CAPTCHA’s zijn de moeilijk leesbare random karakters in de verschijningsvorm van een bitmap die een internetgebruiker moet intypen om ergens toegang toe te krijgen. Het mechanisme is bedoeld om zeker te stellen dat daadwerkelijk een menselijke gebruiker toegang vraagt en daarmee de toegang door geautomatiseerde programmatuur te bemoeilijken. Er blijkt een markt te zijn voor het doorbreken van het CAPTCHA-mechanisme [46vkwo]. Hardwareleveranciers nemen onderdelen, zoals chips, af van verschillende partijen overal ter wereld. Indien er inadequaat toezicht plaatsvindt op de herkomst, integriteit en productieproces van deze onderdelen kan dat tot beveiligingsproblemen leiden. Dat hiervan niet alleen in theoretische zin sprake van is, laten enkele onderzoekers van een universiteit zien. De presentatie gaat in op hardware trojans, waarmee gedoeld wordt op het herprogrammeren van logische componenten en deze uit te rusten met trojans. Als voorbeeld wordt een AES-encryptieapparaat genomen, waarbij na bepaalde user input het sleutelmateriaal via een verborgen kanaal verstuurd wordt. Een videodemonstratie en toelichting is te vinden op [495j6a]. De digitale reclameborden (billboards) naast en boven de weg en op bedrijfspanden zijn een bekende verschijning. De mogelijkheid van het overnemen van de aansturing en daarmee het aanpassen van de tekstmeldingen, is een aansprekend onderwerp. Stapsgewijs geven hackers aan hoe ze


•

•

•

•

te werk zijn gegaan om de aansturing van een billboard over te nemen en welke varianten er bestaan [5x8mlt]. Niet alleen IT-technologie en software wordt in Las Vegas besproken, ook technieken met een hardere kant passeren de revue. Lockpicking is daar een voorbeeld van. Lockpicking is de verzamelbegrip gericht op het openen van sloten, zonder originele sleutel. De bekende gerenommeerde Amerikaanse high-end slotenmaker Medeco en de sloten die zij leveren, staan in de presentatie centraal [3rhagc]. Steeds vaker worden tijdens een netwerkanalyse in een onbekende netwerkomgeving Virtual Machines (VM) aangetroffen. Geschikte middelen om bijvoorbeeld tijdens een penetratietest deze VM aan de tand te voelen, ontbreken. In de presentatie ‘hacking Virtual Machines’ is een aanzet gemaakt voor het pentesten van deze omgevingen en is een aantal ondersteunende tools aangekondigd [4mjnuj]. Een overzicht van de verschillende aanvalsmethoden, beschikbare hacking tools en mogelijke tegenmaatregelen voor VLAN-netwerkaanvallen (OSI laag 2) [3zbjke]. Het vinden van kwetsbaarheden in Voice over IP (VOIP)implementaties met behulp van een nieuwe tool, genaamd VoIPER [4vz52p].

Er waren ook diverse onderwerpen die dit jaar verder uitgediept werden. Voorbeelden daarvan zijn SCADA, smartcards, het IOS-besturingssysteem van Cisco en eigenlijk ook de DNS-problematiek. SCADA SCADA was dit jaar een populair onderwerp. SCADA staat voor ‘Supervisory Control And Data Acquisition’ en heeft betrekking op het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen [4oh35w]. Voorbeelden van dergelijke systemen zijn waterbeheersing-, elektriciteitsen verkeerssystemen. Het onderwerp trok vorig jaar veel aandacht op Blackhat en dit jaar werd daar op voortgeborduurd. De onderzoekers presenteren de problemen waar ze tegenaan liepen bij de inzet van zogenaamde fuzzer tools. Met een fuzzer worden pakketten verstuurd, die niet voldoen aan de protocolspecificaties. De wijze waarop de ontvangende systemen omgaan met deze afwijkende, niet verwachte data is afhankelijk van de implementatie en kan ‘verrassende’ effecten opleveren. Het meest voorkomende effect bij de toepassing van fuzzers is een denial of service, een blokkade of crash van het systeem. Daarnaast kan bijvoorbeeld een authenticatiemechanisme doorbroken worden. Een van de aanbevelingen die de onderzoekers geven, is het treffen van maatregelen tegen het injecteren van data in het controlnetwerk. De presentatie en verwijzing naar de toegepaste fuzzer tools zijn te vinden via [3edlq8]. Een andere presentatie op het gebied van SCADA betreft een modbus netwerkscanner [4h7cdw]. De tool scant het netwerk op de aanwezigheid van SCADA-gebaseerde apparaten. Nog een andere presentatie [449la5] geeft een overview van

