Vragen de nieuwe tijden om meer samenwerking tussen mensen, systemen, bedrijven en de overheid?
De publieke opinie over de inlichtingendiensten verandert snel. “Als Edward Snowden in het nieuws is, maakt iedereen zich zorgen dat de geheime diensten te veel informatie verzamelen. Maar als er een terroristische aanslag in Europa plaatsvindt, zijn mensen bang dat Nederland te weinig doet om dat hier te voorkomen.” Dat zei minister Plasterk tijdens een toespraak op de universiteit van Amsterdam, in het kader van het Nederlandse Voorzitterschap van de EU. “De juiste balans tussen veiligheid en privacy vinden is daar verreweg het moeilijkst aan,” zegt Plasterk. “Je zou kunnen zeggen dat er geen tegenstelling tussen die twee bestaat. Privacy is een mensenrecht, maar veiligheid is een basisvoorwaarde om daarvan te kunnen genieten.” Het is dan ook noodzaak dat we een juiste balans vinden tussen deze twee thema’s.
De GDPR1 en Wiv2 vragen om meer samenwerking tussen bedrijven en overheden in Nederland.
Technologische ontwikkelingen zullen een verandering in het gedrag van mensen in zowel hun werk als privéomgeving teweegbrengen.
Transparantie tussen mensen, bedrijven en overheden om burgers te beschermen is niet te voorkomen.
Verandering in technologie betekent meer samenwerking tussen burgers en overheden.
Snellere ontwikkelingen in technologie vereisen snellere, gestandaardiseerde Agile-ontwikkelingen van Security IT-oplossingen, in het bijzonder geautomatiseerde security software.
Niet-functionele oplossingen in IT worden belangrijker.
De kwetsbare balans tussen veiligheid en privacy
Wettelijk gezien wordt onze privacy sinds 25 mei 2018 vertegenwoordigd door de wet Algemene verordening gegevensbescherming (AVG, ook wel GDPR3 genoemd). Zoals waarschijnlijk reeds bekend, is het primaire doel van deze wetgeving het beschermen van persoonlijke gegevens. Veiligheid wordt beschermd door de Wet op inlichtingen- en veiligheidsdiensten (Wiv) in de volkmonds ‘sleepwet’ genoemd. Deze wet geeft de AIVD4 en MIVD5 modernere bevoegdheden om informatie op dreiging (bijvoorbeeld aanvallen van (cyber) terroristen) te onderzoeken maar waarborgt ook het recht op privacy.
Beide wetten, zowel de GDPR als de Wiv, zullen tijdens de implementatie gebruik moeten maken van security IT-oplossingen. Deze oplossingen gaan gepaard met diverse uitdagingen. Het doel van dit artikel is om te onderzoeken hoe we onze burgers de komende jaren gaan beschermen en hoe we hun privacy kunnen waarborgen. Een aantal vragen staat hierin centraal:
Hoe kunnen EU-landen de privacy en veiligheid van alle EU-burgers en EU-landen in de komende 5 jaar waarborgen?
Hoe gaan mensen en technologie zich ontwikkelen in de komende 5 jaar?
Welke impact hebben de GDPR en de Wiv op de verandering van mensen en technologie en hoe gaan security IT-oplossingen hierop aangepast worden?
Nieuwe wetten, wat betekent het voor ons?
GDPR: nieuwe privacywetgeving
De GDPR definieert belangrijke principes om de privacy van persoonlijke data te waarborgen. Het gaat er in eerste instantie om dat persoonlijke data op een rechtmatige, eerlijke en transparante manier verwerkt wordt in relatie tot personen waar de data betrekking op hebben. Daarnaast dient er sprake te zijn van adequate beveiliging van persoonlijke data. Data mag alleen worden opgeslagen en worden gebruikt als dit noodzakelijk is en uitsluitend beschikbaar is voor medewerkers die de data nodig hebben voor bedrijfsdoeleinden. Tevens mag persoonlijke data alleen worden gebruikt voor duidelijke en rechtmatige doelen en mag persoonlijke data niet langer worden opgeslagen dan noodzakelijk is. Toegang tot persoonlijke data is onder deze wetgeving dan ook alleen mogelijk na toestemming van de personen zelf.
Wiv: De Wet op de inlichtingen- en veiligheidsdiensten
De Wet op de inlichtingen- en veiligheidsdiensten uit 2002 is beperkt in zijn mogelijkheden. Met alleen de traditionele inlichtingenmethoden als volgen, observeren, het opvangen van telefoongesprekken uit de ether, van radioverkeer en het gericht afluisteren, dreigt de AIVD informatie te missen. De nieuwe Wiv (2017) geeft de AIVD modernere bevoegdheden om informatie op dreiging te onderzoeken en waarborgt het recht op privacy. Deze gaan hand in hand met betere controles. Dit gebeurt vooraf, tijdens én achteraf. Gegevens mogen alleen worden verzameld en bewaard als die verband houden met de onderzoeken waartoe de regering opdracht heeft gegeven. Andere informatie mag niet door de AIVD worden verzameld of opgeslagen.
