Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/4.10
4.10. De pentagonale aanpak
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS575278:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Van Blarkom, Borking & Olk. 2003, p. 24: 'Five different perspectives, and hence five different lines of thinking, is mom likely to reveal everything that there is to know about privacy threats.'
Dit concept denkmodel is vooral het werk van Drs. J Giezen (TNO/TPD) een van de onderzoekers in het PISA research team als input voor deliverable 7 (Research team: J.J.Borking, R.Coolen, J.Giezen & P.Verhaar schreef: A Methodology for Threat Analysis, Deliverable 7 Privacy Incorporated Software Agent (PISA) (IST #2000-26038) project, Brussels 2001).
Van Blarkom, Borking & Olk, 2003. p. 26-27.
De opsomming is niet limitatief.
In Nederland het College bescherming persoonsgegevens in Den Haag.
Artikel 13 van 95/46/EG bevat uitzonderingen en beperkingen op dit realisatiebeginsel.
ISO/IEC 15408-1: 1999; Evaluation Criteria for IT Security (ook bekend onder de naam Common Criteria for Information Technology Security Evaluation), International Organization for Standardization, 1999, csrc.nist. gov/cc/ccv20/ccv2list.htm. Voor deze bedreigingscategorie dienen de security objectives van ISO/IEC 15408 toegepast te worden.
Driml, 2003, www.isaca.org/Template.cfin?Section—Home&Template—/Search/SearchDisplay.cfin.Voor deze bedreigingscategorie dienen de securityobjectives van ISO/IEC 15408 toegepast te worden.
Borking, Van Eck & Siepel, 1999, p. 23-31.
Van Blarkom, Borking, & Olk, 2003, p. 82-84.
Cavoukian & Stoianov, 2007, p. 12-13.
Van Blarkom, Borking & Olk, 2003, p. 29: '(...) a haphazard approach is not necessary (...) the presented approach (...) is just a first try and improvements and refinements are bound to follow'.
In het EU PISA-researchproject is na de ontwikkeling van het algemene privacyrisicoanalysemodel (zie figuur 4.5) een vijfhoekige aanpak voor de privacybedreigingsanalyse ontwikkeld in de verwachting dat door deze benadering zoveel mogelijk privacybedreigingen zouden kunnen worden opgespoord.1 De methode wordt vervolgens geënt op het hiervoor besproken model en richt zich met name op het ontdekken van de specifieke privacybedreigingen die samenhangen met de aard van het informatiesysteem. Er zijn voor het opsporen van de bedreigingen vijf gezichtspunten toegepast, die moeten leiden tot het benaderen van de bedreigingen vanuit vijf verschillende richtingen. De vijfhoekig aanpak is schematisch weergegeven in figuur 4.6 2 en dient te worden gelezen met de wijzers van de klok mee.
Het eerste gezichtspunt (dat al in de Risk Reduction Regulations aan de orde is gekomen) betreft de EU privacyrichtlijnen en de daarop gebaseerde nationale wetgeving ter bescherming van de persoonsgegevens. Kan het overtreden van de bepalingen in de richtlijnen worden vertaald naar concrete privacybedreigingen? Zo kan bijvoorbeeld het niet realiseren van de wettelijk vereiste doelbinding worden vertaald in de privacybedreiging die het systeem toelaat persoonsgegevens te verwerken zonder zich te houden aan de doelbinding. Bij het tweede gezichtspunt moet worden afgevraagd of de gevonden oplossing (de architectuur van het systeem om de privacy te beschermen) voor een bepaald probleem op zichzelf weer nieuwe privacybedreigingen oplevert. De privacybedreiging kan dan zitten in de algemene oplossing en niet in het systeem zelf. Bijvoorbeeld: de oplossing voor het vastgestelde doel van het systeem kan zijn het delen van informatie met software agents teneinde geautomatiseerde transacties uit te voeren binnen een publiek netwerk. De gekozen oplossing levert privacybedreigingen op.
Het derde gezichtspunt (threats emanating from use situation) komt voort uit de analyse van de situatie waarin het uiteindelijke systeem zal worden gebruikt (de omgevingsanalyse) en die de gevonden bedreigingen kunnen verergeren. Hier kan worden gedacht aan het gebruik van standaardprogrammatuur, die op zichzelf niet bedreigend is, maar dat wel wordt, bij het gebruik in een niet voorziene situatie.
Het vierde gezichtspunt betreft de toegepaste technologie. De bedreigingen kunnen dan voortkomen uit de manier waarop een systeem met bepaalde technologieën is verwezenlijkt en niet zo zeer uit het doel van het systeem zelf. Bij mobiele telefonie hoeft plaatsbepaling niet per se privacybedreigend te zijn, maar kan verwevenheid met de andere systemen in het netwerk privacybedreigingen opleveren.