SCADA, incidenten al dan niet natuurlijk met SCADA-systemen en de ontwikkelingen in de beveiliging van SCADA. Ook wordt stilgestaan bij de mogelijkheid om SCADA-communicatie via radiokanalen af te luisteren en de inzet van war dialing om modems te traceren. Smartcards en MiFARE Ook kwetsbaarheden en mogelijkheden voor het aanvallen van smartcards en MiFARE (in Nederland de OV-chipkaarttoepassing) stonden dit jaar weer in de belangstelling. Naast de eerder genoemde verboden presentatie over de zwakheden in het elektronische vervoersbewijs in Boston, werd er nog meer gediscussieerd over mogelijkheden voor het hacken van smartcards. Een van de presentaties ging bijvoorbeeld over het gestandaardiseerde communicatieprotocol APDU (Application Protocol Data Unit). APDU-commando’s zorgen voor de gegevensuitwisseling en opdrachten tussen smartcard device en host (systeem van een eindgebruiker). Het bedrijf Compass licht in een presentatie de ontwikkeling en inzet van een hardwareapparaat toe. Dit apparaat zit als het ware tussen de client-server-communicatie-uitwisseling (man-in-the-middle) en kan zodoende de APDU-communicatie onderscheppen. Middels een proof of concept zet Compass vervolgens uiteen wat de mogelijkheden zijn voor het verkrijgen van sleutelmateriaal. Zie [4nvscj]. Cisco IOS-onderzoek Een grote speler in de router- en switch-netwerkbranche is Cisco. Het besturingssysteem waarmee deze routers en switches uitgerust zijn, is het Cisco IOS (Internetwerk Operating System). Een presentatie van Information Risk Management gaat in op de ontwikkeling van shellcode voor het IOS-platform. Met het begrip shellcode wordt een klein stukje softwarecode bedoeld, waarmee een kwetsbaarheid uitgebuit wordt en bijvoorbeeld een shell of commandline opgestart wordt. Shellcode is een bekend hackerbegrip voor Windows- en Unixplatformen, maar is nog relatief onbekend binnen de wereld van netwerkcomponenten en de daarop aanwezige besturingssoftware. Een van de gepresenteerde mogelijkheden betreft het maken van een IOS-distributie met achterdeuren. Zie [3t3om4]. De bekende hacker FX beschrijft de ontwikkelingen die doorgemaakt worden op het gebied van IOS-forensisch onderzoek. FX geeft aan dat er tienduizenden verschillende IOSversies in omloop zijn. Hij verwacht dat hackers door aanscherping van beveiligingsmaatregelen op Windows- en Unix-platformen zich meer en meer gaan richten op deze systemen. FX pleit in zijn presentatie voor het activeren van core dumps (registratie van onder meer registers en het geheugengebied). Tijdens een crash worden deze core dumps automatisch gegenereerd. Aan de hand van deze core dumps kan achteraf bepaald worden, waardoor de crash veroorzaakt is. Voor een succesvolle aanval, die niet leidt tot een crash, zal dat echter weinig waarde hebben en zal teruggevallen moeten


worden op onhandige en beperkt aanwezige auditing mechanismen en analysetools. In IOS kunnen core dumps echter niet alleen tijdens een crash gegeneerd worden, ze kunnen ook middels een commando op aanvraag gegenereerd worden. Het door FX bedachte framework komt neer op het centraal archiveren van deze getriggerde core dumps, om deze vervolgens geautomatiseerd te analyseren. Een uiteenzetting van de achtergrond van het framework is te vinden op [49cdsj]. De Kaminsky Code – Black Ops 2008, Dan Kaminsky Wat een publicitair klapstuk had moeten worden, lekte enkele weken voor de Blackhat-conferentie uit. Hoewel er al veel over geschreven is, volgt nu toch nog even een korte samenvatting van het probleem. Dan heeft begin 2008 een aantal kwetsbaarheden gevonden in het mechanisme dat zorgdraagt voor de vertaling van internetdomeinnamen (zoals www.cnn.com) in IP-adressen (zoals 157.40.103.22). Het mechanisme dat deze vertaling realiseert, heet het Domain Name System (DNS) en is, gelet op haar toepassing, cruciaal voor de juiste werking van het gehele internet. Binnen de DNS-inrichting is sprake van twee typen servers. De Authoritative nameservers en de Recursive nameservers. De Authoritative nameservers hebben de leiding in het vertalen van adressen die vallen onder het eigen regime (zone). De Recursive nameserver bevraagt de authoritative nameserver en neemt de ontvangen informatie op in zijn cache, zodat een bevraging (resolving) van hetzelfde adres in de toekomst sneller verloopt. Een internetnaam waarvoor de caching nameserver nog geen IP-adresvertaling heeft, zal derhalve door de Recursive nameserver middels een verzoek (request) bij de authoritative nameserver opgevraagd worden. De kwetsbaarheid schuilt in het kunnen beïnvloeden van de informatie die door de recursive nameserver in zijn cache opgenomen wordt. Dan nu het probleem in een technische notendop. Het beveiligingsmechanisme waarmee legitieme DNS-antwoorden (reply) onderscheiden kunnen worden van malafide antwoorden, is een zogenaamde transaction ID (TXID). Het TXID is een random getal tussen de 0 en 65534. Alleen de echte DNS-nameserver kent dit getal, omdat dit in het verstuurde DNS-verzoek opgenomen is. Een antwoord met een afwijkend TXID wordt dan ook niet als een legitiem antwoord door de server geaccepteerd. Om van deze vertrouwensrelatie misbruik te maken, is het de kunst om het juiste getal (TXID) te raden. Gelet op het beperkt aantal mogelijke TXID (64k), is dat op zich geen onmogelijke taak. Een ander mechanisme binnen de DNS-specificaties om enige mate van veiligheid te introduceren, is het meegeven van een geldigheidsduur van een ontvangen reply. Deze geldigheidsduur wordt aangeduid met de TTL-waarde (Time to Live). Een eenmaal bevraagde DNS-naam kan zo bijvoorbeeld dagenlang opgenomen blijven in de cache (tot 655 dagen), wat in principe de mogelijkheden voor misbruik beperkt. De aanvaller zal namelijk, indien hij niet het juiste TXID gebruikt heeft, moeten wachten totdat deze TTL verstreken is.

