Innovatie

Online veiligheid & BYOD: in 2013 moet het individu centraal staan

0

Online veiligheid, Bring Your Own Device (BYOD), security en privacy: termen die dagelijks opduiken. Maar wat er nou gaande is in normale mensentaal en wat het voor ons als individuen betekent, blijft vaak een raadsel. Tijd voor een diepte-interview met niemand minder dan Jan Stedehouder, schrijver van het boek BYOD. “Laat het security-debat van 2013 maar eens het belang van het individu centraal stellen.”

‘Bring Your Own Device’ in Nederland

Hoe staan wij ervoor in Nederland, dus hoeveel maken wij werkelijk gebruik van BYOD?

“Voor het vaststellen van het daadwerkelijke gebruik, ontbreken harde cijfers. Verschillende onderzoeken in opdracht van diverse leveranciers, noemen percentages die uiteenlopen van ongeveer 45% tot ruim 90% van de medewerkers binnen organisaties, die persoonlijke apparaten voor zakelijk gebruik inzetten. Duidelijk is dat Nederlandse professionals daar wereldwijd in vooroplopen.”

Maakt het in wezen uit of je een werktoestel  gebruikt of dat je een eigen device voor werk inzet?

“In feite helemaal niet, mits het werktoestel up-to-date is. BYOD ontstaat omdat professionals privésmartphones, tablets of computers aanschaffen die krachtiger, uitgebreider qua functionaliteiten of sneller zijn dan de werktoestellen. Denk ook aan moderne software, applicaties en online diensten.”

Wat zijn de voordelen van BYOD?

“Bedrijven verwachten IT-middelen tegen lagere kosten te gebruiken, met minder beheer en minder problemen zoals verlies, diefstal of schade door onvoorzichtig handelen, aangezien medewerkers beter op hun eigen spullen zullen letten dan op zakelijke spullen. Persoonlijk vind ik dat een smalle en onjuiste kijk op de voordelen. BYOD zorgt namelijk niet direct voor kostenbesparingen en beheer is in veel organisaties beperkt opgezet, dus daar valt niet meer te halen. Je moet BYOD toestaan, omdat je daarmee als bedrijf sneller innovatieve technologie kunt inzetten. Je laat zien dat je jouw professionals serieus neemt en hen de vrijheid geeft de juiste tools te gebruiken voor het te behalen resultaat.”

Wat zijn de nadelen, dus grootste gevaren?

“Vanuit IT en security wordt snel gesproken over het ontstaan van onbeheersbare en onveilige situaties op het bedrijfsnetwerk. Zo gek is dat niet, want dezelfde mensen zorgden ervoor dat USB-poorten dicht stonden, om te voorkomen dat op die manier bedrijfsgevoelige gegevens mee werden genomen. Diverse gestolen laptops haalden de voorpagina’s van kranten, dus vanuit het bedrijfsperspectief geen onlogische benadering. Het Fort ICT is in de loop der jaren omvangrijker en complexer geworden. Zodra je door de poort bent, liggen de gevoelige gegevens voor het oprapen. We praten over dataclassificatie als oplossing, maar wij hebben het nauwelijks ingevoerd. BYOD resulteert in versoepeling aan de poort, maar verandert niets aan de fundamentele onveiligheid achter de poort.

Ook hebben smartphones en tablets een hogere risico op verlies of diefstal, inherent aan de materiële waarde van de apparaten en het gemak waarmee je ze kunt verliezen. Maar goed, dan maakt het weinig uit of het om een BYOD-apparaat gaat of om een volledig beheerd werktoestel. Ik vind dat het niet om BYOD gaat. De zwakste schakel is en blijft de gebruiker.”

Big brother is watching you: privacy & wetgeving

De discussie gaat inmiddels over de werkgever en big brother is watching you. De werkgever heeft inzage in de privé e-mails, bankrekeningen, alle social media-kanalen, chats en meer via het device dat door de IT-afdeling gemanaged wordt. Een bijzonder angstaanjagende ontwikkeling. Hoe zie jij dat?

“Vanuit de behoefte aan controle en beheersing gaan werkgevers over de schreef en treffen ze bij het BYOD-beleid maatregelen, waarmee ze toegang krijgen tot alle informatie. Leveranciers zetten tools in de markt waarmee het mogelijk is om diep ingrijpend mee te kijken en mee te lezen, om te volgen waar de medewerkers mee bezig zijn. De functionaliteiten zijn beschikbaar. Er is geen privacy-by-design. Dat zou veel scherper en krachtiger bediscussieerd moet worden binnen bedrijven en op de maatschappelijke agenda als prioriteit worden gezet.

Ondernemingsraden moeten zich hierom bekommeren en zich gaan verdiepen in de mogelijke privacy-schendingen. Medewerkers krijgen BYOD-overeenkomsten voorgelegd met bepalingen, die een schending zijn van wetgeving en fundamentele rechten, met de toelichting: ‘als medewerkers ervoor tekenen, dan mag het’. Het mag nimmer nooit, maar er wordt geen kabaal over gemaakt. Dát is de meest angstaanjagende ontwikkeling. Laat het security-debat van 2013 daar eens over gaan en het belang van het individu centraal stellen.”

