Actie na bijeenkomsten informatiebeveiliging en privacy

Actie na bijeenkomsten informatiebeveiliging en privacy

In de periode van 20 april tot en met 18 mei organiseerde SPN in samenwerking met de Koninklijke Bibliotheek (KB) en de VOB, vier regiobijeenkomsten rondom informatiebeveiliging en privacy voor directeuren en MT-leden van de Bibliotheek. De bijeenkomsten in Zwolle, Eindhoven, Rotterdam en Utrecht werden goed bezocht. Deelnemers werden bijgepraat over diverse onderwerpen: wetgeving, cybersecurityscan, en er werd een praktijkvoorbeeld van een datalek besproken. Het doel van de vier bijeenkomsten is bibliotheken voor 25 mei 2018 te laten voldoen aan de Europese Algemene Verordening Gegevensbescherming (AVG).

Ga naar de website van SPN voor alle presentaties

Bewustwording over privacy

Een van de sprekers, David Korteweg, van Bits of Freedom (BoF) focust zich op internetvrijheid: het recht op privacy en communicatievrijheid in zowel het private als het publieke domein. David stelt dat veel mensen er onterecht vanuit gaan dat techniek iets neutraals is waar 'we niet veel aan kunnen doen'. Techniek is namelijk niet neutraal, maar wordt altijd ontworpen op basis van een bepaalde (politieke) keuze. Techniek heeft een grote invloed op het handelen van mensen en de rol van mensen is dus van groot belang als het gaat om het uitoefenen van invloed op de techniek.

Privacy is een ontwerpkeuze als het gaat om gebruik van data. Nu ligt de keuze daarvoor bij de opdrachtgever en is het voor de betrokkene veelal onduidelijk welke informatie over hem bekend is. De betrokkene zou echter zelf moeten kunnen bepalen welke informatie over hem gebruikt mag worden. Dit is belangrijk voor (de controle op) de eigen identiteit die contextafhankelijk is.

Bibliotheken kunnen hun klanten helpen zich hiervan bewust te worden

  • Wees kritisch en bewust
  • Security is nodig
  • Je moet niet alles willen, dus maak een belangenafweging
  • Wees transparant
  • Laat bezoekers niet door derden bespieden -> dit is een principieel belang voor openbare bibliotheken
  • Technologische ontwerpen zijn beïnvloedbaar

Gegevensbescherming

De Wet bescherming persoonsgegevens (Wbp) heeft volgens Mark Jansen, werkzaam als jurist bij Dirkzwager Advocaten, een heel ruim toepassingsbeleid. Zij geldt voor directe (bijvoorbeeld naw-gegevens) en indirecte persoonsgegevens. Indirect is breed uitlegbaar: zodra je met een paar stappen de identiteit van iemand kan herleiden is het al een indirect persoonsgegeven.

Met ingang van 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze Europese wetgeving verschilt niet heel veel met de Wbp, maar richt zich wel meer op transparantie. Informeren van de personen waarvan je gegevens opslaat en het documenteren van de keuzes die je maakt worden hierin belangrijk. De AVG stelt ook dat organisaties met een publieke taak verplicht zijn een Functionaris Gegevensbescherming (FG) aan te stellen. Aangezien openbare bibliotheken volgens de Wsob een publieke taak hebben zou deze eis ook voor bibliotheken kunnen gelden. Een FG kan echter voor verschillende organisaties tegelijk worden aangesteld. De VOB gaat deze mogelijkheden onderzoeken.

Cybersecurityscans

​Paul Prooij (ProBiblio) en Sander Kok vertellen tijdens de bijeenkomsten uitgebreid over de cybersecurityscans die zij bij ProBiblio en een aantal bibliotheken hebben uitgevoerd. Het doel van deze scans was tweeledig. De vraag werd gesteld: in hoeverre voldoet men als organisatie al aan de ISO 27001 norm? Daarnaast deden zij een ethische hack op een aantal systemen. De conclusies waren niet mals. Gemiddeld scoorden de deelnemende organisaties 25% wat betreft het voldoen aan de ISO-norm. Men scoorde het best op beheer: 50%.

De ethische hacks lieten zien dat er veel te verbeteren valt. In een notedop de conclusies na de hack:

  • Er is geen (of slecht) wachtwoord beleid
  • Er is geen overzicht van gebruikte ICT-infrastructuur: geen of onvolledige administratie
  • Veel software is niet (goed) in beheer: er is achterstallig onderhoud o.a. m.b.t. anti-virus
  • Veel verschillende ICT leveranciers, gebrek aan coördinatie en leveranciersmanagement
  • Updaten en testen te duur (ICT te duur)
  • Apparatuur kan niet eenvoudig geupdatet worden (afhankelijkheid)
  • Ernst van lek niet begrepen het tijdig verwijderen van sessiegegevens van klanten die publiekspc’s hadden gebruikt voldoet niet

Datalek

Voor de Gemeente Amersfoort voerde key-note spreker Frank van Wonderen een onderzoek uit naar de oorzaak en afhandeling van een datalek. Een medewerker had een bestand met persoonsgegvens naar twee collega’s gemaild, maar door de functie ‘automatisch aanvullen’ was in de mail een verkeerd e-mailadres geselecteerd, waardoor het bestand naar iemand buiten de Gemeente (dus buiten het eigen netwerk) was verstuurd. De verzender probeerde de mail weer in te trekken, maar deze optie werkt niet met mail waarvan de ontvanger buiten het eigen netwerk zit. De medewerker had dit niet door en ondernam geen verdere actie, maar de ontvanger maakte er melding van bij de Autoriteit Persoonsgegevens. Dit leidde tot een onderzoek waarbij verschillende partijen binnen en buiten de Gemeente elkaar probeerden in een kwaad daglicht te stellen.

Lessons learned:

  • De nasleep duurde bijna een jaar
  • Privacy staat nu hoog op de agenda
  • Bij rapporteren over een datalek heb je weinig controle over de interpretatie van de tekst 
  • De keten is belangrijk: overleg met elkaar
  • Als publieke instantie ben je gevoelig voor reputatieschade

Awareness

Tot slot kwam Dennis Eijsten (KB) aan het woord. Bij zijn organisatie heeft men verschillende acties gehouden om awareness bij de medewerkers te creëren. Zo waren er losliggende USB-sticks, werd het beeld op niet-vergrendelde schermen aangepast, en werden niet-opgeborgen laptops ’s avonds verwijderd. De KB heeft de interne organisatie rondom privacy en security ingericht met een Virtual Security Office (VSO) waarin alle rollen rondom beveiliging samen komen en de verbinding tussen fysieke en digitale veiligheid wordt gelegd. De KB voert Privacy Impact Assesments (PIA’s, verplicht bij de AVG) en penetratietesten uit. Om dit alles goed te kunnen regelen is er afstemming nodig tussen landelijke, provinciale en lokale organisaties.

Al met al, was er tijdens de regiobijeenkomsten genoeg informatie waar de bibliotheken mee aan het werk kunnen. Privacy en security staat bij vele MT’s sindsdien waarschijnlijk hoog op de agenda’s.​ Voor vraagstukken rondom informatiebeveiliging en privacy kunnen bibliotheken bij de eigen Provinciale Ondersteuningsinstelling (POI) terecht. Bekijk hier alle presentaties.

Meer nieuws