De door Dan gevonden kwetsbaarheid bestaat uit een combinatie van de volgende drie probleempunten: 1) de aanvaller maakt misbruik van de tijd die nodig is tussen de nameservers om een adres te bevragen. De aanvaller heeft hierbij het voordeel (lees: een voorsprong), omdat hij zelf een adres-resolve kan initiëren. De aanvaller kan daarbij gelijktijdig een vervalst antwoord versturen (op zijn eigen vraag), met daarin een vervalst random TXIDnummer. Dit pakket komt, vanwege het gelijktijdig versturen, altijd eerder aan bij de resolving nameserver dan het legitieme reply-pakket; 2) er zijn voor de aanvaller geen beperkingen om meerdere TXID’s te proberen. Diegene die namelijk het eerste met het correcte TXID reageert, wint. Een dergelijke situatie wordt ook wel een race condition genoemd. Het aantal pogingen van een aanvaller is dus afhankelijk van de tijd die de recursive DNS-server moet wachten op een antwoord van de authoritive DNS-server. Deze mogelijkheden tot beschikking hebbend, kan de bescherming die het TXID levert, theoretisch doorbroken worden. Het TXID betreft namelijk, zoals eerder aangegeven, een 16 bit (64k) veld. Wat resteert is de beveiliging die het TTL-mechanisme introduceert. Of toch niet? 3) De TTL-waarde blijkt alleen geldig te zijn voor de volledige domein naam (FQDN) die bevraagd wordt. Bij een bevraging van een subdomein (zoals 1.foo.com, 2.foo. com, et cetera) heeft de aanvaller weer een nieuwe kans. De aanvaller hoeft, als hij de race verliest, in dat geval dus niet te wachten op het verstrijken van de TTL. Indien de aanvaller het juiste TXID voorspeld heeft van een bevraging van een subdomein, dan wordt de informatie die gekoppeld is aan deze reply door de nameserver gebruikt. Let wel, dit is dus informatie waarover de aanvaller de controle heeft, deze heeft hij namelijk zelf in het vervalste antwoord pakket opgenomen. Een van de mogelijke antwoorden is een doorverwijzing naar een andere authoritive nameserver. Dan licht in zijn presentatie toe hoe een aanvaller ervoor kan kiezen om in de succesvol voorspelde resolving reply (bijvoorbeeld naar DNS name 559.foo.com) aan te geven dat de server (559.foo.com in het voorbeeld) niet bekend is, maar dat het adres opgezocht moet worden bij www.foo.com, dat zich bevindt op het adres van de aanvaller (door Dan ‘bait and switch’ genoemd). Alle verzoeken voor resolving van www.foo.com komen nu uit bij de aanvaller. Het voorgaande is een mooi staaltje van creativiteit en kennis van zaken. Een uitgebreide technische analyse en illustratie van de werking van DNS en de Kaminsky-kwetsbaarheid is overigens te vinden op [4ted6j]. De presentatie van Dan zelf is te vinden op internet [67uklz], evenals de video [5vqaoe].


Dan behandelt vervolgens diverse scenario’s om te demonstreren wat de mogelijkheden en gevolgen zijn van deze kennis. Te denken valt aan het overnemen van de adressering van een top-level domain (zoals .com), maar ook specifieke DNS-informatie voor de e-mailafhandeling (MX-records) zijn te beïnvloeden. Een ander potentieel doelwit is volgens Dan het SIP-berichtenverkeer, wat een belangrijke pijler vormt voor Voice over IP (VOIP). Het mag duidelijk zijn, mogelijkheden te over. De ernst van de situatie blijkt ook wel uit de afgegeven waarschuwingen van diverse instanties, waaronder het Nederlandse GovCERT [4sha7j]. Een voorgestelde oplossing is de toepassing van source port randomization. Hierbij is de geldigheid niet alleen afhankelijk van het TXID-veld, maar ook van een random IP sourcepoortnummer. Deze combinatie vergroot het aantal mogelijke combinaties substantieel en verkleint de kans dat het juiste replypakket door de aanvaller verstuurd wordt. Ook dit

blijkt echter niet de ultieme oplossing, door het versturen van een groot aantal vervalste pakketten (4 GB aan data) en de aansluiting op een backbone, is ook dit mechanisme te doorbreken. Ten slotte Beide conferenties kunnen, zeker voor de technische auditors onder u, zeer interessant zijn. Zowel Blackhat als Defcon vormen voor de IT-auditor een uitgelezen kans om zicht op en gevoel bij actuele bedreigingen en risico’s te krijgen. De presentaties worden direct na de conferentie op internet geplaatst, zodat je jezelf, ook zonder fysieke aanwezigheid, direct inhoudelijk op de hoogte kunt stellen. Voor het zelf ervaren van de Blackhat-briefings hoeft u gelukkig niet ver weg of lang te wachten. In april 2009 wordt namelijk alweer de Europese versie van de Blackhat-briefings gehouden in Amsterdam. Helaas moet u het dan wel zonder de beleving van Defcon doen. ■

ADVERTENTI E

Als belegger zoek je een heldere visie ONAFHANKELIJKE BRON VOOR DE ACTIEVE BELEGGER

NU 13 WEKEN LANG VOOR «17,95 GA NAAR WWW.BELEGGERSBELANGEN.NL/ABONNEREN


Wijsheid is toegepaste kennis, weten wanneer je moet instappen, beschikken over de achtergrondinformatie om op het juiste moment van positie te veranderen en weloverwogen keuzes te maken, zonder te twijfelen. Die wijsheid haalt de actieve belegger uit Beleggers Belangen: de wekelijkse bron met onafhankelijk beleggersnieuws over alle Nederlandse aandelen, tips, feiten en adviezen van experts, scherpe columns en aansprekende cases. Beleggers Belangen schrijft uitnodigend en betrokken, diepgaand en belichtend, deskundig en actueel: de juiste informatie op het juiste moment. Daar kom je verder mee.

www.beleggersbelangen.nl

IT-auditors bijeen

‘Secure IT’: Rijksbrede IT-auditdag 2008 Nathalie Timmer en Peter Doorduin

De Rijksauditdienst (waar voormalig EDP AUDIT POOL nu onderdeel van is) organiseerde 8 oktober in Den Haag de zevende Rijksbrede IT-auditdag. Het overgrote deel van de IT-auditors die werkzaam zijn bij de rijksoverheid was daarbij aanwezig.

