De juridische kant van informatiebeveiliging in een notendop
De inbraak in een systeem, het verlies van een USB-stick of andere incidenten leiden tot juridische vragen. Maar er is meer. Wie zich bezighoudt met informatiebeveiliging, krijgt te maken met contractuele afspraken over informatiebeveiliging en ook met de wettelijke plicht tot informatiebeveiliging zoals deze geldt voor persoonsgegevens. Denk dan aan personeelsdossiers of klantenbestanden. Kennis van de juridische dimensie van het vakgebied is kortom essentieel. In deze bijdrage volgt in een notendop een aantal relevante bepalingen uit weten regelgeving.
Informatiebeveiliging
Informatiebeveiliging is een veelomvattend begrip. Doorgaans wordt gedoeld op het stelsel van processen dat een organisatie inricht om de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van informatie en informatiesystemen te waarborgen. In navolging van de Angelsaksische landen wordt ook wel gesproken van het CIA-beginsel: confidentiality, integrity en availability. Informatiebeveiliging wordt bereikt door een passende combinatie van maatregelen in te zetten: beleid, gedragsregels, procedures, contractuele afspraken, organisatiestructuren en softwarefuncties.
Contractuele afspraken
Informatiebeveiliging vindt in de praktijk vooral plaats door middel van contractuele afspraken. In overeenkomsten tussen ict-leveranciers en gebruikers, in partnership-contracten, in arbeidscontracten of in overeenkomsten met ingehuurde freelancers, detachteringskrachten of stagiairs wordt dikwijls uitdrukkelijk de geheimhouding of vertrouwelijkheid geregeld. Oogmerk is de bescherming van interne bedrijfsprocessen, klantgegevens of informatie over producten die in ontwikkeling zijn. De contractuele regeling speelt een rol bij de bescherming van innovatieve processen. Doorgaans behelzen deze bepalingen de verplichting om de geheimhouding en vertrouwelijkheid ook aan de eigen medewerkers op te leggen. Als gevoelige bedrijfsgegevens in het spel zijn, kan – als stok achter de deur – de geheimhoudingsplicht worden versterkt met een contractuele boete die bij schending wordt opgelegd. In de Code voor Informatiebeveiliging (zie kader) is op vele onderdelen uitgewerkt op welke manier de informatiebeveiliging contractueel moet worden vormgegeven. Zo is bijvoorbeeld voorgeschreven welke beveiligingseisen in een contract aan de orde moeten komen wanneer het management of beheer van alle of een deel van de informatiesystemen, netwerken en/of werkstations wordt uitbesteed. In het contract zou dan bijvoorbeeld moeten worden ingegaan op de onderwerpen: voldoen aan privacywetgeving, bewustwording van verantwoordelijkheden op het gebied van beveiliging en beschikbaarheid van diensten bij calamiteiten.
Persoonsgegevens en privacywetgeving
Persoonsgegevens en de verplichting tot beveiliging Veel risico’s rond informatiebeveiliging hebben betrekking op persoonsgegevens. Aantasting daarvan kan immers ernstige gevolgen hebben. De Wet bescherming persoonsgegevens (Wbp) regelt de verwerking van persoonsgegevens. Denk daarbij aan NAW-gegevens van klanten of personeelsdossiers, maar ook aan andere gegevens die tot personen herleidbaar zijn. Dat kunnen ook videobeelden of foto’s zijn. Bijzondere persoonsgegevens zoals omtrent godsdienst, levensovertuiging, politieke gezindheid of gezondheid krijgen een zwaardere mate van bescherming. De wet kent een verplichting tot informatiebeveiliging. Artikel 13 van de Wbp legt aan de verantwoordelijke de verplichting op tot het treffen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen dienen een ‘passend beveiligingsniveau’ te garanderen, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. Bij de beoordeling van de vraag of het beveiligingsniveau passend is, wordt rekening gehouden met de stand van de techniek en de kosten van de tenuitvoerlegging. Het begrip passend duidt op een proportionaliteit tussen de beveiligingsmaatregelen en de aard van de te beschermen gegevens. De maatregelen moeten er tevens op gericht zijn om onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. De beveiligingsverplichting strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. Bij uitbesteding van de verwerking van persoonsgegevens aan een bewerker (kort gezegd: een externe partij) rust op de verantwoordelijke de verplichtingen ter waarborging van de naleving van de wet (artikel 14 van de Wbp). In de Fenit-voorwaarden is een contractuele uitwerking aan deze verplichting gegeven met het doel de verhouding tussen de leverancier en de afnemer van ict-producten en -diensten te regelen.
Elektronische handtekening
De elektronische handtekening levert als middel voor authentificatie een bijdrage aan informatiebeveiliging. Denk aan de pincode, biometrische controle, ondertekening van de digitale belastingaangifte, de calculator voor internetbankieren of een elektronisch ondertekend uittreksel uit het handelsregister van de Kamer van Koophandel. De elektronische handtekening heeft sinds enige jaren een plaats in het Burgerlijk Wetboek gekregen. De wettelijk geregelde elektronische handtekening heeft een vergelijkbare bewijskracht als een schriftelijke handtekening. De wet definieert deze als ‘de elektronische gegevens die zijn vastgehecht aan of logisch verbonden geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie’. Het gebruik van een elektronische handtekening is door de wettelijke regeling met waarborgen omkleed.
