Bert-Jaap Koops homepage - publications

verschenen in Informatiebeveiliging praktijkjournaal (uitgeverij ten Hagen & Stam) 1998/5, pp. 9-11

Dit artikel mag niet worden verspreid of vermenigvuldigd zonder toestemming van de auteur. Het uitprinten van één copie voor persoonlijk gebruik is toegestaan. Citeren met bronvermelding.

Gegevensbeveiliging op de werkplek

Wie op zijn werk een computerdagboek bijhoudt met soms wat minder vriendelijke opmerkingen over collega's, doet er goed aan dat dagboek te beveiligen. Immers, achterdochtige collega's kunnen op jacht gaan op de harde schijf als je even op vacantie bent. De ambtenaar in Emmen die dit twee jaar geleden overkwam, bleek zijn gegevensbeveiliging niet op orde te hebben, met boze collega's en een ander carrièreperspectief als gevolg. Nu is beveiliging van privégegevens op de zaak een uitzonderlijk geval - maar bescherming van bedrijfsgegevens is dat allerminst. In veel gevallen is de beveiliging van gegevens een zinvol of zelfs noodzakelijk onderdeel van een beveiligingsbeleid op de werkplek. Aan de andere kant kan het 'te goed' beveiligen van gegevens ook problemen opleveren als er iets misgaat. In dit artikel ga ik in op de juridische kant van gegevensbescherming op de werkplek: in welke gevallen is beveiliging van gegevens juridisch aangewezen, en met welke justitiële aspecten moet een bedrijf rekening houden als hij encryptie gebruikt?

Gegevensbeveiliging

Als onderdeel van een informatiebeveiligingsplan is gegevensbeveiliging een belangrijk middel. Beveiliging van gegevens zelf is een aanvulling op fysieke beveiliging van de werkplek (bijvoorbeeld een pasjessysteem dat de toegang bewaakt) en organisatorische maatregelen (zoals autorisatieprocedures die bepalen welke werknemers toegang hebben tot welke gegevens). Zo'n extra beveiliging is met name van belang bij gevoelige gegevens waarvan de integriteit en vertrouwelijkheid essentieel zijn voor de bedrijfsvoering.

Gegevens kun je beschermen met encryptie: het versleutelen van de gegevens zodat onbevoegden er geen kennis van kunnen nemen. Hiervoor zijn uitstekende en vrijwel onkraakare cryptografische systemen ontwikkeld, zoals DES, RC-5 en IDEA. Sommige crypto-producten zijn zelfs publiek beschikbaar, zoals Blowfish en het op Internet populaire Pretty Good Privacy. De veiligheid hangt af van de sleutellengte (hoe langer de sleutel, hoe moeilijker de gegevens te kraken zijn) en vooral van het sleutelgebruik. Sleutels van 56 bits zijn voor veel toepassingen nog afdoende; voor kritieke toepassingen kan men beter triple-DES (112 bits) of 128-bits IDEA gebruiken. Lange sleutels hebben echter alleen zin als de gebruiker daarmee zorgvuldig omgaat - wie een simpel te raden wachtwoord kiest om de sleutels beveiligd op te slaan of wie zijn sleutels laat slingeren kan net zo goed zwakke encryptie gebruiken. Ook hierbij moeten dus organisatorische maatregelen (zoals het controleren van wachtwoordgebruik) de technische gegevensbeveiliging ondersteunen.

Cryptografie heeft naast vertrouwelijkheid nog een andere belangrijk doel: het waarborgen van integriteit en authenticiteit. Met cryptografie kun je een digitale handtekening zetten op berichten of documenten, waardoor de ontvanger zeker weet dat het bericht ongeschonden en authentiek is. Dit is niet alleen van belang in het elektronisch handelsverkeer, maar ook bij langdurige digitale opslag van documenten met een bewijsfunctie.