Martine Koedijk, lid van het management van de Rijksauditdienst, opende de dag en heette iedereen welkom. Vervolgens gaf zij het woord aan dagvoorzitter Paul Overbeek (OIS), die zijn beeld van een IT-auditor gaf: een Tarzan, bungelend aan een liaan, niet altijd wetend waar hij of zij naartoe gaat. Dit beeld heeft hij bijgesteld, want de auditor is een professional die slingerend aan de liaan uiteindelijk zijn weg vindt. In het programma waren twee plenaire sessies opgenomen. In de ochtend vertelde Rob Meijer (van het ministerie van Binnenlandse Zaken) in de sessie ’Een Rijksbrede CIO’ dat hij, in zijn functie als Rijksbrede CIO, onder andere de interdepartementale strategie en visie op informatie en ICT op moet stellen, die actueel moet houden en daarbij tevens moet toezien op de naleving. Na de lunch verzorgde Christiaan Beek (Hoffmann) de sessie ‘Fraude en IT’. Hij ging in op de achtergronden van forensisch onderzoek en op de sporen die kwaadwillenden in ICT-toepassingen achterlaten. Naast de plenaire sessies zijn er ook negen workshops verzorgd door medewerkers van de Rijksauditdienst en diverse gastsprekers: Oracle Audit Vault – Continuous auditing (Frank Blom en Ton Stevenhagen) Aan de hand van een demo is gediscussieerd over het vervolmaken van de beveiligingscyclus van Oracle, met behulp van Oracle Audit Vault.

Mw. drs. ing. N.D. Timmer RE en drs. P.A. Doorduin RE zijn als IT-auditor werkzaam bij de Rijksauditdienst. Zij maakten deel uit van de organisatie van dit symposium.

Secure network: uit het (bedrijfs)leven gegrepen (Brian Todd, ING) Tijdens deze workshop werd het proces van ING om een minimum beveiligingsniveau voor externe kop40 | de EDP-Auditor nummer 4 | 2008

pelingen te realiseren behandeld, waarbij de techniek niet altijd de zwakke schakel is. Veilige webapplicaties: een illusie! (Xander Bordeaux en Nanno Zegers) De overheid gebruikt steeds vaker webapplicaties voor haar communicatie. In deze workshop is ingegaan op wat een website succesvol maakt en aan welke normen de beveiliging van een website zou moeten voldoen.

De IT-auditor in een keten: een praktijkcasus (Ivo Kerkkamp en Ruurd Smildiger) Aan de hand van een casus uit de praktijk is behandeld waar een auditor tegenaan loopt als een audit in een keten moet worden uitgevoerd. Test uw ICT-audit kennis met Jeopardy (Corné Heijnen en Stephan van Hofwegen) Aan de hand van het spel ‘Jeopardy’ is de kennis van de deelnemers over het huidige IT-auditlandschap getoetst. Tijdens het spel werd over de vragen en antwoorden gediscussieerd onder de bezielende leiding van de quizmaster. The auditor is watching you (Ron van ’t Boveneind, Marnix Eedens en Ronald de Boer, SAP) Continuous auditing en monitoring is een trend. George Orwell schreef in zijn boek 1984 al ‘Big brother is watching you!’. In 2008 moeten auditors meepraten over het in control zijn en een oordeel geven over de werking van beheersmaatregelen. Worden zij nu ‘Big brother’?

Architectuur! Kunnen we daar wat mee?! (David Campbell en Leo Geubbels, ICTU) Wat is het belang van architectuur? Deze workshop bestond uit twee delen: Het schetsen van de stand van zaken rond Architectuur en Audit en de behandeling van MARIJ, een architectuur voor de rijksoverheid.

SAPpige nieuwtjes (Ron van ’t Boveneind, Marnix Eedens en Ronald de Boer, SAP) De laatste tijd zijn er veel veranderingen en nieuwe toepassingen in SAP beschikbaar. Tijdens deze workshop zijn de laatste nieuwtjes over business objects, auditmanagement en auditrollen in SAP behandeld.


Het insider risico (Petr Kazil) Misbruik door interne medewerkers is een nogal ongrijpbaar risico. Het risico wordt daarom vaak overdreven of juist gebagatelliseerd. Tijdens deze workshop is het insider risico besproken aan de hand van literatuur, onderzoeksresultaten en de mening van de spreker. Tot slot Na alle workshops rondde dagvoorzitter Paul Overbeek de bijeenkomst af met een korte samenvatting. De dag werd afgesloten door ROPE theatersport die op ludieke wijze de auditor neerzette: een redder in nood, die ook niet alles weet.