Omzeiling van beveiligingen in systemen
Op grond van de Auteurswet kan worden opgetreden tegen degenen die beveiligingen omzeilen. Artikel 29a van de Auteurswet verbiedt – kort gezegd – het omzeilen van ‘technische voorzieningen’ die dienen ter voorkoming van niet-toegestane handelingen met betrekking tot auteursrechtelijk beschermde werken (tekst, foto’s, software). Het moet dan gaan om technische voorzieningen die als doeltreffend kunnen worden beschouwd, zoals toegangscontrole of toepassing van een beschermingsprocedé zoals encryptie, vervorming of andere transformatie van het werk of een kopieerbeveiliging. Degene die doeltreffende technische voorzieningen omzeilt en dat weet of redelijkerwijs behoort te weten, handelt onrechtmatig. Daarmee staat de weg open naar een veroordeling door de rechter tot voldoening van schadevergoeding.
Hacken, DOS-attack en andere strafbare feiten
Een aantal van de bedreigingen in het digitale tijdperk is strafbaar gesteld in het Wetboek van Strafrecht. Als zich incidenten voordoen, kan aangifte worden gedaan. Politie en justitie beschikken over opsporingsbevoegdheden die een verdergaand onderzoek naar de toedracht mogelijk maken. Met enige regelmaat komt het voor dat in geautomatiseerde systemen wordt ingebroken. In 2007 werd in de media uitgebreid aandacht besteed aan de aangifte door Geassocieerde Pers Diensten (GPD) tegen het ministerie van Sociale Zaken wegens computervredebreuk. Vanuit het ministerie zou gedurende omstreeks een jaar bijna dagelijks zijn ingebroken in het systeem van GPD door twee voormalige werknemers van GPD. Het inbreken in geautomatiseerde systemen (hacken) is strafbaar op grond van artikel 138ab van het Wetboek van Strafrecht. Degene die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan, maakt zich schuldig aan computervredebreuk. Daarop staat een gevangenisstraf van ten hoogste één jaar. Van binnendringen is in ieder geval sprake indien de toegang tot het geautomatiseerd werk wordt verworven door het doorbreken van een beveiliging, door een technische ingreep, met behulp van valse signalen of een valse sleutel, of door het aannemen van een valse hoedanigheid. Het Wetboek van Strafrecht kent andere strafbepalingen die de informatiebeveiliging raken. Onder meer zijn strafbaar gesteld: het uitvoeren van een DOS-attack (de denial of service aanval), dataverminking en het aanbieden van malware/virussen, het afluisteren van gesprekken, het aftappen van telecommunicatie en computers en beschadiging van computers en telecommunicatievoorzieningen. Uiteraard kunnen ook andere misdrijven en overtredingen bij informatiebeveiliging een rol spelen, bijvoorbeeld indien gegevens worden aangetast en valsheid in geschrifte in het spel is.
Sectorspecifieke regels
Binnen de Rijksoverheid geldt het Voorschrift Informatiebeveiliging Rijksdienst. De telecomsector heeft te maken met de wettelijke verplichting tot beveiliging van elektronische communicatienetwerken en diensten als bepaald in de Telecommunicatiewet. In de financiële sector vindt integriteitstoetsing van medewerkers plaats onder verwijzing naar de Wet financieel toezicht. Het is dan ook raadzaam zich te oriënteren op specifieke regelgeving die voor producten of diensten of onder bepaalde omstandigheden relevantie hebben.
Itil en Code voor informatiebeveiliging
Binnen de itil-reeks wordt het proces informatiebeveiliging beschreven in het deel securitymanagement (itil 2). Itil 3 hanteert de term Information Security Management. De beveiligingsmaatregelen zoals beschreven in itil 2 zijn mede gebaseerd op de Code voor Informatiebeveiliging 2000. Deze Code geeft richtlijnen en algemene principes voor het initiëren, implementeren, handhaven en verbeteren van de informatiebeveiliging in een organisatie. De Code is onder supervisie van de normcommissie van het Nederlands Normalisatie Instituut (NEN) tot stand gekomen. Hij is van oorsprong gebaseerd op een set beveiligingsmaatregelen van het Britse standaardisatie instituut BSI (BS 7799; later ISO/IEC 17799). De Code bestaat uit twee delen: deel 1 is de norm (NEN-ISO 27001: 2005 nl) en deel 2 is de Code of Practice (NEN-ISO 27002:2007 nl). De Code heeft niet de status van formele wet- of regelgeving, maar heeft wel veel gezag.
Dit artikel is gepubliceerd in de Best Practice Magazine 2008. U kunt de pdf hier downloaden.