COLUMN – Veiligheid en privacy – een illusie?

Een korte reflectie over hoe veilig en privacy-proof verzuimsystemen vandaag de dag kunnen zijn.

Digitale veiligheid en privacy hebben zo om de zoveel tijd weer hun hype. We kennen allemaal de paspoortaffaire, de OV-chipkaart en het EPD (Elektronisch Patiënten Dossier).
Natuurlijk, onze gegevens dienen netjes te worden beheerd, mijn buurman hoeft niet te weten wat ik allemaal mankeer. Maar we moeten ook wel realistisch zijn, want Big Brother Google heeft grote ogen. Stel: je hebt  last van aambeien en je Googlet naar een passende medicijn. Je surfgedrag wordt vastgelegd en verkocht aan de hoogste bieder. We zijn ons er vaak niet bewust van, maar strooien op deze manier zelf met onze privacygevoelige informatie.

Veiligheid en beveiliging is een heel ongrijpbaar iets. ’s Avonds gaan de rolluiken van onze villa’s naar beneden en het alarm erop. Op de oprit brand het licht de hele nacht en een bewegingsmelder activeert de camera die we hoog tegen de gevel gemonteerd hebben, voor het geval iemand het in zijn hoofd haalt de auto even te lenen. Dat is de normaalste zaak van de wereld. Maar nog een pasje erbij met weer een nieuwe pincode vinden we best wel lastig. En als ik van de ICT security officer elke week mijn wachtwoord op het werk moet wijzigen, dan schrijf ik dat liever op een papiertje dat ik onder mijn toetsenbord leg, dat vindt toch niemand…

Veiligheid, privacy en Verzuimsystemen

Wat heeft dit eigenlijk allemaal met verzuimsystemen te maken? Wat mij betreft heel erg veel. Want geen beveiligingscertificaat, autorisatieprocedure, verzuimaudit of CBP-handboek is opgewassen tegen een gebrek aan discipline, onwetende gebruikers, loslippige medewerkers of openstaande deuren. Om het niet al te ingewikkeld te maken, zo maar een paar voorbeelden:

  • Elk professioneel verzuimsysteem heeft een aparte module voor de bedrijfsarts waarin hij de medische gegevens kan opslaan. Door het protocolleren van autorisaties kan alleen een persoon die bedrijfsarts is deze medische gegevens zien. Maar de hamvraag is natuurlijk wie deze autorisaties uit deelt? De bedrijfsarts doet dat echt niet zelf. In het meest gunstige geval heeft de leverancier van het systeem een procedure waardoor het op locatie niet mogelijk is om deze rol toe te bedelen, maar vaak is dit niet het geval. Als diegene die de autorisaties beheert bij de organisatie zelf werkt en van zijn leidingevende de opdracht krijgt om een overzicht van de zieke medewerkers te maken met de reden van ziekte en de interventieverslagen dan is het maar de vraag of de functioneel beheerder dit kan weigeren.
  • Ander voorbeeld: De leverancier heeft een sluitende procedure voor de beveiliging van de medische gegevens in zijn systeem gebouwd en levert het systeem vol trots aan een verzuimbureau. Het verzuimbureau richt het systeem in en gaat aan de slag. Casemanagers registreren in de schermen die voor de gespreksverslagen zijn bedoeld netjes wat wordt besproken en volgen de gesprekken keurig op.

Helaas blijken deze casemanagers wel eens over de privacy-schreef te gaan: ze stellen medische vragen of registreren medische antwoorden in de vrije velden. Daar gaat het natuurlijk mis. Een computersysteem kan niet lezen. Dus wat je ook opschrijft, de computer slaat de gegevens op en verspreidt zo medische informatie onder alle non-medische gebruikers zoals bijvoorbeeld leidinggevenden.
In deze beide voorbeelden treft de leverancier geen blaam.  Tenminste, ik heb nog niet gehoord dat Ferrari een bon heeft gekregen omdat een klant 250 km/h reed terwijl 100 km/h was toegestaan.
Hackers walhalla

Weer terug naar veiligheid: applicaties worden gemaakt in programmeertalen als .Net, Java en php Daarbij wordt veelvuldig gebruik gemaakt van beschikbare templates. Zo hoeft men niet steeds opnieuw het wiel uit te vinden. Dat houdt de ontwikkeling van nieuwe systemen betaalbaar en kost minder tijd. Maar dit zijn bij uitstek bronnen die gevoelig zijn voor hackers. En heb je als hacker eenmaal een template gehacked dan kun je meteen bij het merendeel van de toepassingen, die op dit template  gebaseerd zijn, binnen wandelen. Een waar hackers walhalla.

De afgelopen maanden werden we opgeschrikt door berichten dat onze gegevens massaal op straat lagen, en daarmee lag de illusie van digitale veiligheid volledig aan diggelen. Het begon met DigiNotar, notabene een veiligheidscertificaat dat zelf zo lek bleek als een mandje. Corporate reus KPN bleek niet in staat om eenvoudige klantgegevens te beveiligen. En zelfs het protectionistische Apple kreeg uiteindelijk te maken met de wereldwijde besmetting van 600.000 computers. Beide partijen ontkenden ook nog in eerste instantie. En wat dacht u van Microsoft Internet Explorer die helemaal nooit waterdicht is geweest, maar waar wel 90 procent van de BV Nederland gebruik van maakt.

Geen garanties

Als zelfs multinationals met tientallen miljarden in kas al niet kunnen garanderen dat u veilig kunt werken of dat de privacy gegarandeerd is, tja, wat mag u dan verwachten van een gemiddeld MKB-bedrijf? Garanties op het waarborgen op privacy en 100% veilig? Dat is echt een illusie.

Ik lees geweldige specificaties van hard- en software beveiligingsprotocollen, van de meest strikte autorisatieprocedures en van  en atoomkelders waar servers staan te ratelen die met elkaar verbonden zijn met de snelheid van het licht en waar je zonder irisscan en bewijs van goed gedrag niet eens op de bel mag drukken. Toch moet ik steeds denken aan die man die zijn wachtwoord onder zijn toetsenbord heeft liggen…
Maar wat dan wel? Als organisatie moet je zo goed mogelijk in kaart brengen welk beveiligingsniveau je wenst. Hierop kun je de aanbieders selecteren en vervolgens richt je de interne organisatie goed in. Daarna ga je de discipline bij alle gebruikers flink opschroeven en dan … jezelf wapenen voor als het toch niet goed is gegaan…

Auteur: Hans van Rooij, informatie analist en initiatiefnemer van www.verzuimsystemen.nl

Adresgegevens

SV Land
Röntgenlaan 13
2719 DX Zoetermeer
Routebeschrijving

Nieuwsbrief