Van de NOREA

Bestuurstweedaagse Tijdens een twee dagen durende bestuursvergadering, op 2 en 3 oktober jl., heeft het NOREA-bestuur een aantal actuele, strategische onderwerpen besproken. Daarnaast zijn ook huishoudelijke verenigingszaken aan de orde gekomen. Hierna volgen de belangrijkste zaken uit de bestuurstweedaagse. Structuur reglementen en richtlijnen De initiatieven die zijn ontwikkeld ten behoeve van een duidelijke structuur van beroepsregels en richtlijnen – in overeenstemming met internationale (IFAC-)standaarden – worden voortgezet. De reacties die zijn ontvangen op het concept Reglement Kwaliteitsbeheersing en het wijzigingsvoorstel van de PE-richtlijn worden ter advies aan de betreffende commissies gezonden en zullen in december voor definitieve besluitvorming aan de ledenvergadering worden voorgelegd, nadat de wijzigingsvoorstellen zijn gepubliceerd. Het bestuur heeft het voornemen om de status van de zogenaamde ‘RE’s in business’ te formaliseren en laat zich nog adviseren over de consequenties daarvan, onder meer voor de PE-verplichting van leden in deze categorie. Cursusaanbod en ledenservice Het bestuur heeft zich gebogen over de resultaten van de ledenpeiling die in september is uitgevoerd en waarvan de uitslag ook via de NOREAwebsite gepubliceerd wordt (zie tevens elders in deze rubriek). Aan de Commissie Educatie wordt gevraagd om aan de hand van de resultaten initiatieven te nemen voor de ontwikkeling van het cursusaanbod, op basis van de accenten zoals die blijken uit de enquête. Ook worden maatregelen getroffen om de website en de elektronische nieuwsbrief effectiever te gebruiken in de communicatie met onze leden.

Profilering en Young Professionals Het afgelopen jaar is veel tot stand gebracht in commissies en werkgroepen rond het Assurance-thema, maar de ‘zichtbaarheid’ van onze activiteiten is nog voor verbetering vatbaar. De activiteiten in het kader van PR en profilering worden nadrukkelijk aangepakt met inzet van of ondersteuning door professionals en door een uitbreiding van de PR-commissie. Voor deze commissie kunnen zich nog nieuwe leden aanmelden via het NOREA-bureau. Daarnaast heeft het bestuur ingestemd met het jaarplan en bijbehorende begroting van de NOREA Young Professionals. Samenwerking NOREA en ISACA In de afgelopen drie jaren is op enkele punten een constructieve samenwerking tot stand gekomen tussen NOREA en ISACA NL-Chapter, zoals de gezamenlijke IT-auditdag en enkele cursussen. Een commissie met ‘prominente leden’ uit beide organisaties gaat de aanknopingspunten onderzoeken voor een meer gestructureerde vorm van samenwerking. Met andere relevante beroepsorganisaties in onze omgeving, zoals het NIVRA, IIA en Plat-

form voor Informatiebeveiliging zal periodiek bestuurlijk overleg plaatsvinden. Vaktechnische agenda en thema 2009: ‘Change’ Het bestuur heeft ingestemd met een door de Vaktechnische Commissie voorgestelde indeling van de bestaande publicaties als studierapport (handreiking en/of richtlijn, zie de NOREA-website). In het afgelopen jaar lag het accent op het Assurancethema, waarmee werd onderstreept dat de RE meerwaarde kan leveren ten aanzien van IT-assuranceopdrachten. Enerzijds op grond van zijn inhoudelijke deskundigheid, anderzijds ook formeel, op grond van zijn beroepsregels en assurance-richtlijnen. Het volgende jaar staat in het teken van het thema ‘Change’. Hiermee wordt gedoeld op de voortdurende turbulentie en verandering in de (technische) omgeving, maar ook op de expertise van de IT-auditor, als adviseur van het management bij veranderingsprocessen. In vaktechnische publicaties en tijdens de IT-auditorsdag 2009, die wordt gehouden op donderdag 14 mei 2009, wordt het ‘Change-thema’ verder uitgewerkt.

Marten Lohstroh wint Joop Bautz Award 2008 De Joop Bautz Information Security Award 2008 is gewonnen door Marten Lohstroh voor zijn scriptie User based Policy Control of Attribute Authorities. Het betreft een beschrijving van een protocol om mensen te helpen online identiteiten beter te beheren. Daarbij prees de jury vooral het vernieuwende karakter en de maatschappelijke relevantie. Naast Marten Lohstroh waren de andere twee genomineerden: • Gerhard de Koning Gans (met 42 | de EDP-Auditor nummer 4 | 2008

de inzending Analysis of the MIFARE Classic used in the OV-Chipkaart project); • Roel Verdult (met de inzending Security analysis of RFID tags). De uitreiking vond plaats op 8 oktober 2008 tijdens het Security Congres in Spant! te Bussum. De Joop Bautz Information Security Award is een gezamenlijk initiatief van ECP.nl, ISACA, NOREA en PvIB. Voor meer informatie en de tekst van het juryrapport zie de website JBISA.nl.

Resultaten ledenpeiling 355 NOREA-leden hebben deelgenomen aan de elektronische enquête over ‘dienstverlening NOREA’. Veel leden hebben ook de moeite genomen om naast de meerkeuzevragen nog aanvullende suggesties te doen op het gebied van cursusorganisatie, de NOREA-website en onderwerpen voor de EDP-Auditor, waarmee de betreffende commissie(s) en redactie aan de slag kunnen. Het aantal respondenten impliceert bovendien dat er sprake is van een representatieve steekproef. PE-verplichting De meeste leden kunnen uit de voeten met de PE-verplichting. 77 procent stemt in met de stelling dat er voldoende organisaties zijn om in het noodzakelijke aanbod te voorzien. 60 procent vindt ook het niveau voldoende. 71 procent wil dat NOREA zelf een groter cursusaanbod gaat ontwikkelen, met name op de kennisgebieden ‘IT-audit proces’ en ‘IT-management’. Cursussen op het gebied van persoonlijke (audit)vaar-

digheden worden minder urgent gevonden. De EDP-Auditor Ook is een oordeel gevraagd over de EDP-Auditor. 45 procent bevestigt enigszins of helemaal het blad ‘van A tot Z te lezen’ (33 procent niet). Een meerderheid van de respondenten is het helemaal of enigszins eens met de stellingen: • de vormgeving spreekt mij aan (56 procent);