Het vijfde gezichtspunt betreft het doel waarvoor het systeem wordt ingezet. De vraag voor het vaststellen van de privacybedreigingen is of het doel problemen kan scheppen die de bescherming van persoonsgegevens raken. Het doel kan bijvoorbeeld zijn, dat het systeem wordt ontworpen om onbekende data te zoeken in onbekende bronnen teneinde het resultaat van de zoekactie te gebruiken om bekende data te verrijken of daarmee te vergelijken en op grond daarvan een (geautomatiseerde) beslissing te nemen.
Figuur 4.6: Pentagonale aanpak van privacy bedreigingen, Van Blarkom, Borking & Olk, 2003, p. 24.
Het gevolg van deze aanpak is dat de vijfhoekige analyse in de plaats komt van de niveaus 1 en 2 in het algemene model (figuur 4.5) en uitmondt in de bepaling van de waarschijnlijkheid van de vastgestelde bedreigingen. Daarna volgen de niveau stappen 3, 4 en 5. Hetzelfde gebeurt voor het identificeren van de assets en de inschatting van de consequenties van de bedreigingen voor de assets.3 Deze aanpak leidt uiteindelijk tot een geprioriteerde lijst van bedreigingen die gebruikt wordt bij het vaststellen van de te nemen technologische en organisatorische maatregelen om de persoonsgegevens in het informatiesysteem te beveiligen. Daar waar technische maatregelen niet voldoende of niet haalbaar zijn, kunnen organisatorische maatregelen genomen worden.
De volgende bedreigingen 4 voor de persoonsgegevens en de persoonlijke levenssfeer zijn reëel bij het overtreden van de EU privacyregel- en wetgeving:
Bedreiging 1: geheim bezit van of controle over persoonsgegevens.
De verantwoordelijke en de bewerker hebben controle over persoonsgegevens en er is geen melding van de verwerking van persoonsgegevens gedaan bij de nationale commissie voor de bescherming van de persoonlijke levenssfeer (Data Protection Authority (DPA))5van een lidstaat van de Europese Unie waar de verwerking plaatsvindt of bij een functionaris gegevensbescherming.
Bedreiging 2: geheime verwerking van persoonsgegevens zonder toestemming. Er is een gebrek aan transparantie. De verantwoordelijke of de bewerker heeft de persoonsgegevens rechtmatig onder zich, maar de verdere verwerking geschiedt zonder dat de betrokkene daarvoor zijn toestemming heeft gegeven.
Bedreiging 3: geheime verwerking van persoonsgegevens. De betrokkene is niet op de hoogte van het bestaan van persoonsgegevens en de controle, die een onbekende verzamelaar van de persoonsgegevens heeft.
Bedreiging 4: verwerking van persoonsgegevens in strijd met de wet. Er is geen vrije, ondubbelzinnige en specifieke toestemming van de betrokkene voor de verzameling, het gebruik, de verwerking, de openbaarmaking en de verspreiding van zijn persoonlijke informatie.6
Bedreiging 5: verwerking in strijd met de doelbinding.
De verwerking van persoonsgegevens vindt plaats in strijd met de privacy voorkeuren van de betrokkene of de verantwoordelijke beperkt de verwerking niet tot het opgeven doel van de verwerking (doelbinding).
Bedreiging 6: onrechtmatige verwerking van persoonsgegevens. De verwerking vindt in strijd met de wet plaats, is onrechtmatig (illegaal).
Bedreiging 7: gebrek aan gegevensminimalisatie.
De verzameling van persoonlijke informatie wordt niet tot een strikt minimum beperkt. Er wordt meer verzameld en verwerkt dan strikt noodzakelijk is voor de realisering van het doel waarvoor de persoonsgegevens zijn bestemd.
Bedreiging 8: excessieve identificatie van het individu.
De identiteitsgegevens zijn disproportioneel in verhouding tot de doeleinden van de verwerking van de gegevens noodzakelijk is. De inrichting van het informatiesysteem is zodanig dat de identificatie, observering en traceerbaarheid van het desbetreffende individu niet wordt beperkt.
Bedreiging 9: verouderde gegevens.
Beslissingen vinden plaats op basis van onjuiste of verouderde gegevens. De persoonsgegevens worden niet correct, niet accuraat, ontoereikend, niet ter zake dienend verzameld en verwerkt.
Bedreiging 10: verantwoordelijke is onvindbaar of weigert transparantie. Geen of beperkte reactie van de verantwoordelijke op de aanmaning van de betrokkene. Personen over wie gegevens worden verzameld, krijgen niet de mogelijkheid om hun persoonsgegevens in te zien, te verbeteren, aan te vullen, te verwijderen of af te schermen of bezwaar te maken tegen de verzameling en verwerking van hun persoonsgegevens.
Bedreiging 11: onbeveiligde datamanagement.7
Er zijn geen passende technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking of om onnodige verzameling en verwerking van persoonsgegevens te voorkomen.
Bedreiging 12: niet-vertrouwelijk en onzorgvuldige datamanagement.8 De vertrouwelijkheid van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische communicatiediensten wordt niet gerealiseerd.
