Introductie op informatiebeveiliging

De IT-notaris is actief op het snijvlak van recht, informatietechnologie en informatiebeveiliging. Dat laatste vakgebied wordt in dit artikel introducerend besproken, waarbij het voornamelijk de bedoeling is geweest om de grote omvang ervan aan te tonen.
In de eerste twee paragrafen van het artikel wordt begonnen met het benoemen van de belangrijkste onderdelen van het informatiebeveiliging. In de daaropvolgende twee paragrafen wordt ingegaan op de (toenemende) verwevenheid van informatiebeveiliging met het vakgebied van het recht. Daarna worden de belangrijkste onderwerpen code voor informatiebeveiliging, een belangrijke praktijkgids voor de informatiebeveiliger, beknopt bestudeerd. In de laatste paragraaf wordt ingegaan op de vraag hoe in samenwerking met de IT-notaris kan worden bijgedragen aan het beveiligen van informatie. Ten slotte is het van belang om op te merken dat in dit document de begrippen Ďinformatie' en Ďgegevens' als synoniem voor elkaar worden gebruikt.
De theoretische kern van informatiebeveiliging
Informatiebeveiliging omvat alle processen en maatregelen die erop gericht zijn om binnen een organisatie de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen. Het beveiligen van informatie rust daarmee op drie pijlers.
Met de eerste pijler van de beschikbaarheid van informatie wordt gedoeld op de mate waarin de informatie voor handen is op het moment dat daar binnen de organisatie behoefte aan is. Dat betekent onder andere dat de informatie continu moet kunnen worden opgevraagd, alsmede dat deze op het juiste tijdstip kan worden ingezien en gebruikt. De pijler van de integriteit (of betrouwbaarheid) van informatie betreft de mate waarin de informatie actueel en zonder fouten is. De pijler van de vertrouwelijkheid omvat de mate waarin de informatie beschikbaar is voor slechts de daarop rechthebbende en de mate waarin de informatie juist ontoegankelijk is voor onbevoegden.
 
Hoewel informatiebeveiliging een breed vakgebied is, wordt in eerste instantie vaak slechts de associatie gemaakt met technische maatregelen. Denk bijvoorbeeld aan een firewall die voor hackers en andere onbevoegden de toegang tot op de computers van een organisatie vastgelegde informatie moet bemoeilijken. De informatie die moet worden beveiligd kan echter ook zijn vastgelegd op papier. Daarnaast kunnen naast technische ook fysieke maatregelen, zoals het afsluiten van een bepaalde ruimte, onderdeel zijn van informatiebeveiliging. Het beleid, het geheel aan contractuele maatregelen en de inrichting van de organisatie welke gericht is of zijn op de bewerkstelliging van de drie hierboven genoemde pijlers, zijn tevens onderdeel van informatiebeveiliging.
Met het grote belang dat informatie tegenwoordig voor een organisatie kan hebben, is ook het belang van informatiebeveiliging gegeven. Zo is de beschikbaarheid van bepaalde informatie van belang voor het uitvoeren van de kernactiviteiten van een organisatie en kan de beschadiging van informatie tot schade leiden. Heden ten dage is informatiebeveiliging dan ook een veelbesproken thema.
Belangrijkste onderdelen van het beveiligen van informatie in de praktijk
Aan het bepalen van de wijze waarop informatie beveiligd dient te worden, ligt in de regel een risicoanalyse ten grondslag. In dat kader wordt een aantal zaken onderzocht. Welke informatie is er bijvoorbeeld binnen de organisatie beschikbaar, en waarvoor wordt deze gebruikt? Wat zijn de gevolgen van verlies en beschadiging van de informatie? Wordt het uitvoeren van de activiteiten van een organisatie bedreigd wanneer de informatie in handen van een onbevoegde komt, en op welke manier gebeurt dat?
Van belang zijn tevens de juridische plichten tot het beveiligen van informatie. Deze plichten vloeien niet alleen voort uit wet- en regelgeving, maar ook uit bepaalde contracten die een organisatie heeft afgesloten. Afgewogen moet ten slotte worden of de mate waarin het waarschijnlijk is dat een incident of calamiteit zich voordoet waardoor de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie gevaar loopt. Het doel van een risicoanalyse is het komen tot de vaststelling van proportionele beveiligingsmaatregelen.
