Lessen over datalekken
De afgelopen weken hebben we ons keer op keer verbaasd over de aard en omvang van de datalekken bij de GGD’s. Inmiddels hebben de eerste arrestaties plaatsgevonden.
Ook zijn inmiddels maatregelen getroffen om het risico van datalekken in de toekomst te beperken. Er worden nu volop VoG’s opgevraagd, autorisaties zijn ingeperkt, de export-knop en de print-knop zijn uitgeschakeld. Maar dit is natuurlijk vooral achterstallig onderhoud. Natuurlijk moeten we niet uit het oog verliezen dat CoronIT en HPZone Lite door de GGD’s met stoom en kokend water voor het corona-testproces werden ingezet. En de plotselinge massaliteit maakte het blijkbaar moeilijk om alles netjes in te richten. Maar dan nog, het is achterstallig onderhoud, want wat nu fout bleek, was dus al langer fout.
Historisch besef
“Focus was steeds op wat er allemaal mogelijk is met data, niet op wat er niet zou moeten kunnen. Dat is wel belangrijk”, aldus een politicus tijdens het GGD Tweede Kamerdebat op 3 februari.
En dat is een interessante constatering. Deze politicus heeft wel begrepen dat wat ooit kon, nu misschien eigenlijk niet zou moeten mogen. Misschien had wel nooit gemogen…
Laten we voorop stellen dat inderdaad niet alles perfect kan of hoeft te lopen. Voor ons als buitenstaanders is het niet makkelijk om vast te stellen wat er in de informatievoorziening is fout gegaan. Wij kunnen niet bepalen hoe autorisaties eruit moeten zien.
Voorbeeld:
Het is volstrekt valide dat het voor bron- en contactonderzoek goed is als een onderzoeker in bestanden kan rondkijken. Maar dan wordt het spannend. Dat rondkijken moet wel mogen. Het moet noodzakelijk zijn. Er moet ook een grondslag voor zijn. En dat betekent al dat er nagedacht moet zijn over de manier om het proces uit te voeren. Iemand moet hebben nagedacht over het proces en de regels bepaald hebben voor het proces. En dat is de Governance vraag. Wie mag wat en waarom is dat zo?
Moeilijk
En dan deze:
“Het moet toch niet zo moeilijk zijn één systeem te maken dat regelt dat alleen bevoegden toegang hebben tot data?”, aldus een politicus in het GGD debat….
Tsja, eigenlijk verklaart dit zoveel: Hier heerst een volkomen onbegrip over wat er kan, wat er mag en wat we willen. ‘Het is niet zo moeilijk om’ is de kern van het probleem waarom het nu juist zo vaak fout gaat. In de praktijk merken we namelijk dat ‘Het is niet zo moeilijk’ in feite neerkomt op Organizational Change. En daar zijn weinig organisaties klaar voor.
In mijn optiek moeten we werken aan Access Governance. We moeten op een fatsoenlijke manier beheersen, besturen en verantwoording afleggen over wie nu wat mag met systemen en gegevens, en vooral waaróm iemand dat zou moeten mogen. Die waarom-vraag is cruciaal om het vraagstuk van toegang te kunnen beoordelen. Maar dat probleem wordt vaak niet onderkend en dan komt het knelpunt vaak terecht bij de ICT-afdeling. Die het vervolgens niet alleen kan oplossen..
Hoe nu verder
Overigens is het wel mogelijk om één systeem te maken dat regelt dat alleen bevoegden toegang hebben tot data. Dat is qua concept echt wel te doen, die techniek bouwen we zelfs al, we bieden de techniek zelfs als een clouddienst en helpen ook om die architectuur te integreren!
Maar inrichting van Access Governance is niet eenvoudig. Zoals ik in mijn vorige blog schreef, is het een business verantwoordelijkheid. En die los je met alleen techniek niet op. Daarom hebben wij businessconsultants die ook daarbij kunnen helpen.
PS: Ik zal een volgende keer dat concept wel even uit de doeken doen. Dat is niet zo moeilijk.