Verander complexiteit: Relevante wet- en regelgeving

Vandaag gaan we in op de complexiteitsfactor: Relevante wet- en regelgeving

Met het juridische onderzoek hebben we ook inzicht gekregen in de relevante wet- en regelgeving. Dit zijn de kaders die we niet mogen overtreden. Weten we welke wet- en regelgeving relevant is dan moeten we ook kijken naar de inhoud ervan.

We kunnen bijvoorbeeld simpelweg stellen dat de Wet Bescherming Persoonsgegevens van toepassing is om het vervolgens daarbij te laten. Maar een dergelijke wet schrijft een aantal regels voor. Deze moeten we vertalen naar ons project. We kunnen stellen dat bij cameratoezicht de wet van toepassing is maar als we het vervolgens niet aanmelden bij het College Bescherming
Persoonsgegevens of als we niet zichtbaar maken dat we camera’s toepassen dan zijn we nog steeds in overtreding.

Een afdelingsmanager wilde graag de bewaartermijn van de camerabeelden verlengen van 30 dagen naar 12 maanden. Zo wisten ze immers zeker dat de beelden na een incident altijd nog terug konden worden gekeken. De camerabewaking was aangemeld bij het CBP en daarin was de opslagtermijn van 30 dagen afgesproken. Camerabewaking is een zwaar middel en de privacy aspecten wegen zwaar, daarom is opslag van beelden voor de duur van 12 maanden in dit geval niet goedgekeurd.

Jaar gevangenisstraf wegens hacken Facebook-account

Het klinkt allemaal zo mooi, het hacken van een Facebook-account en waarschijnlijk denk je hierbij direct aan allerlei ingewikkelde technische aanvalsmethoden. Maar sta er eens bij stil hoeveel mensen gewoon proberen om in te loggen op het account van een ander. Misschien een ex-vriendje of vriendinnetje die uit verdriet of boosheid besluit om nog even snel het wachtwoord te wijzigen van het Facebook-account van de ander. Je zou het je zomaar voor kunnen stellen en ziet er misschien zelfs weinig kwaads in. Maar het is goed om er bij stil te staan dat ook dit tegenwoordig niet meer door de beugel kan.

Een 21-jarige Brit is tot 12 maanden gevangenisstraf veroordeeld wegens het hacken van een Facebook-account. Op 12 januari vorig jaar wist Gareth Crosskey op ongeautoriseerde wijze toegang tot het account van een ander te krijgen. De inbraak werd bij de FBI gemeld, die het spoor naar Groot-Brittannië traceerde. Vervolgens wist de Britse cyberpolitie Crosskey op te sporen (bron).

Nu blijkt uit bovenstaand bericht helemaal niet hoe Crosskey heeft ingebroken, dus het feit dat hij een wachtwoord van een ander wist is een pure aanname (en een aanname is geen feit, natuurlijk). Feit is wel dat er een jaar gevangenisstraf staat op deze hack. En dat is op zich best opmerkelijk omdat Facebook nu eenmaal Amerikaans is terwijl Crosskey een Engelsman is.

We klagen nog wel eens dat de wetgeving per land is, terwijl internet geen landsgrenzen kent. Blijkbaar is de wet ook aan het veranderen en kan iemand worden opgepakt op grond van zijn digitale overtredingen. Nu maar hopen dat niet iedereen direct de FBI inschakelt, want dan krijgen ze het nog druk.

Iedereen is dus gewaarschuwd en het mag misschien onschuldig lijken, maar inbreken op het account van een ander of het gebruiken van het wachtwoord van de ander zonder toestemming, kan je duur komen te staan.

Aantoonbaarheid voldoen aan wet- en regelgeving

Het weekend is weer achter de rug en vorige week hebben we afgesloten met de relevante wet- en regelgeving. Hoewel we in dit weekend nog steeds geen jurist zijn geworden is het wel belangrijk om aan te tonen dat we de wet- en regelgeving onderkennen en dat we aan kunnen tonen dat we naar ons beste kunnen daaraan voldoen. De volgende vraag wordt dan belangrijk:

Kan het aantoonbaar worden gemaakt dat aan de toepasselijke wet en regelgeving, door de organisatie, wordt voldaan?

Kortom: in de vorige exercitie zijn we met de juridische afdeling in gesprek gegaan om duidelijk te krijgen wat we verplicht zijn om te doen. Dan wordt het ook belangrijk om duidelijk te documenteren welke wet- en regelgeving volgens ons op ons van toepassing is en hoe we die vertaald hebben naar ons beleid en onze inrichting van de beveiliging.

Over niet al te lange termijn zal er vanuit de EU meer wet- en regelgeving opgelegd gaan worden. Hierbij zullen we ook incidenten openbaar moeten gaan maken waarbij de privacy van onze klanten in het geding is gekomen. We willen ons natuurlijk niet laten verrassen door die nieuwe regels en nemen nu al onze verantwoordelijkheid door er goed over na te denken.

Pakken we bijvoorbeeld de Code voor Informatiebeveiliging en maken we daarvan een goede doorvertaling naar onze organisatie dan dekken we al hele grote delen van de wet- en regelgeving af. Maken we aantoonbaar dat we inderdaad aan die Code voldoen dan maken we daarmee ook aantoonbaar dat we serieus met het onderwerp bezig zijn.

