Geactualiseerd zoekprotocol voor sneller én veiliger zoeken
Een heikel punt bij de afhandeling van Woo-verzoeken is dat het soms tot 6 weken duurt voordat de zoeker de juiste rechten heeft om bij de benodigde informatie te komen. Tegen die tijd is de wettelijk verplichte afhandelingstermijn al verstreken. Het verstrekken van die rechten moet dus sneller, liefst binnen 2 dagen. Het RDDI-project Woo-Doeth (Doorontwikkeling Om Elkaar Te Helpen) is bezig het zoekprotocol te actualiseren met kaderstellend autorisatiebeleid, waardoor het zoeken niet alleen sneller wordt, maar ook veiliger.
Binnen de Rijksoverheid zijn er verschillende rechtsposities op basis waarvan medewerkers bij bepaalde informatie kunnen. Terecht en logisch, gezien de Algemene Verordening Gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO). Bij veel Woo-verzoeken moet gezocht worden in dataverzamelingen waar de zoeker niet standaard bij mag. Projectleider Bas Zadelaar: “Dan kost het soms veel tijd om die extra rechten te vergaren. Bovendien kan juist dan – onbewust – een risico ontstaan voor de veiligheid van gevoelige gegevens. Ook omdat er onvoldoende controlemechanismes zijn geïmplementeerd en vaak te weinig kennis en handvatten voor handen zijn.”
Verhoogde rechten
Een oplossing hiervoor is een, vooraf gedefinieerd, autorisatieproces waarmee een zoeker verhoogde rechten krijgt. Met een zogeheten privileged account. Dat is niet eenvoudig in te regelen. “Omdat elke overheidsorganisatie al zijn eigen set aan maatregelen heeft, kunnen we met een fit-gap analyse kijken naar wat per organisatie nodig is”, vertelt Bas. “Deze analyse staat in de handreiking Zoekprotocol, zodat organisaties zelf de informatiebeveiliging voor hun eigen informatiehuishouding in kunnen richten.” Deze handreiking is niet kaderstellend, maar biedt handvatten voor de implementatie.
Monitoren
De aanvragen en goedkeuringen voor verhoogde rechten kunnen alleen worden gedaan door gemandateerde medewerkers. Daarnaast worden de aanvragen structureel vastgelegd en moeten de autorisaties gespecificeerd worden volgens de principes van ‘security by design’ en ‘privacy by design’. Bas: “Dat maakt het mogelijk het gebruik van verstrekte autorisaties te monitoren. Zo kunnen we het proces volgen en faciliteren we dat het zoeken niet alleen sneller gaat, maar vooral ook veiliger.”
Het geactualiseerde zoekprotocol, ‘Veilig zoeken in de Informatiehuishouding’, en de handreiking om het zoekprotocol binnen de eigen organisatie te implementeren, worden eind Q2 opgeleverd. Eerst gaan ze nog langs het CDO-, CPO-, CISO- en CIO-beraad. En om de privacy te waarborgen wordt er een PAR-procedure gestart.