• de artikelen zijn goed van niveau (72 procent); • de artikelen zijn zinvol (65 procent); • en prettig geschreven (52 procent). Daarnaast zijn er ook kanttekeningen als ‘te veel overheid’ of ‘te veel techniek’. Website Het ledenbezoek op de website is voor verbetering vatbaar: 73 procent kijkt minder dan maandelijks op de NOREA-website. 46 procent is het min of meer eens met de stelling dat het niveau goed is, maar een even grote groep aarzelt en zeven procent is het zelfs oneens met deze stelling. Veel concrete suggesties en opmerkingen geven ons aanknopingspunten voor verbeteringen in dat opzicht. De volledige resultaten zijn in een pdf-bestand te raadplegen via de NOREA-website.

Nieuwe leden Per 9 september 2008 zijn ingeschreven in het register van gekwalificeerde IT-auditors (RE’S): H.E.R. Arts drs. J.J.A. Aussems M. Bergman drs. M.H. Brinkhof drs. M.L.S. Buitink Mw. drs. M.A.E. le Comte MTD EMITA drs. M.A. Jansen drs. I. Kerkkamp G.J.F. Krol EMITA R.J.W. Middelweerd RA ir. E.P.M. van Schevikhoven ir. H.L. Souw Mw. drs.ing. N.D. Timmer

Jozef Israëlslaan 68 Admiralengracht 309-4 Niasstraat 181 Graaf Lodewijkstraat 11 Lippe-Biesterfeldstraat 26 Satijnvlinder 65 Siemensstraat 11 Thierenskade 148 Overslaggronden 29 Holthe 53 Jekerstraat 62 I Else Mauhsstraat 5 Harstenhoekstraat 8 C


1318 RN 1056 EB 1095 SC 6821 EA 7315 JM 3544 VX 3553 GH 2282 XZ 8266 JT 9411 TP 1078 MA 1507 RZ 2587 RG

ALMERE AMSTERDAM AMSTERDAM ARNHEM APELDOORN UTRECHT UTRECHT RIJSWIJK KAMPEN BEILEN AMSTERDAM ZAANDAM ’S-GRAVENHAGE

Van de NOREA

Een vernieuwde Richtlijn Permanente Educatie Het jaar 2009 staat voor de NOREA in het teken van het thema Change. Hiermee wordt gedoeld op de voortdurende turbulentie en verandering in de (technische) omgeving, maar ook op de expertise van de IT-auditor, als adviseur van het management bij veranderingsprocessen. Een ‘change’ die dit jaar al in gang is gezet, is de vernieuwde PE-richtlijn.

Michael van der Meulen en Marc Piels, namens de Commissie Educatie (met speciale dank aan Jurgen van der Vlugt, voormalig voorzitter van de Commissie Educatie, voor zijn prikkelende maar stimulerende bijdrage aan de Bloemlezing en Constateringen).

De Commissie Educatie heeft een voorstel uitgewerkt voor een vernieuwde Richtlijn Permanente Educatie. In de conceptrichtlijn staan kennistermen en aandachtsgebieden centraal. De momenteel geldende Richtlijn Permanente Educatie1 en de vernieuwde concept-Richtlijn Permanente Educatie2 vindt u op de NOREA-website. De NOREA-leden waren uitgenodigd om tot 1 oktober 2008 commentaar te geven op de conceptrichtlijn. Na de goedkeuring in de algemene ledenvergadering in het najaar van 2008 zal de richtlijn gelden voor de permanente educatie over het jaar 2009. In dit artikel wil de Commissie Educatie leden informeren omtrent de veranderde PE-richtlijn. Eén van de doelstellingen die met de verandering wordt beoogd, is het beter ondersteunen van de PE-verplichting en de bijbehorende PE-dossiervoering. Dit artikel begint dan ook met een kleine bloemlezing van uitkomsten van de steekproef op de PE-dossiers ter lering, vermaak en introductie op de nieuwe richtlijn. Vervolgens worden de verschillende ontwikkelingen aangehaald die aanleiding zijn geweest om de PE-richtlijn te vernieuwen. Ten slotte komen de belangrijkste wijzigingen in de PE-richtlijn aan de orde. Bloemlezing steekproef PE-dossiers Sommigen van u hebben ervaring opgedaan met het fenomeen ‘PE-dossiersteekproeven’. Ondanks de verankering in de richtlijn en de reeds jaren geleden (en bij herhaling) gevoerde communicatie, levert het nogal eens stekelige reacties op om – conform artikel 9 van de Richtlijn Permanente Educatie – zonder aankondiging gevraagd te worden het vereiste dossier, met aannemelijk makende bescheiden, aan het bestuur ter beschikking te stellen. Bij sommige 44 | de EDP-Auditor nummer 4 | 2008