Zeker omdat het niet alleen de werknemer zelf betreft maar ook levens en privé informatie van derden. Hoe is dit op dit moment wettelijk geregeld?

“De Wet Bescherming Persoonsgegevens en de uitwerkingen daarvan door het CBP geven een aantal waardevolle handvatten. Zo kan een bedrijf het voor de bedrijfsvoering noodzakelijk vinden een smartphone te voorzien van een locatiedienst, waarmee op ieder moment van de dag duidelijk is waar de medewerker is. De medewerker heeft het recht om buiten werktijd die locatiedienst uit te zetten, dus mag het geen verborgen tooltje zijn.”

‘Big brother’ leidt tot minder innovatieve medewerkers

Officieel mag de werknemer niet zomaar de browsegeschiedenis, e-mailboxen, apps logins, Twitter, Facebook, LinkedIn enzovoorts bekijken maar het gebeurt dagelijks. Wat zijn de gevaren voor de werknemer door deze ongelijke positie?

“Ontslag, bijvoorbeeld door ongewenste uitingen via social media. Vanzelfsprekend moet je als werknemer zeer verstandig omgaan met wat je online zet, maar het kan als excuus gebruikt worden om afscheid te nemen van een werknemer. Bovendien moet de vrijheid van meningsuiting van het individu altijd gewaarborgd worden. Het grote gevaar is zelfcensuur, waarmee je open en transparante discussies verliest, ook binnen bedrijven. Dat verlies staat gelijk aan minder kennisdeling en uiteindelijk de rem op innovatie. Simpel gezegd, bedrijven met Big Brother-maatregelen zullen de grootste innovatievelingen in onze samenleving verliezen.

Online veiligheid van het individu waarborgen

Wat moet er geregeld worden om de online veiligheid van het individu via welk device dan ook te waarborgen?

“Je loopt snel het risico met een soort containerbegrip zoals privacy-by-design te komen, maar dat is niet voldoende. Er worden IT-systemen ontworpen en in de markt gezet, die uitgaan van centrale controle en sturing, dus centralisatie en bundeling. We moeten veel verder gaan, richting een radicale individualisering van IT, waarbij de primaire verantwoordelijkheid en bevoegdheid bij het individu ligt. De gebruiker is beheerder en eigenaar van devices en applicaties, met de verantwoordelijkheid voor de online veiligheid.

Denk aan het EPD, het Elektronisch Patiëntendossier (of welke andere incarnatie dan ook). Ontworpen als een gecentraliseerd systeem, waarbij de patiënt kan aangeven of die meedoet of niet, maar waarover de patiënt verder weinig te zeggen heeft. De patiënt heeft geen grip op de informatie, die door zorgverleners of zorgverzekeraars wordt opgeslagen of geraadpleegd. Ik kom op een systeem waarbij je als burger de eigenaar en drager bent van de medische- en zorggegevens. Het individu bepaalt op welk moment een zorgverlener toegang krijgt tot bepaalde gegevens en voor hoelang.

Natuurlijk is een dergelijk systeem niet 1,2,3 te bouwen en zullen we moeten investeren in de vaardigheden van burgers om hiermee om te gaan, maar dat is een kwestie van het ontwerpen van standaarden, bouwen van techniek en verzorgen van trainings- en bewustwordingsprogramma’s. BYOD toont dat wij het kunnen en dat wij die richting uitgaan.”

Integere oplossing: openheid & transparantie

Hoe kan een werkgever het zich gemakkelijk maken, zichzelf als organisatie en alle individuen die daaraan verbonden zijn een integere oplossing bieden?

“Het sleutelwoord is openheid, ook wel naar gerefereerd als transparantie. Voer eindelijk eens de discussie binnen het bedrijf over integere IT en geef daar concrete invulling aan. Ik pleit voor een business IT-denktank met individuen, die nieuwe consumententechnologie zakelijk inzetten. Zorg dat zo’n denktank zicht heeft in het bedrijf, de compliance vereisten enzovoorts en laat hen meedenken over de strategische technologiekoers. Laat hen daarbij niet kapotbegeleiden door zogenaamde consultants die vastzitten in oude paradigma’s en deel uitmaken van het oude denken.

Open source

Ooit beweerde je dat er een verband is tussen open source, bijvoorbeeld Linux, en onze democratie. Waar ligt de link? Waarom is open source belangrijk voor onze democratie en waarom zouden onze politici hiernaar om moeten kijken?

“Voor het Open Source Jaarboek 2009-2010 vroegen wij Maurice Schellekens na te denken over de vraag of open standaarden niet grondwettelijk geborgd moesten worden. Maurice was daar aanvankelijk niet enthousiast over, want technologische oplossingen hoorden volgens hem niet in de grondwet thuis. In zijn analyse stond hij vervolgens stil bij de rol van IT bij de moderne overheid en welke consequenties IT heeft voor de relatie overheid-burger. Zijn stelling is dat de overheid door de inzet van IT kan ingrijpen in het leven van burgers en een reikwijdte heeft gekregen die zonder IT onmogelijk zou zijn.

