Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/4.9
4.9. Naar een algemene privacybedreigings- en -risicoanalyse
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS580021:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Tettero, 2000, p. 19: informatie beveiliging bestaat uit een complexe hoeveelheid maatregelen die de vereisten voor vertrouwelijkheid, integriteit en beschikbaarheid van het informatiesysteem op een adequate wijze waarborgen.
Privacy Incorporated Software Agent (PISA), EU research project RTD IST-2000-26038 (Brussels 2003).
Tettero, 2000, p. 33: 'Within scientific research, CRAMM is used more often than MARION (MARION 1983, Méthode d'Analyse de Risques Informatiques Optimisée par Niveau, by Club de la Sécurité Informatique Francais) as reference material.'
www.ssi.gouv.fr/site_documents/ITSEC/ITSEC-uk.pdf.
Van Blarkom, Borking & Olk, 2003, p. 22-28.
011e, Sol & Verrijn-Stuart, 1988.
Tettero, 2000, p. 2: 'Information security is employed to prevent valuable things, called assets, from being damaged or to minimize the likelihood of damage. Examples of assets are buildings, a business strategy, customer data, network components (for example, routers and file servers), perronnel, products and information about assets'.
Voor meer informatie over de risico weging en calculatie: Fischhoff, e.a., 1981.
Tettero, 2000, p. 21.
Borking e.a., 2001, p.18.
Van Blarkom, Borking & Olk. 2003, p. 23.
Tettero, 2000, p. 112: ' The risk analysis is not only focused on the technical system. The risks for the User Organization, the stakeholder, are analyzed too'.
Er zijn veel methoden om privacybedreigingen en risico's te analyseren. In dit hoofdstuk zijn inmiddels ter beantwoording van de derde onderzoeksvraag vijf methoden om privacybedreigingen en -risico's in kaart te brengen, besproken. In de paragrafen 4.2 tot en met 4.4 is de methode van de registratiekamer/CBP behandeld, in paragraaf 4.5 de terugkoppelingsmethode van Belotti & Sellen, in paragraaf 4.6 de risicocalculatie van Hong, in paragraaf 4.7 de bedreigingswereld van Solove, en in paragraaf 4.8 de privacy impact analyse (PIA) van de federale Canadese overheid. Geen van deze methoden geeft voldoende vertrouwen om er als ontwerper vanuit te kunnen gaan dat de privacybedreigingen afdoende in kaart zijn gebracht. De PIA lijkt het dichtst bij de volledige opsomming van privacyrisico's te komen.
Hieronder bespreek ik nog drie veelbelovende methoden, te weten in deze paragraaf de gecombineerde BSI-standaard 7799, CCTA- en ITSEC-aanpak, in paragraaf 4.10 de pentagonale PISA-analyse en in paragrafen 4.11 tot en met 4.14 de bedreigingsontologie van Little & Rogova.
Omdat binnen de privacybescherming, informatiebeveiliging1 een belangrijke component vormt, is in het EU PISA-project2 gepoogd een algemene privacybedreigingsanalyse te ontwikkelen. In het project is als uitgangspunt genomen de beproefde methodes voor risicoanalyse voor informatiebeveiliging.
Hierbij is gebruik gemaakt van de Britse standaard BSI 7799: "The Code of Practice for the Risk Analysis and Management Methodology", het Information Security Handbook of the Central Computers and Telecommunications Agency (CCTA19913) en Information Technology Security Evaluation Criteria (ITSEC), gepubliceerd in 1991.4
De aanpak van de hiervoor genoemde methoden van risicoweging is aangepast en uitgebreid, omdat beveiliging maar één van de elementen van privacybescherming is. De wijzigingen resulteren in figuur 4.5, die weergeeft op welke methodologische wijze de privacybedreigingen in kaart gebracht kunnen worden en hoe de privacybescherming in informatiesystemen kan worden geconsolideerd.5 Dat hier sprake is van een methode en niet van een opsomming van verschijnselen, zoals bij Solove, blijkt uit het feit dat deze aanpak voldoet aan de door 011e e.a.6 geformuleerde criteria:
De methode bevat een aantal opeenvolgende stappen.
Het resultaat van ieder van deze stappen dient een specifiek doel en brengt goed onderbouwde resultaten voort.
Het resultaat van iedere stap kan door onafhankelijke onderzoekers worden gevalideerd.
Het aantal bronnen binnen iedere stap is beperkt.
