Data zijn een essentieel onderdeel voor het functioneren van veel bedrijven en organisaties. De impact als data om wat voor reden dan ook niet beschikbaar zijn, blijkt regelmatig uit het nieuws. Onder meer de Universiteit van Maastricht kreeg eerder dit jaar te maken met ransomware. Daardoor werden de data versleuteld en waren ze niet toegankelijk voor gebruikers. Het is daarom zaak zorgvuldig met data om te gaan. Reden om een Ronde Tafel te houden met Henk Bothof (CIO Stichting BKR), Dirkjan van Zoelen (lid CIO-office Stichting BKR), Bart Jacobs (hoogleraar computerbeveiliging Radboud Universiteit te Nijmegen) en Queen-Aimée Rajkowski (lid Tweede Kamer namens de VVD). Zij namen verschillende veiligheidsaspecten onder de loep.
Voor een organisatie als Stichting BKR is beveiliging van data en het zorgvuldig omgaan met deze privacygevoelige informatie van existentieel belang. Van Zoelen constateert dat er nog uitdagingen genoeg zijn, zoals de gewenste koppeling met het burgerservicenummer (BSN). “Is goed vast te stellen dat de persoon die inzage wil in zijn of haar data, ook werkelijk degene is die hij of zij zegt te zijn? Verder geldt dat als we onze dienstverlening niet betrouwbaar kunnen bieden, dat dit verstrekkende gevolgen heeft voor de hele financiële sector.”
Cloud en hackers
Beveiliging van data dus, maar daar komen nogal wat aspecten bij kijken. Tegenwoordig zien we een verplaatsing van applicaties naar de cloud, inclusief data. Daar worden de data niet per definitie veiliger opgeslagen, maar de cloudproviders investeren wel flink in de veiligheidsaspecten rondom de infrastructuur. Om lekken in het systeem op te sporen, zou je kunnen werken met ethische hackers. Of een landelijk waarschuwingssysteem om kwetsbaarheden in software op grote schaal te delen. Rajkowski reageert met het nodige voorbehoud. “Ik zou het willen omdraaien: mensen moeten zelf aangifte doen in plaats van dat de overheid monitort. Laten we geen Big Brother opzetten. Vervolgens is het wel zaak om daders beter digitaal op te sporen. Plat gezegd betekent dit dat we meer cyberexpertise bij de politie nodig hebben.” En beschikbare informatie over kwetsbaarheden in software breder delen, ook met het mkb.
Juridische risico’s
Jacobs stipt onder meer aan dat aan het gebruik van bepaalde software en werken in de cloud ook allerlei juridische risico’s kleven. “Microsoft is een Amerikaans bedrijf onder Amerikaanse jurisdictie. Mijn inschatting is dat er grote risico’s zitten, dat hebben de Schrems-rechtszaken ook aangetoond. Hebben BKR en andere grote organisaties een strategie voor een overstap naar een andere provider als dat nodig mocht zijn?”, vraagt hij zich af.
Vinger aan pols houden
De reactie van Bothof is dat er zorgvuldige afwegingen zijn gemaakt en dat voor- en nadelen zijn bekeken, maar dat het wel zaak is om met een leverancier goede contractuele afspraken te maken en een vinger aan de pols te houden als het gaat om Europese dan wel Amerikaanse regelgeving. In dat kader is het een idee om een ‘cybersecuritypartner’ in te schakelen. In het resumé stipt Bothof aan dat hij Europese initiatieven, die omgeven zijn met een goede beveiliging, wel toejuicht. “Al blijft voor ons essentieel dat alle aspecten van de dienstverlening moeten kloppen.”
Een verslag van de virtuele ronde tafel vind je in het komende nummer van ons magazine Inzichtelijk.