Bedreiging 13: verkeersgegevens worden te lang opgeslagen.
De verkeersgegevens van abonnees en gebruikers die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronisch communicatienetwerk of -dienst, worden wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, niet gewist of anoniem gemaakt.
Bedreiging 14: niet toegestane verwerking buiten de EU. Verzending van persoonsgegevens vindt plaats naar een land, dat geen (adequate) bescherming biedt zoals die geldt binnen de EU en EEA.
De gekozen technologie leidt tot specifieke bedreigingen. Hieronder volgen twee voorbeelden en betreffen de mobiele software agent en biometrische systemen.
Voor mobiele software agents, die in hoofdstuk 6 aan bod komen, gelden de volgende extra bedreigingen:9
Verandering van de functionaliteit van de software agent.
Het klonen of dupliceren van de agent.
Het beschadigen van de agent.
Andere agenten doen zich voor met een andere identiteit dan die agenten normaliter hebben.
`Masquerading', de gebruiker van een agent, gebruikt ten onrechte de identiteit van een andere eigenaar of houder van agent.
Niet of slecht beveiligde informatie die de agent bij zich draagt.
De mobiele software agent kan geen onderscheid maken tussen openbare en persoonlijke gegevens.
Het platform van waaraf agent opereert, is niet veilig, waardoor een agent bijvoorbeeld geïnfecteerd kan worden met een computervirus.
Het platform waar de agent zich bevindt krijgt een niet voorziene controle over de agent, waardoor de agent tegen de instructies naar een ander platform kan worden gezonden waar hij de eerder ingeprogrammeerde opdrachten op andere plaatsen dan voorzien, uitvoert.
Door controle over de agent kunnen anderen ongewild binnendringen in de computer van de gebruiker.
De agent is door kwaadwillenden zo veranderd, dat de agent schadelijke acties tegen de oorspronkelijke eigenaar of houder van de agent uitvoert.
De agent is door een agent provider (te vergelijken met een ISP), ter beschikking is gesteld, en de provider corrumpeert de privacy van de gebruiker van agent.10
Er zijn nog veel meer bedreigingen. De bovenstaande lijst van bedreigingen is niet limitatief en dient toegevoegd te worden aan de lijst van bedreigingen die uit het overtreden van de Richtlijnen 95/46/EG en 2002/58/EG voortvloeien.
Voor biometrische systemen gelden onder meer de volgende bedreigingen:
`Spoofmg' (toegang door vervalste identiteit) door valse biometrische kenmerken aan te bieden.
'Replay attacks' door direct in het systeem een `template' te installeren en daardoor de identificatiesensor te omzeilen.
Substitutieaanval door de bestaande rechtmatig vastgelegde `template' van een gebruiker te vervangen door de template van de aanvaller en daarmee de identiteit te stelen van die gebruiker.
`Tampering' door de verificatienorm voor een bepaalde template in het systeem zo aan te passen dat er een hoge verificatiescore wordt gerealiseerd.
Maskerade aanval door een digitale template aan het systeem aan te bieden (bijvoorbeeld gestolen uit een database of nagemaakt) waardoor men zonder dat het werkelijke biometrische kenmerk van de aanvaller hoeft te worden getoond elke keer weer toegang tot het systeem kan krijgen.
'Trojaans paard' door bijvoorbeeld het vergelijken van het echte biometrische kenmerk met het opgeslagen template te vervangen door een Trojaans paard-programma waardoor het systeem altijd een positieve verificatiescore geeft.11
De vijfhoekige benadering bij het analyseren van privacyrisico's is in het PISAresearchproject uitvoerig getest. De PISA-onderzoekers geven toe dat deze methodische aanpak weliswaar werkt voor het vaststellen van de privacybedreigingen binnen de omgeving van mobiele software agents, maar (nog) niet aantoonbaar heeft geleid tot een gestructureerde, herhaalbare en verifieerbare methode om privacybedreigingen voor alle informatiesystemen voldoende volledig in kaart te brengen. Het ontbrak aan voldoende tijd en middelen dit uit te testen.12 Het verdient aanbeveling de research met betrekking tot de pentagonale aanpak voort te zetten.
De derde onderzoeksvraag (OV 3) luidt: 'Met welke privacybedreigingen en risico's moeten de burger en de ontwerper van systemen rekening houden?'
Is de derde onderzoeksvraag nu voldoende beantwoord? Ik vind van niet. Omdat er geen gestandaardiseerde en algemeen geaccepteerde privacyrisicoanalyse bestaat, zijn er zo als eerder gesteld vele methoden in omloop. De innovatieve aanpak van Little & Rogova die de bedreigingen benaderen vanuit een algemene bedreigingsontologie zou tot meer volledigheid van de waargenomen bedreigingen kunnen leiden. Het resultaat zou een betere beantwoording van de derde onderzoeksvraag tot gevolg hebben. De ideeën van Little & Rogova worden hieronder uiteengezet.