Veel IT bestaat uit black boxes, dus is het voor burgers en zelfs gebruikers binnen de overheid volstrekt onduidelijk wat er gaande is. De output heeft wel directe consequenties voor individuele burgers. Bestuurders zien IT als hulpmiddel, waardenneutraal gereedschap, maar dat is niet waar. Denk maar aan de ontwikkeling van semantische standaarden: daar zitten waardendefinities achter. Schellekens stelde uiteindelijk dat het voor een democratische controle op de overheid noodzakelijk is dat er sprake is van open IT, inclusief open standaarden en open source software en dat dit geborgd moet worden binnen de grondwet.

Overheid ter verantwoording roepen

“Anders gezegd, via de Wet Openbaarheid Bestuur (WOB) kunnen burgers besluitvormingstrajecten binnen de overheid reconstrueren en op die manier een overheid ter verantwoording oproepen. Datzelfde moet mogelijk zijn op het terrein van automatische gegevensverwerking. Zodra de broncode van overheidsapplicaties onder de WOB is op te vragen, is controle op de integriteit van de gegevensverwerking mogelijk. Voor een overheid kan dit positief uitpakken, want inmiddels hebben burgers een fors wantrouwen voor alles wat met overheid en IT te maken heeft.

De onderliggende stelling is dat IT niet langer gezien mag worden als gereedschap, maar als integraal en essentieel deel van het functioneren van de samenleving en overheid, één van de pijlers waarop taken kunnen worden uitgevoerd. Dat alleen al vereist dat bestuurders zich daarmee gaan bezighouden. Een bestuurder mag geen digibeet zijn.

De toekomst: IT in onderwijs & maatschappelijke discussies

Wat betekent dit voor het individu?

“We moeten hard aan de slag om digitaal geletterd te worden. We zijn verkeerd geschoold. In het onderwijs en in trainings- en bewustwordingsprogramma’s krijgen we productvaardigheden zonder al te veel inzicht aangereikt. Estland heeft recentelijk besloten programmeervaardigheden in het onderwijsprogramma op te nemen. Al zou je daarna nooit meer een programma bouwen, je weet wel wat erbij komt kijken. Je kent de (on)mogelijkheden, kunt de broncode induiken en interpreteren voor democratische controle. Maar goed, dat hoef je nu niet direct te gaan doen. Het helpt al heel wat als je bewust bent van de risico’s die verbonden zijn aan de technologie die je gebruikt. Denk aan internetbankieren via je smartphone. Weet je hoeveel risico’s je meer of minder loopt dan bij bankieren via je desktop? Weet je welke gegevens op je smartphone staan en wat de gevolgen zijn als die gestolen worden? Een dergelijke geletterdheid kun je leren.”

Wellicht loop je op je tijd vooruit. Wat zie jij nog gebeuren in de nabije toekomst?

“Binnenkort gaat het parlementair onderzoek naar overheid en IT van start, maar de initiële uitwerking is zodanig dat we er weinig van mogen verwachten. Ongetwijfeld zal blijken dat de overheid de rol als opdrachtgever scherper moet invullen en minder met ontwerp en implementatie moet bemoeien. Ook gaandeweg geen nieuwe functionaliteiten toevoegen. Vervolgens gaat iedereen weer over tot de orde van de dag.

Het volgende conflict staat in de steigers, namelijk rond het nieuwe EPD (Zorginfrastructuur). Vanaf 1 januari 2013 wordt ons gevraagd om toestemming te geven voor gegevensopname. Het oude EPD is op deugdelijke gronden afgeschoten en ik kan me niet voorstellen dat de reïncarnatie veel meer vertrouwen inboezemt. Het feit dat de zorgverzekeraars dit financieren, doet vraagtekens opduiken. Het zou me niets verbazen als straks een forse campagne start die zal aanmoedigen tot een opt-out: een oproep om niet te participeren.

Ik hoop op stevige maatschappelijke discussies rondom BYOD. De investeringsbeslissingen worden nu genomen en ik ben bang dat die vaak neerkomen op het optrekken van nieuwe muren in het Fort ICT. Ik noem dit het begin van een nieuwe wapenwedloop, in dit geval met eigen medewerkers. Maar goed, gelukkig zijn het de laatste stuipen van een oud IT-paradigma.

7 tips voor je dagelijkse online veiligheid

Tot slot, wat zijn volgens jou voor de lezers van Frankwatching de belangrijkste tips voor hun dagelijkse online veiligheid?

  1. Belangrijkste: word bewust!
  2. Weet wat je nu op smartphones en tablets hebt opgeslagen, hoe veilig die opslag is en welke rechten apps krijgen bij installatie (zeg vaker nee;
  3. Wees kritisch op nieuwe technologie, die bedrijven en organisaties binnenfietsen;
  4. Ga intern en extern het debat aan;
  5. Weiger overeenkomsten e.d. te ondertekenen als ze jouw individuele rechten onvoldoende waarborgen;
  6. Verdiep je in technologie;
  7. Trek verantwoordelijkheden en bevoegdheden naar je toe.

Hoe ga jij om met je dagelijkse online veiligheid en privé devices, die je voor je werk gebruikt?