regels geven leden soms de indruk dat regels best goed zijn, tot ze voor die leden zelf beginnen te knellen. Terwijl regels alleen een nuttige functie hebben áls ze ook weleens knellen. De dossiersteekproeven waren ooit ingesteld om inzicht te krijgen in de wijze waarop leden hun PE-plicht invulden. Dit betrof de diversiteit aan activiteiten en de inhoud waaraan de PE-uren werden besteed, en of niet te gemakkelijk het PE-formulier op 40 uur werd ingevuld, zónder daadwerkelijk na te gaan of die 40 uur wel aan PE was besteed. Daarom was een schets gemaakt van de te volgen systematiek, waarbij de dossiers zonder sancties zouden worden beoordeeld door de Commissie Educatie. Criteria daarbij waren (en zijn): de inhoud van de uitgevoerde PEactiviteiten, de mate waarmee de geleverde bescheiden aannemelijk maken dat de PE-activiteit daadwerkelijk was uitgevoerd – agendanotities alleen voldoen niet; iedereen heeft zich wel voor seminars ingeschreven en op het laatste moment wegens werkdruk afgezegd – en de mate waarin de aangetoonde PE overeenkwam met (eerder gedane) formele opgave. De dossiers werden opgevraagd op basis van a-selecte trekking uit de populatie van PE-plichtige lidnummers, dus inclusief commissie- en bestuursleden. En inderdaad bleken er ook bestuursleden te zijn, die aangewezen werden hun dossier op te leveren. Constateringen De opgeleverde dossiers waren van wisselende kwaliteit. Het belangrijkste struikelblok voor velen was het niet beschikbaar hebben van (voldoende) ‘aannemelijk makende bescheiden’. Hierover is in dit blad een aantal jaren geleden al een artikel verschenen, met daarin een kader voor de beoordeling van de PE-dossiers, met voorbeelden van dergelijke beschei-

den. Dit heeft echter niet tot de gewenste verbetering geleid van de kwaliteit van de PE-dossiers. RE’s blijken nog wel eens ruimhartig te zijn in het toekennen van PE-uren. De richtlijn is duidelijk terzake: een uitgebreide lunch tijdens een seminar behoort niet tot permanente educatie; een seminar van 9.00u tot 17.00u is dus zeker geen 8 uur PE. Ook blijken RE’s ruimdenkend te zijn in het conform de richtlijn schatten in welke mate de PE-activiteit daadwerkelijk tot kennisonderhoud en -opbouw heeft geleid: vrijwel uitsluitend worden PE-activiteiten verricht die voor de volle honderd procent nuttig zijn! Althans, er is zelden of nooit enige aantekening te vinden dat een bezochte lezing minder dan fantastisch was, en vol baanbrekende nieuwe inzichten. Een andere categorie die goed was voor menig opgetrokken wenkbrauw, was de inhoud van de uitgevoerde ‘permanente educatie inzake ITaudit’. Een cursus ‘boomknuffelen in de zitkuil’ werd opgevoerd als nuttig – we moeten aannemen dat het betreffende lid daardoor veel beter kon auditen of de firewallpoorten wel inbound packets blokkeren. Complete sabbaticals of rustgevende reizen waren ook populair als permanente educatie. Vakantie in afgelegen gebieden zonder WiFi-bereik maakt misschien duidelijk hoe noodzakelijk moderne IT is voor een beter menszijn, maar kan toch niet echt tot permanente educatie over IT-audit worden gerekend. Maar waar eindigt zo’n argument? Scoort iemand die de mode van het seizoen niet bijhoudt ook onvoldoende en kan hij of zij voor permanente educatie, liefst nog met extra PE-punten, naar de Fashion Week…? Een deugdelijk voorkomen is immers ook noodzakelijk in ons beroep. In algemene bewoordingen zijn de ervaringen met de ‘PE-dossiersteekproeven’ van het afgelopen jaar eveneens van wisselende aard. Over de dossiers die ontvangen werden, viel meestal te zeggen dat de aangeleverde onderbouwing in voldoende

mate aannemelijk maakt op welke wijze de PE is ingevuld. In een aantal gevallen was aanvullende onderbouwing nodig. Denkt u hierbij aan het inzichtelijk maken van de bestede tijd en de inhoud van een bepaalde training, zodat vastgesteld kan worden hoe de training aansluit op het vakgebied IT-audit. Soms stelde de Commissie Educatie aanvullende vragen over de achtergrond van een opgevoerde training. Denkt u hierbij aan een training waarvan het karakter niet direct lijkt aan te sluiten op het vakgebied ITaudit. Kortom, blijkbaar of schijnbaar is het voor de IT-auditor niet altijd even duidelijk wanneer er sprake is van een PE-activiteit en op welke wijze dat aantoonbaar gemaakt zou moeten worden. De nieuwe PE-richtlijn zal het voor u gemakkelijker maken bij uw PE-dossiervoering.

aangeven. De achtergrond van de omschakeling naar soorten kennis ten opzichte van de huidige soorten verrichte activiteiten is, dat voor de aanwending en beoordeling van PE meer eenduidig kan worden vastgesteld, hoe en waar PE bijdraagt aan kennisvergaring. De gedefinieerde soorten van kennistermen vormen bovendien de basis voor het in de toekomst faciliteren van permanente educatie door de NOREA. Aan deze taakuitbreiding zal de Commissie Educatie de komende periode nader invulling geven. De resultaten van de ledenpeiling die medio september gehouden is (zie ook een andere bijdrage in deze rubriek), laten zien dat er behoefte bestaat aan een aanbod dat met name gericht is op de technische objecten IT Audit Process en IT Management (zie punt 2C hieronder).

Aanleidingen tot het wijzigingsvoorstel Zoals uit voorgaande bloemlezing blijkt, maken de uitkomsten van de jaarlijkse steekproef inzake de toetsing van de PE-verantwoording duidelijk, dat er behoefte is aan meer inzicht in de bijdrage van PE-activiteiten aan de vaktechnische ontwikkeling. Daarnaast vormen andere ontwikkelingen aanleiding om de huidige richtlijn te actualiseren, waaronder: • de vervanging van de GBRE door het Reglement Gedragscode (Code of Ethics), waardoor aanpassingen van verschillende richtlijnen en reglementen nodig waren; • het eind 2007 verkregen IFACaffiliate membership, dat normen inhoudsaansluiting op internationale standaarden met zich meebrengt.