 
Het daadwerkelijk treffen van beveiligingsmaatregelen is de tweede stap binnen het proces van informatiebeveiliging. De maatregelen die worden getroffen, kunnen van verschillende aard zijn. Maatregelen als het voeren van een wachtwoordbeleid hebben een preventief karakter: ze dienen ter voorkoming van een incident. Met een maatregel als het in gebruik nemen van een back-upsysteem echter, wordt correctief gehandeld: de gevolgen van een mogelijk incident kunnen worden hersteld.
De maatregelen kunnen, zoals reeds aangegeven, daarnaast van technische of van fysieke aard zijn. De dreiging die door middel van informatiebeveiliging moet worden beperkt ten slotte, kan ook meerdere vormen aannemen. Van belang is het onderscheid tussen menselijke (zoals de medewerker die een eenvoudig te achterhalen wachtwoord gebruikt) en niet-menselijke dreigingen (zoals wateroverlast door extreme regenval). De vele aandachtspunten en variabelen waarmee rekening moet worden gehouden, maakt dat informatiebeveiliging in sommige gevallen een complexe aangelegenheid is. In de volgende paragrafen wordt hierop nader ingegaan.
Juridische plichten tot informatiebeveiliging: contracten
Informatiebeveiliging en recht zijn vakgebieden die in de huidige informatiemaatschappij steeds vaker samenvloeien. Een belangrijke oorzaak hiervan is dat een organisatie tegenwoordig steeds meer juridische plichten tot het beveiligen van informatie heeft. Die plichten kunnen allereerst bestaan omdat een organisatie deze door het sluiten van een overeenkomst op zich heeft genomen. Dit is onder andere aan de orde bij het contracteren in de IT-wereld, waarbij een dienstverlenende en een afnemende organisatie vaak de contractspartijen zijn. De afnemer van ICT kan bijvoorbeeld, wanneer personeel van zijn dienstverlener werkzaam is binnen zijn organisatie, die dienstverlener verplichten tot het in acht nemen van beveiligingsprocedures en het treffen van beveiligingsmaatregelen.
Belangrijk is ook dat contracten kunnen worden gebruikt om de verantwoordelijkheid voor informatiebeveiliging juist naar de wederpartij toe te schuiven. Zo gebruiken sommige softwareleveranciers hun algemene voorwaarden om aansprakelijkheid voor schade, die ontstaat door het verlies van informatie vanwege fouten in de programmatuur, te beperken of uit te sluiten. Andersom kunnen afnemers met hetzelfde middel de dienstverlener dwingen tot het wel aanvaarden van aansprakelijkheid.
Andere voorbeelden van een contractuele plicht tot informatiebeveiliging zijn het opnemen van een geheimhoudingsplicht in de arbeidsovereenkomsten tussen de organisatie en haar medewerkers en het opnemen van een plicht tot het gebruik van encryptie bij elektronisch communiceren in de contracten tussen de organisatie en haar klanten.
Juridische plichten tot informatiebeveiliging: wet- en regelgeving
Naast de contracten die een organisatie afsluit, is er steeds meer wet- en regelgeving waarmee een plicht tot het beveiligen van informatie in het leven wordt geroepen. Belangrijk is met name de Wet bescherming persoonsgegevens (Wbp). In artikel 13 Wbp is bepaald dat een organisatie die bij het uitvoeren van haar werkzaamheden persoonsgegevens verwerkt, maatregelen ten uitvoer moet leggen om deze gegevens te beveiligen.
De maatregelen moeten, gelet op de risico's die de verwerking en de aard van de persoonsgegevens met zich meebrengen, een Ďpassend' beveiligingsniveau bieden. Aan het inrichten van een beveiliging moet dus een risicoanalyse vooraf gaan. Vervolgens moet de organisatie bij de uiteindelijke vaststelling van de maatregelen rekening houden met de stand van de techniek en de kosten van de tenuitvoerlegging van de maatregelen.