Terroristen, extremisten en spionnen gebruiken chatapplicaties en communicatiemiddelen zoals WhatsApp, Telegram of Signal. Deze applicaties wisselen versleuteld informatie uit. De regering van de Verenigde Staten heeft al geprobeerd een manier te ontwikkelen om toegang te verkrijgen tot versleutelde informatie, echter zonder succes6. Om deze reden richt de Wiv zich in eerste instantie niet op versleutelde informatie maar op metagegevens.7
GDPR en Wiv: Security IT-oplossingen
In de praktijk betekent dit dat security IT–oplossingen enerzijds de informatievraag zullen moeten ondersturen voor onderzoeken, en anderzijds de privacy zullen moeten waarborgen. Dit betekent dat de Wiv eisen gaat stellen aan de (meta)gegevensverzameling voor onderzoeken. Tegelijkertijd gaat de GDPR eisen stellen aan de bescherming van de toegang tot persoonlijke data en zullen zij zich meer gaan focussen op bewijsmateriaal van deze bescherming.
Er wordt een algemene security IT-oplossing verwacht voor de Wiv met de AIVD-en MIVD-medewerkers als eindgebruikers. Elk bedrijf heeft zijn eigen GDPR security IT-oplossing nodig die met een extern certificeringsproces moet worden goedgekeurd. Bedrijven die niet door deze keuring heenkomen of slachtoffer worden van beveiligingsinbreuken kunnen boetes tot 20 miljoen of 4% van hun totale omzet verwachten. Hierin is de Nederlandse Regering verantwoordelijk om een goede balans tussen veiligheid en privacy (persoonlijke data en business gegevens) te creëren.
Alle security IT-oplossingen voor GDPR hebben hetzelfde doel (waarborgen van privacy), deze doelstelling is anders dan die van de Wiv. Beide IT-oplossingen moeten desalniettemin op het fysieke Internet als geheel kunnen meedraaien. Tegenwoordig ontwikkelt de technologie zich razendsnel. Dit betekent: meer applicaties, nieuwe machines en computers die op het internet worden aangesloten. Het gevolg hiervan is dat het internet als maar groter en groter wordt. Gepaard hiermee gaat dat het aantal technologische oplossingen ook steeds groter wordt en zich sneller zullen gaan ontwikkelen. Als reactie hierop is het belangrijk dat de GDPR en Wiv security IT-oplossingen mee ontwikkelen. Voor ons beeld is het daarom ook interessant om kort in te gaan op de technologische ontwikkelingen waar wij als maatschappij de komende jaren mee te maken gaan krijgen. Nog interessanter is hoe wij hiermee om zullen gaan in de toekomst.
Technologische ontwikkelingen
De nieuwe technologische ontwikkelingen zijn bijna niet bij te benen. Het is in het huidige tijdperk van wezenlijk belang om op korte termijn vooruit te kunnen kijken, iets waar men 50 jaar geleden nog helemaal niet mee bezig was. We leven in een hele dynamische en innovatieve omgeving waar veel technologische ontwikkelingen op ons pad komen. Als we naar de toekomst kijken, zien we in de komende 5 jaar verschillende technologische trends8 :
Sneller en complexere mogelijkheden om meer relaties tussen (nog meer) Big Data te analyseren.
Deze trends zullen gaan zorgen voor veranderingen in onze omgeving, iets waar wij ons aan moeten aanpassen. De evolutietheorie van Darwin is al 150 jaar oud, maar vandaag de dag nog steeds actueel. De theorie legt uit hoe planten, dieren en zelfs de mens zijn ontstaan uit een voorouder en zich dankzij natuurlijke selectie aan hun omgeving hebben aangepast9. Wij zijn in de veronderstelling dat technologie ook een verandering in de omgeving teweegbrengt, wat betekent dat ons gedrag hierop aangepast moet worden (forceren en of faciliteren). Verandering in ons gedrag kan echter sneller plaatsvinden dan verandering in onze genen. Wij denken dat mensen in tegenstelling tot andere dieren een proactieve keuze kunnen maken als het gaat om hun gedrag in een omgeving.
De vraag is hoe gaan wij hier als maatschappij mee om. Deze technologische ontwikkelingen zouden bijvoorbeeld ingezet kunnen worden om de inlichtingenmethoden van de overheid te verbeteren en zo de nationale veiligheid te waarborgen. Natuurlijk is er ook een keerzijde aan deze medaille en dat betreft het thema privacy, hoe ver mag de overheid hierin gaan?
Meer openheid en gestandaardiseerde security IT-oplossingen
Hoe kunnen EU-landen de privacy en veiligheid van alle EU-burgers en EU-landen in de komende 5 jaar waarborgen?