2. Het drietal hoofdgroepen uit de oude richtlijn worden vervangen door de volgende drie aandachtsgebieden: A. actieve bijdragen aan het vakgebied: in deze categorie vallen alle activiteiten zoals lesgeven, commissiewerk, het schrijven van boeken en artikelen, et cetera; B. algemene kennis en vaardigheden: in deze categorie vallen de educatieactiviteiten die relevant zijn voor het functioneren als RE. Deze kennis en vaardigheden staan los van enig specialisme (waaronder de ethiek van het beroep en auditvaardigheden); C. technische objecten: in deze categorie gaat het om inhoudelijke kennisvergaring door middel van interne en externe cursussen, vaktechnische bijeenkomsten, et cetera. Hiervoor wordt een indeling van kennistermen gehanteerd, die ontleend is aan de International Education Guideline 11 van IFAC en de ISACA-competenties en -kennisgebieden (te weten:

De belangrijkste wijzigingen op een rij Wat nu volgt zijn de belangrijkste wijzigingen voor u. 1. Tot nu toe was permanente educatie (PE) gericht op activiteiten, nu is dit omgevormd tot ‘kennistermen’, die de inhoudelijke aspecten 45 | de EDP-Auditor nummer 4 | 2008

Van de NOREA IT Audit Process, IT Architecture, System acquisition/development process, IT Management, IT Information Technology Strategy en Business Process Enablement). 3. De tijdsbestedingseis wordt gesynchroniseerd met de NIVRA-regeling, dat wil zeggen, er moeten ten minste 120 PE-punten per drie aaneengesloten kalenderjaren worden gehaald, met een minimum van 20 PE-punten per kalenderjaar. Één PE-punt staat gelijk aan 60 minuten die zijn besteed aan permanente educatie. Als laatste punt, om nader invulling te geven aan het bevorderen van de kwaliteit van de beroepsuitoefening,

behoudt het bestuur zich jaarlijks het recht voor om voor alle, dus ook voor niet-actieve RE’s, een verplichte educatieactiviteit op te leggen. Deze verplichte PE-punten zullen betrekking hebben op onderwerpen die alle RE’s aangaan. De voorgenomen wijzigen hebben ook gevolgen voor de huidige PEregistratie. De registratiemodule van de website wordt uitgebreid en er wordt onderzocht in hoeverre aansluiting kan worden gerealiseerd op het PE-registratiesysteem dat door het NIVRA gebruikt wordt.

de algemene ledenvergadering op 18 juni jl. voor commentaar op de NOREA-website werd geplaatst. In de komende tijd worden de reacties geïnterpreteerd. De aanpassingen worden als wijzigingsvoorstellen gepubliceerd op de NOREA-website. Vervolgens is het de bedoeling om, in de algemene ledenvergadering op 10 december aanstaande, de gewijzigde richtlijn te bekrachtigen, zodat deze met ingang van het kalenderjaar 2009 gaat gelden. Noten 1 Zie ook: www.norea.nl/Norea/Thema’s/

Vervolgtraject Diverse organisaties en individuele leden hebben reeds gereageerd op de concept-Richtlijn Permanente Educatie, die na de presentatie tijdens

Gedrags-+en+beroepsregels/Richtlijn+Perma nente+Educatie 2 Zie ook: www.norea.nl/Sites/Files/ 0000021872_PE-Richtlijn_%20concept% 202008%20_ALV_.pdf

Rectificatie en aanvulling RE-gids 2008/2009 In het overzicht van bedrijven en instellingen zijn de volgende leden ten onrechte gegroepeerd onder CSI Global: • A.J.J. Straathof RE, Control Solutions B.V.; • E. Westhoek RE RA, Control Solutions B.V.

In het overzicht van Commissies ontbreekt: Commissie(opzet) Toetsing Kwaliteit • drs. P. Galjaard RE – voorzitter • drs. M.A. Bongers RE RA CIA • drs. R.H. Boon RE RA

• • • •

drs. K.H.G.J.M. Ho RE RA H.G.P. Lucassen RE RA drs. C.C.A. Pietersma RE H. Timmer RE (linking-pin NOREA-bestuur)

Ledenvergadering en symposium Grote ICT-projecten Op woensdag 10 december aanstaande vindt de najaarsledenvergadering plaats in het NIVRA/NOREAvergadercentrum te Amsterdam. Op de agenda staan onder meer: het wijzigingsvoorstel van de PE-richtlijn, het concept-Reglement Kwaliteitsbeheersing NOREA en de begroting voor 2009. Symposium De ledenvergadering wordt voorafgegaan door een symposium, dat wordt

georganiseerd door de Werkgroep Ketenauditing. Dit symposium gaat over grote ICT-projecten, met onder andere een presentatie door opstellers van het Rekenkamerrapport ‘Lessen uit ICT-projecten’ en een presentatie van Het Expertise Centrum (HEC) over de ‘Gateway methode’. Meer informatie Het definitieve programma, alsmede de agenda en vergaderstukken voor de Algemene Ledenvergadering, 46 | de EDP-Auditor nummer 4 | 2008

worden in november op de NOREAwebsite gepubliceerd. Aanmelden hiervoor en het verkrijgen van meer informatie is mogelijk via het NOREA-bureau.

Van de redactie. Over sourcing en inburgering Column Madan Ramrattansing. Het IT-toezicht bij De Nederlandsche Bank Interview met Evert Koning

Recommend Documents