Wet- en regelgeving. Het blijft aan lastig aspect waar we eens goed in moeten duiken en waar we zeer waarschijnlijk specialistisch advies goed bij kunnen gebruiken. Maar denken we met ons gezond boeren verstand na en gebruiken we de beschikbare informatie de branche en van het internet dan zijn we al een groot aantal stappen op weg om ook aan deze wet- en regelgeving te voldoen.

Informatiebeveiliging: wet- en regelgeving

Het is maar goed dat het vandaag vrijdag is, want we zijn aanbeland bij een onderwerp dat al snel als erg droog ervaren wordt. De wet- en regelgeving. Ik ben geen jurist dus kan het hier eigenlijk alleen maar over de hoofdlijnen en de mogelijke aanpak hebben. Er wordt dan ook niet ingegaan op allerlei specifieke artikelen en lidnummers. Toch is het een aspect waar we niet aan ontkomen, dus de vraag die we ons moeten stellen is:

Is de wet- en regelgeving, waaraan de organisatie moet voldoen, inzichtelijk?

Een voordeel (of nadeel, het is maar net hoe je er tegenaan kijkt) is dat er niet heel veel expliciete wet- en regelgeving aanwezig is waaraan organisaties moeten voldoen op het gebied van de informatiebeveiliging. Er is een Wet Bescherming Persoonsgegevens, een Telecom Wet, een Wet Computercriminaliteit en misschien kunnen we ook nog wel wat vinden in de Grondwet en de Arbo Wet.

Belangrijk om te onderkennen is dat de wet- en regelgeving niet ons hoofdvakgebied is. We moeten dan ook niet zelf gaan worstelen met allerlei artikelen in de wetten, maar moeten onze juridische afdeling vragen ons te helpen. Net als wij hen helpen bij het inrichten van hun beveiliging.

Wij zijn er verantwoordelijk voor om onze beveiliging zo in te richten dat aan de wet- en regelgeving wordt voldaan. Het lijnmanagement moet ons beleid uitvoeren en er dus voor zorgen dat de medewerkers binnen de kaders blijven en onze juridische afdeling ondersteunt ons bij het inzichtelijk maken van de wet- en regelgeving en met de doorvertaling van al die wetteksten naar onze praktijk situatie.

Hieruit blijkt maar weer dat beveiliging geen losstaand aspect of losstaande afdeling is maar juist goed samen moet werken met andere afdelingen binnen de organisatie. Aan de ene kant met de lijnorganisatie maar juist ook met de andere stafafdelingen. Gezamenlijk moeten we er voor zorgen dat de directie “in control” is, we hebben daarbij allemaal hetzelfde doel (als het goed is) en een andere verantwoordelijkheid. Al die taken en verantwoordelijkheden bij elkaar zorgen voor een succesvolle organisatie…die aan de wet- en regelgeving voldoet.

Wet- en regelgeving

Eerder deze week hebben we al gekeken naar de normen, best practices en richtlijnen uit de branche. Daarmee dekken we al een behoorlijk stuk van de beveiliging af. Toch moeten we ook de wet- en regelgeving in dit geval niet vergeten. Daarom gaan we daar vandaag kort op in.

De negende vraag die we moeten stellen is:
Is de wet- en regelgeving waaraan de organisatie moet voldoen inzichtelijk en kan aantoonbaar worden gemaakt dat hieraan wordt voldaan?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Wees gerust, hier komt geen heel verhaal met allerlei droge tekst en verwijzingen naar artikelen in de wetboeken. Waarom niet? Nou eigenlijk omdat er niet zo gek veel wet- en regelgeving is op het gebied van informatiebeveiliging. Vanuit de Wet Bescherming Persoonsgegevens moeten we het een en ander regelen en daarnaast bestaat er nog zoiets als de Wet op de Computercriminaliteit. Maar goed, als we al serieus bezig zijn met informatiebeveiliging dan voldoen we al aan grote delen van die wetgeving.

Daarnaast kan er vanuit de branche of EU nog aanvullende regelgeving zijn, maar die is dan specifiek voor dat soort organisaties. Zo zullen de banken net iets meer moeten doen dan de bakker op de hoek en gelden er weer andere eisen voor die kerncentrale. De organisaties waar aanvullende regelgeving voor geldt zijn vaak meer gereguleerd en staan onder controle.

Maar, vraag je je misschien af, is er dan niet zoiets als de ARBO-wet voor informatiebeveiliging? Nou, nee, die is er niet. Natuurlijk kunnen we teruggrijpen op allerlei algemene wetgeving die ons verplichtingen oplegt, maar daar moest je toch al aan voldoen, ook zonder informatiebeveiliging.

Met een gezond boerenverstand, algemene normenkaders en best practices zijn wel al een heel stuk op weg. Misschien wil je nog specifiek aandacht besteden aan de Wet Bescherming Persoonsgegevens, maar ook daarvoor zijn er zelfevaluaties beschikbaar.

Wet- en regelgeving kan een droog vakgebied zijn (althans, dat is wat ik nog wel eens hoor). Een geluk bij een ongeluk, maar voor informatiebeveiliging is er niet heel veel specifieke wetgeving beschikbaar. Maar wat niet is kan zeker nog komen, je zult dus wel goed op de hoogte moeten blijven want het kan zomaar veranderen. Maar, als je toch al serieus met het vakgebied bezig bent, dan zul je door die wetgeving niet heel snel worden ingehaald. Wow, we zijn er bijna. Nog een vraag en we hebben alle tien de vragen beantwoord. Op naar vraag 10 dan maar.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.