EU-landen worden door regelgeving steeds meer gestuurd om hun persoonsgegevens te beschermen op het Internet. Naast het beschermen wordt het aantonen van degelijke bescherming in de lidstaten ook steeds belangrijker. Niet alleen security IT-oplossingen zullen centraal komen te staan om persoonsgegevens te beschermen, security IT-oplossingen zullen ook belangrijker gaan worden voor de opsporing van terroristische aanvallen (en ook cyberterreur). Deze oplossingen, gebruikmakend van metadata en persoonlijke data, kunnen namelijk toekomstige aanvallen voorspellen, waardoor de AIVD een stap voor zou zijn op de terroristen. Een belangrijke uitdaging van de Wiv echter blijft de toestemming en toegang tot gedecodeerde persoonlijke data.
Alle security IT-oplossingen voor GDPR en Wiv moeten onzichtbaar meedraaien op het internet. Zij dienen flexibel, snel en makkelijk te veranderen te zijn omdat de risico’s en potentiële bedreigingen aan verandering onderhevig zijn. Een gestandaardiseerde methode van alle oplossingen (algemene IT- en security IT-oplossingen) is niet te voorkomen omdat dit de enige manier is om aan de oplossingseis van efficiëntie, snelheid en hoge kwaliteit te voldoen. Een belangrijk onderdeel voor het ontwerp en ontwikkeling van alle security IT-oplossingen (en gewone IT-oplossingen) zijn de niet-functionele eisen.10 Voorbeelden zijn betrouwbaarheid, bruikbaarheid, compatibiliteit, onderhoudbaar, overdraagbaarheid en performance11.
Hoe gaan mensen en technologie zich ontwikkelen in de komende 5 jaar?
De technologie zal meer taken van mensen, in het bijzonder in een werkomgeving, overnemen. De technologieën worden ingewikkelder maar tegelijkertijd ook gebruikersvriendelijker. Er gaat tevens meer interactie tussen mensen en technologie ontstaan. Aan de ene kant is het belangrijk dat mensen bewuster worden van alle apparaten die wij aan het internet hangen (IoT), de security van deze apparaten is namelijk niet altijd even veilig. Aan de andere kant is het de taak aan de producenten van deze IoT-apparaten om een faciliterende rol in te nemen in de security van hun producten. Voorbeelden hiervan zijn algemene kennis over het beheer van wachtwoorden, veilig programmeren, het managen van OS Patches12 en bijvoorbeeld beveiligd controleren en monitoren met IoT-devices.
Welke impact hebben de GDPR en de Wiv op de verandering van mensen en technologie en hoe gaan security IT-oplossingen hierop aangepast worden?
Security IT-oplossingen moeten zich snel kunnen aanpassen (verbeteren en versterken) aan de veranderingen in bijvoorbeeld beveiligingsdreigingen en kwetsbaarheden. Dit is analoog aan de continue ontwikkeling en implementatie van software met een Agile-methode. Een belangrijk onderdeel hiervan is geavanceerdere geautomatiseerde beveiligingssoftware om zo bestaande en oude IT-oplossingen te ondersteunen.
Kortom: de technologie ontwikkelt zich in een rap tempo waardoor ons IT-landschap aan verandering onderhevig is. Een mindset van openheid tussen burgers en overheid over gedrag en effect van security IT-oplossingen is noodzakelijk. Dit betekent niet dat er volledige transparantie nodig is in bijvoorbeeld persoonlijke of business gerelateerde data. Dit betekent echter wel dat er transparantie nodig is over het wat, waar en wanneer van de verwerking van data. Dit is de enige manier om van fouten te leren en om security IT-oplossingen te verbeteren maar ironisch genoeg ook om mensen en hun gegevens te beschermen. Not Big Brother13 is de toekomst!
Algemene verordening gegevensbescherming (General Data Protection Regulation), vanaf 25 mei 2018.
Wet op de Inlichtingen- en Veiligheidsdiensten (Sleepwet, Sleepnet of Aftapwet), vanaf 1 mei 2018.
General Data Protection Regulation
Algemene Inlichtingen- en Veiligheidsdienst, doet in binnen- en buitenland onderzoek om tijdig dreigingen en risico’s te onderkennen voor de nationale veiligheid.
Militaire Inlichtingen- en Veiligheidsdienst, levert inlichtingen- en veiligheidsinformatie aan de 4 krijgsmachtdelen van Defensie.
Snel in berekenen en ter beschikbaar stellen van gegevens en informatie. De prestaties in verhouding tot de hoeveelheid middelen gebruikt onder genoemde condities.
Het installeren van oplossingen tegen security kwetsbaarheden in besturingssystemen zoals Windows en Unix.
De bedoeling hier is tegenovergesteld dan dictaturen zoals 1984 van George Orwell https://en.wikipedia.org/wiki/Big_Brother_(Nineteen_ Eighty-Four).