De wet spreekt

In veel gevallen is het logisch dat een bedrijf gegevens beveiligt. Dat ligt voor de hand bij gevoelige bedrijfsgegevens - van onderzoeksgegevens, fusiebesprekingen en personeelsgegevens tot de reisagenda's van directeuren die bloot staan aan ontvoeringsdreiging. Dat geldt ook voor intra- en extranetten en zeker voor Virtual Private Networks (een intranet via Internet) waar gegevens op staan die niet buiten het bedrijf bekend mogen raken; een firewall alleen geeft daartoe niet altijd afdoende bescherming. Ook voor thuis- en telewerkers is beveiliging van bedrijfsgegevens aangewezen - zeker als zij gegevens thuis opslaan (denk aan de Officier van Justitie bij wie thuis vijftig diskettes werden ontvreemd).

Maar in bepaalde gevallen verplicht de Nederlandse wetgeving zelfs tot gegevensbeveiliging. Dat is vooral het geval bij opgeslagen persoonsgegevens (dat wil zeggen gegevens die herleidbaar zijn tot individuele personen). De Wet Persoonsregistraties (Wpr) eist 'de nodige voorzieningen van technische en organisatorische aard' ter beveiliging van persoonsgegevens die in een registratie zijn opgenomen. Afhankelijk van de gevoeligheid van de gegevens, de inbraak- en slordigheidsrisico's en het soort bedrijf betekent dit dat de gegevens moeten worden beveiligd met adequate toegangscontrole en mogelijk ook met versleuteling. Ook de Wet Bescherming Persoonsgegevens (WBP), die binnenkort de Wpr zal vervangen, kent een soortgelijke bepaling, waarvan de reikwijdte nog wat ruimer is, omdat het in de WBP gaat om elke vorm van verwerking van persoonsgegevens, niet alleen de registratie ervan. Voor specifieke toepassingen, met name binnen de overheid, gelden nog aanvullende regelingen voor informatiebeveiliging.

Wil een bedrijf stappen kunnen ondernemen tegen digitale inbrekers, dan moet het bedrijf tenminste een beveiliging hebben aangebracht. Bij de Wet computercriminaliteit uit 1993 is hacken ('computervredebreuk') namelijk alleen strafbaar gesteld voorzover daarbij 'enige beveiliging' is doorbroken. De wetgever heeft expliciet voor deze vorm gekozen om bedrijven ertoe aan te zetten de geautomatiseerde systemen te beveiligen. Dat hoeft geen zware beveiliging te zijn - een simpele vorm van toegangscontrole met wachtwoorden volstaat om indringers strafbaar te maken.

Een andere bepaling uit de Wet computercriminaliteit bevat een verplichting voor de accountant om in zijn verslag aan de Raad van Commissarissen en aan het besuur melding te maken 'van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking'. (Aanvankelijk werd voorgesteld een dergelijke melding in de accountantsverklaring op te nemen, maar daar zag de wetgever van af om te voorkomen dat zwakke plekken in de informatiebeveiliging publiekelijk zouden worden tentoongesteld.) Dit geeft overigens geen aanleiding tot uitgebreid zelfstandig onderzoek door de accountant: alleen de sterke en zwakke punten in de beveiliging die hij tegenkomt bij zijn controle van de jaarrekening zal hij vermelden in zijn verslag.

Voor wie zich afvraagt hoe deze aanbevelingen zich verhouden tot de ook wel geuite wens van de overheid om encryptie aan banden te leggen vanwege de opsporing, past een geruststelling. De Nederlandse overheid heeft al enige tijd het standpunt dat het gebruik van encryptie vrij zal blijven.

Té goed beveiligd?

Wie aanleiding ziet in de wettelijke aansporingen om bedrijfsgegevens te beveiligen en daarvoor grootschalig encryptie gaat toepassen, moet zich wel bewust zijn van een risico. Zoals gezegd is encryptie - bij goed gebruik - vrijwel onkraakbaar. Dat is natuurlijk ook de bedoeling. Maar wat gebeurt er als de decryptiesleutel om die belangrijke gegevens te ontsleutelen niet meer beschikbaar is? Mogelijk crasht de harde schijf waarop de sleutels zijn opgeslagen of verdwijnt de chipkaart met de sleutel naar een zakkenroller. Misschien vertrekt de verantwoordelijke werknemer plotsklaps naar de concurrent of belandt hij onder de trein, of misschien vernietigt een pas ontslagen werknemer uit balorigheid de sleutels. De kans op deze rampen is klein, maar het verlies kan groot zijn. Niet alleen kan de bedrijfsvoering schade oplopen, maar ook kunnen de werkgever en de werknemers hierdoor in justitieel vaarwater komen.