De beveiligingsplicht van artikel 13 Wbp omvat niet alleen het beschermen van de persoonsgegevens tegen verlies, beschadiging of diefstal, maar ook tegen onrechtmatige verwerking. Persoonsgegevens mogen slechts verwerkt worden wanneer daarvoor een wettelijke grondslag aanwezig is, zo blijkt uit de Wbp. Dit betekent bijvoorbeeld dat de adresgegevens die door een organisatie worden verwerkt in het kader van het uitvoeren de overeenkomsten met haar klanten, in beginsel niet ook mogen worden gebruikt voor reclamedoeleinden. Wanneer dat wel zou gebeuren, is sprake van onrechtmatige verwerking zoals bedoeld in artikel 13 Wbp. Dat is tevens het geval wanneer persoonsgegevens onnodig verzameld en verwerkt worden.
 
Het komt met regelmaat voor dat een organisatie persoonsgegevens laat verwerken door een andere partij. Op grond van artikel 14 Wbp heeft de organisatie ook in dat geval de verantwoordelijkheid om er voor te zorgen dat deze andere partij het verwerkingsproces voldoende beveiligt. De organisatie moet aanwijzingen geven, en heeft ook de plicht om toe te zien op de naleving van die aanwijzingen. Door middel van artikel 12 Wbp heeft de wetgever overigens de partij die persoonsgegevens in opdracht van een andere organisatie verwerkt, ook een plicht tot informatiebeveiliging opgelegd. Op grond van deze plicht moet deze partij onder eigen verantwoordelijkheid zorg dragen voor de geheimhouding van de gegevens die hij verwerkt. Hij is dan ook rechtstreeks aansprakelijk wanneer door het voldoen aan deze plicht schade ontstaat voor degene op wie de persoonsgegevens betrekking hebben (vergelijk artikel 49 Wbp).
Naast de Wbp bevat ook de regelgeving die ziet op de fiscale bewaarplicht een verplichting tot het beveiligen van informatie. Het gaat dan om de informatie die van belang is voor de fiscus, zoals de loonadministratie en het grootboek. De meeste organisaties zullen deze informatie gedurende zeven jaar moeten bewaren, omdat hetgeen bepaald is in artikel 2:10 van het Burgerlijk Wetboek op hen van toepassing is. Naast het bewaren ervan, moet de informatie moet bovendien beschikbaar zijn en inzichtelijk kunnen worden gemaakt op het moment dat de Belastingdienst daar om vraagt. Deze voorschriften zien op de (continue) beschikbaarheid van informatie, de eerste pijler van informatiebeveiliging.
Een organisatie moet dus de beveiligingsmaatregelen treffen die aan de beschikbaarheidseisen van de fiscale bewaarplicht voldoen. Het is voor de fiscus tevens van belang dat de informatie die wordt bijgehouden correct is. Dit betekent voor de verantwoordelijke organisatie bijvoorbeeld dat hij ervoor moet zorgen dat het de informatie na de registratie ervan, in beginsel niet meer kan worden gewijzigd of (gedeeltelijk) gewist. Dit kan bijvoorbeeld door de toegang tot de informatie zoveel mogelijk te bemoeilijken voor onbevoegden.
De code voor informatiebeveiliging
De code voor informatiebeveiliging, die wordt uitgebracht door het Nederlands Normalisatie-instituut, bevat aanwijzingen en methoden voor het opzetten, onderhouden en op peil houden van de informatiebeveiliging binnen een organisatie. De code is een belangrijke (internationale) standaard, en hij wordt, zeker in de IT-wereld, veel gebruikt. De code moet worden gezien als een praktijkhandleiding voor het beveiligen van informatie binnen een organisatie. De code schrijft voor dat het voor het succesvol beveiligen van informatie essentieel is dat een organisatie periodiek een risicoanalyse uitvoert. Deze analyse moet de grondslag vormen voor het treffen van de in de code voorgeschreven beveiligingsmaatregelen.