De expertise die noodzakelijk is om ieder stap te nemen, is homogeen en vereist een beperkt aantal verschillende deskundigen.
De sequentie kan worden herhaald vanaf elk tussenliggend resultaat om het totale resultaat te verbeteren en te verfijnen.
Het in onderstaand figuur 4.5 weergegeven model van de privacybedreigingsanalyse bevat vijf niveaus:
Het eerste niveau is het veld Risk Reduction Regulations. Dit is de algemene benaming voor regelgeving die leidt tot risicovermindering Het verkleinen van het risico van inbreuken op de informationele privacy wordt voorgeschreven door de privacywet- en regelgeving (in het model aangeduid als privacy regulation). Het tweede niveau in figuur 4.5 betreft de Risk Protection Ordination. Artikel 17 van de Richtlijn 95/46/EG legt de verplichting op (in het onderstaande model aangegeven met de term Privacy Protection Ordination) om zodanige maatregelen in het informatiesysteem te nemen dat de bescherming van persoonsgegevens is gewaarborgd, één en ander naar tevredenheid van de toezichthouder. De privacyrealisatiebeginselen, die in de Richtlijn 95/46/EG zijn uitgewerkt (zoals uiteengezet in hoofdstuk 2), zijn de facto de tegenmaatregelen van de wetgever om de privacy bedreigingen het hoofd te bieden. Helaas zijn de onderliggende bedreigingen niet expliciet in de overwegingen van de Richtlijn en de daarbij behorende documenten geformuleerd. Dat zou de ontwerpers een belangrijke leidraad geven bij het concipiëren van systemen en applicaties. Dat in deze methode direct bij het begin aan de privacy wet en regelgeving wordt gerefereerd, heeft ook een speciale reden. Het komt maar al te vaak voor, dat ontwerpers van informatiesystemen het bestaan van relevante wetgeving vergeten.
In het tweede niveau vindt de analyse van de 'assets' en `threats' plaats. Onder assets7 wordt verstaan de objecten en subjecten die persoonsgegevens bevatten en genereren (het individu in kwestie) en kwetsbaar zijn voor privacyinbreuken. Deze groep van assets wordt geëvalueerd om vast te stellen wat het belang ervan is om deze te beveiligen. Bovendien dient er een waarde aan toegekend te worden. De waarde kan worden uitgedrukt in een willekeurige eenheid, wanneer dat mogelijk is, in een financiële eenheid, en anders in een andere eenheid, die weging mogelijk maakt. Risico analisten voeren deze werkzaamheden uit.8
Vervolgens worden de bedreigingen (threats)9 gevalideerd en het potentiële afbreukrisico van die bedreigingen beoordeeld. Deze factor vertegenwoordigt de waarschijnlijkheid van een inbreuk gemeten over een van te voren bepaalde periode. Het oordeel hierover wordt door een expert gedaan en bij voorkeur door middel van een statistische analyse.10
In het volgende niveau 3 vindt de risicoweging plaats. Zoals eerder in dit hoofdstuk is gesteld, zijn er vele definities van risico in omloop. In het PISAproject wordt onder risico verstaan: een risico is het product van de consequenties van de bedreiging vermenigvuldigd met de waarschijnlijkheid van het plaatsvinden van de bedreiging.11
Het vierde niveau 4 bepaalt de vereisten na het vaststellen van het privacyrisico's, welke geacht worden een adequaat antwoord te geven op geconstateerde privacyrisico's.12 Deze tegenmaatregelen kunnen op zichzelf weer nieuwe secundaire risico's oproepen. Daarom dient in dat geval de bedreigingsanalyse opnieuw te worden uitgevoerd, totdat geen nieuwe bedreigingen worden gevonden of verwacht.
Het laatste niveau 5 betreft het implementeren van de tegenmaatregelen om de privacy risico's af te dekken. Op basis van de ingeschatte risico's moeten de gekozen beschermende maatregelen geen of een aanvaarbaar (rest) risico opleveren. Door nieuwe wetgeving kunnen er weer nieuwe risico's ontstaan. Het proces van risicoanalyse dient dan ook gezien het wettelijk beveiligingsvereiste van de 'state of the art' regelmatig gedurende het bestaan van het informatiesysteem uitgevoerd te worden. Bij de PIA gebeurt dat ook zo.
Figuur 4.5: Model Privacy Risico Analyse, Van Blarkom, Borking & Olk, 2003, p. 23.