Dat is ten eerste het geval bij controle door bijzondere opsporingsdiensten. De FIOD en de Economische Controledienst kunnen bijvoorbeeld inzage verlangen in de administratie. Het bedrijf dient in dat geval de administratie in leesbare vorm ter beschikking te stellen. Indien de boeken versleuteld zijn opgeslagen in de computer, dient het bedrijf deze te ontsleutelen. Als dat niet mogelijk is, belemmert het bedrijf de controlemogelijkheden en wacht hem mogelijk een fikse fiscale boete (of misschien zelfs drie maand cel wegens het niet voldoen aan een ambtelijk bevel).

Eenzelfde verplichting tot het aanleveren van gegevens kan zich voordoen bij de opsporing van strafbare feiten, bijvoorbeeld als de politie een bedrijf verdenkt van belastingfraude. Tijdens een huiszoeking kan de politie onderzoek doen in de aanwezige computers en in de computernetwerken waarmee die gewoonlijk verbonden zijn. Blijkt nu dat de toegang tot de computers of de gegevens zelf beveiligd zijn, dan kan de politie het bevel geven om de beveiliging ongedaan te maken. Dat bevel kan worden gericht aan eenieder van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van beveiliging - in veel gevallen de systeembeheerder of de reguliere gebruiker van de bewuste computer. (Het bevel kan overigens niet aan verdachten worden gegeven, om te voorkomen dat die gedwongen zouden worden mee te werken aan hun eigen veroordeling.) Als dan blijkt dat de decryptiesleutels niet beschikbaar zijn, heeft de werknemer of de werkgever een probleem. (De politie trouwens ook.)

Om dergelijke problemen te voorkomen (waarbij het risico voor de continuïteit van de bedrijfsvoering groter is dan het risico van niet kunnen voldoen aan eventuele justitiële bevelen), doet een bedrijf dat encryptie toepast er goed aan na te denken over mogelijkheden om de oorspronkelijke gegevens te achterhalen als de decryptiesleutel niet beschikbaar is. Dat kan bijvoorbeeld door een backup van de gegevens in de kluis te leggen. Er worden ook systemen ontwikkeld voor 'gegevensherwinning' (data recovery), waarbij door technische trucs wordt gewaarborgd dat versleutelde gegevens alsnog te achterhalen zijn. Een interne afdeling van het bedrijf kan optreden als 'herwinningsafdeling' die erop toeziet dat bij elke vorm van gegevensversleuteling de procedures voor gegevensherwinning worden nageleefd. Hierbij dient echter wel een afweging gemaakt te worden tussen enerzijds het risico van niet meer toegankelijke gegevens en anderzijds het risico van een extra toegangsmogelijkheid. Want als de herwinningsafdeling bij de gegevens kan, is dat weer een extra schakel in de beveiligingsketen die aangevallen kan worden.

Conclusie

Als onderdeel van een informatiebeveiligingsbeleid op de werkplek is gegevensbeveiliging een belangrijk middel. In sommige gevallen verplicht of stimuleert wetgeving om gegevensbeveiliging toe te passen, met name bij persoonsgegevens. Het nadeel van 'té' sterke gegevensbeveiliging is echter dat de gegevens verloren kunnen gaan als door omstandigheden de sleutels niet meer beschikbaar zijn. Dat is niet alleen lastig, maar ook gevaarlijk als het bedrijf in aanraking komt met controle- of opsporingsinstanties die inzage in gegevens eisen. Bedrijven die overgaan tot versleuteling van de gegevens zouden daarom moeten nadenken over eventueel gebruik van gegevensherwinningstechnieken, waarbij zij een afweging moeten maken tussen het risico van nooit meer toegang en het risico van extra toegang.

Bert-Jaap Koops is senior onderzoeker bij het Centrum voor Recht, Bestuur en Informatisering van de Katholieke Universiteit Brabant. Email <e.j.koops@kub.nl>.