De code beschrijft vervolgens in meerdere hoofdstukken hoe aan informatiebeveiliging concreet gestalte moet worden gegeven. Om een indruk te kunnen geven van de breedte van het vakgebied van informatiebeveiliging, worden de in de code voorgeschreven stappen beknopt benoemd. Allereerst moet een raamwerk worden opgezet waarmee de implementatie van de te nemen maatregelen kan worden geÔnitieerd en gecontroleerd. In dat kader moeten bijvoorbeeld personen worden aangewezen die voor de beveiliging van informatie verantwoordelijk zijn en moeten de benodigde (financiŽle) middelen beschikbaar worden gemaakt.
In het daaropvolgende hoofdstuk wordt beschreven hoe de te beveiligen informatie geclassificeerd moet worden. De ernst van de te nemen maatregelen hangt immers onder andere samen met het belang van de informatie: welke risico's zijn nog acceptabel? Daarnaast moet worden bekeken hoe welke maatregelen moeten worden genomen op grond van daartoe strekkende juridische plichten. Het volgende hoofdstuk van de code richt zich op het voorkomen van (interne) menselijke dreigingen. De medewerkers van de organisatie moeten bijvoorbeeld bewust worden gemaakt van het belang van informatiebeveiliging.
Hierna wordt beschreven hoe met fysieke maatregelen als het plaatsen van een hekwerk (de omgeving van) het pand waarin de informatie zich bevindt kan worden afgeschermd. Daarna laat de code zien op welke manier de processen van gegevensverwerking kunnen worden beschermd. Een voorbeeld hiervan is het periodiek maken van back-ups en het zorgen voor voldoende opslagcapaciteit. Met het benoemen van maatregelen als een identificatieplicht en een wachtwoordsysteem vervolgens, wordt in de code beschreven hoe de toegang tot informatie kan worden gereguleerd. Voorts wordt ingegaan op de handelingen die moeten worden verricht om het gebruik van (geautomatiseerde) informatiesystemen zo veilig mogelijk te maken. Een voorbeeld hiervan is het opzetten van een escrowregeling om de continuÔteit van het gebruik van de software waarmee de informatie wordt verwerkt, te kunnen waarborgen.
In de volgende twee hoofdstukken wordt uitgelegd hoe men het beste maatregelen kan treffen om de gevolgen van incidenten, calamiteiten en (tijdelijk) falen van informatiesystemen te voorkomen en te beperken. In het laatste hoofdstuk van de code voor informatiebeveiliging wordt ten slotte beschreven hoe men kan controleren of de genomen beveiligingsmaatregelen beantwoorden aan de van toepassing zijnde regelgeving, (juridische) verplichtingen en standaarden.
Rol IT-notaris
De IT-notaris biedt diensten die kunnen bijdrage aan het beveiligen van informatie binnen de organisatie van zijn cliŽnten. Het belangrijkste voorbeeld daarvan is de notariŽle software escrowregeling, die met name kan worden geschaard onder de beschikbaarheidspijler van informatiebeveiliging. De beschikbaarheid van software is namelijk onlosmakelijk verbonden met de beschikbaarheid van de (digitale) informatie welke met die software kan worden uitgelezen en verwerkt. De escrowregeling kan daarmee bijdragen aan het voldoen van wettelijke plichten, zoals die bijvoorbeeld zijn neergelegd in de Wbp en de regels omtrent de fiscale bewaarplicht. Hoewel de IT-notaris als jurist geen uitgebreide kennis van informatiebeveiliging heeft, beschikt hij niettemin over een uitgebreid netwerk van vakbekwame specialisten die hem en zijn cliŽnten kunnen ondersteunen. Hierdoor sluit de dienstverlening van de IT-notaris goed aan bij de elkaar vlot opvolgende ontwikkelingen in dit vakgebied.
 
Geraadpleegde relevante literatuur
  1. ISO-IEC 27002 'Code voor informatiebeveiliging' - Nederlands Normalisatie-instituut 2007.
  2. H. Baars e.a., ĎBasiskennis Beveiligen van Informatie', Platform voor Informatie Beveiliging 2008. Vindplaats: http://www.ibpedia.nl/images/8/83/Basiskennis_beveiligen_van_informatie_18e.pdf