Wat doet die drone hier?

sg8pl4zk_1Wat is de overeenkomst tussen de ‘bierfiets’ en een drone? In beide gevallen doen zich situaties voor waarbij de veiligheid in het geding is en de overheid naar passende regels zoekt. Voor wat betreft de bierfiets –voor zo ver bekend een lokaal verschijnsel –heeft de gemeente Amsterdam gezocht naar mogelijkheden tot het opleggen van een verbod, maar veel verder dan het vastleggen van de maximaal toegestane breedte (1,50 meter voor een fiets) is men tot nu toe nog niet gekomen. Het gevolg: dronken toeristen die zich traag op het fietspad of op de weg voortbewegen en zo een risico vormen voor zichzelf en anderen. Het risico van drones lijkt een stuk kleiner: de beschikbare ruimte is immers aanzienlijk groter. De kans op botsingen lijkt weliswaar kleiner, maar de impact kan vele malen groter zijn, bijvoorbeeld wanneer een verkeersvliegtuig of helikopter op een drone stuit. Het aantal incidenten op dit vlak is de afgelopen paar jaar toegenomen. Maar het belangrijkste verschil tussen bierfiets en drone is wel dat het laatste bewegende object veel meer verschillende soorten vragen en problemen oproept.

Danny Mekić, Internet, technology & business consultant, zette na het zien van een drone boven het Stationsplein van Amsterdam CS een aantal relevante issues op een rijtje: “Wat deed dat ding daar? Was een kind van 16 zijn of haar verjaardagscadeau aan het uitproberen? Of zat de politie een winkeldief achterna? Had de AIVD een potentiële terrorist in de smiezen? Of was een spion van de Amerikaanse geheime dienst NSA op zoek naar potentiële infiltranten op Nederlands grondgebied? We zullen het nooit weten.”Drones zijn goed voor een groot potentieel aan nieuwe bedreigingen, zo somt hij op: “Zonder het door te hebben, kun je op straat worden gefilmd, gevolgd (met gemak: dankzij gezichtsherkenning kan zo’n drone een persoon of object automatisch achtervolgen), kunnen je intieme gesprekken worden opgenomen en kan je telefoon- en internetverkeer – thuis én onderweg – worden afgetapt. Uitgerust met infraroodcamera’s kijken drones ook met gemak door muren heen en ten slotte kunnen ze worden uitgerust met wapens.” Deze waaier aan vragen zorgt er voor dat er vanuit verschillende hoeken wordt aangedrongen op regelgeving. De Europese Unie, maar ook de Europese organisatie EASA en de Amerikaanse FAA, sturen aan op (of beschikken al over) regelgeving. Ook de Nederlandse overheid heeft een begin gemaakt met het opstellen van regels. Dat leidt natuurlijk tot veelal sceptische reacties van producenten, hobbyisten, professionals en bedrijven: hoezo nog meer regels? Al deze afzonderlijke groepen kijken uiteraard vooral naar hun eigen belangen.

Russische Mi-12 heavy-lift transport helikopter (1960)
Russische Mi-12 heavy-lift transport helikopter (1960)

Drones worden onder meer ingezet door fotografen en hobbyisten, maar ze kunnen ook bijdragen aan kostenverlaging en innovatie: denk aan inspectie van hoogspanningsmasten, gasleidingen en bosbranden of het doen van archeologisch onderzoek. Veel van dit soort werkzaamheden werden voorheen uitgevoerd met helikopters die aanzienlijk meer geluid produceren en voor hogere kosten zorgen. Zuidelijke Land- en Tuinbouworganisatie ZLTO gaat met behulp van een subsidie van 300.000 euro van de provincie Zeeland en de Europese Unie aan de slag met een proef met nieuwe meettechnieken, waarbij vanuit de lucht met ultraviolet- en infraroodcamera’s wordt gekeken hoe het vochtgehalte is en welke mineralen de grond bevat. De komende jaren zal het toepassingsgebied zich uitbreiden. De Nederlandse drone-industrie, verenigd in de ‘Dutch Association for Remotely Piloted Aircraft Systems’(Darpas), pleit ook voor de snelle realisatie van EU regelgeving, maar de belangrijkste motief is hier dat deze sector de boot denkt te missen omdat de huidige Nederlandse regels te streng zijn.

Vergelijkbare geluiden zijn te horen uit de VS, waar Amazon aanstuurt op een uitzonderingspositie ten opzichte van de FAA-regels. In de VS is de inzet van commerciële drones nu nog verboden. Amazon werkt serieus aan de realisatie van ‘prime air delivery’–binnen 30 minuten. Het bedrijf is bezig dit concept te testen in hun R&D-center in Seattle en claimt dat het bezig is met de negende generatie van hun drone. Zo wordt onder meer gewerkt aan sensors en algoritmen waarmee obstakels kunnen worden gesignaleerd en ontweken. De Amazon drone moet 2,3 kilo aan vracht kunnen transporteren: voldoende om 86 procent van de artikelen uit Amazon’s aanbod te kunnen afwikkelen. Amazon streeft er naar de drones aan te sturen vanaf een eigen vliegveld en het is de bedoeling dat ze daar niet hoger dan 400 voet (ca. 120 meter) boven de grond vliegen. Amazon wil voor de drones gebruik gaan maken van de G-klasse in het luchtruim (tot 1500 voet). Verder wil het bedrijf werken met operators die als een ‘pilot in command’ verantwoordelijk zijn de volledig vlucht: mensen die aan verschillende FAA-criteria voor private pilots voldoen. Een andere stakeholder is de zogenaamde kleine luchtvaart of General Aviation, waar bijvoorbeeld ook de Nederlandse traumahelikopters onder vallen. Zowel hulpverleners als privépiloten lopen risico’s omdat ze tijdens een vlucht drones kunnen tegenkomen. Een botsing met een drone kan fataal aflopen voor de helikopter.

Ook de Nederlandse overheid moet meerdere stakeholders bedienen. Het ministerie van Veiligheid en Justitie is, samen met de Koninklijke Marechaussee en de Nationale Politie zijn op zoek naar mogelijkheden tot bescherming tegen drones –bijvoorbeeld om de besturing over te nemen of de locatie van de bestuurder van het systeem aangeven. Aan de andere kant wil het ministerie via een wetsvoorstel uit maart 2013 (Flexibel cameratoezicht) het ook mogelijk maken dat de overheid zelf drones kan inzetten. De nieuwe Nationale Politie zet een aparte organisatie op voor het gebruik van drones, een zogenoemde politie UAS-organisatie (UAS staat voor Unmanned Aerial Services), maar drones worden al ingezet.

tweet

Vanuit luchtvaartperspectief is het aansturen op regels begrijpelijk. In de luchtvaartsector bestaat al langere tijd een veiligheidscultuur die met name in westerse luchtvaartondernemingen goed wordt nageleefd. De EASA erkent het economisch potentieel van drones, maar stelt nadrukkelijk voorop dat drones een probleem zijn, omdat er geen regels bestaan op het vlak van “safety, security and privacy of people”. Drones kunnen op een paar honderd meter hoogte vliegen, maar maken daar geen deel uit van het normale verkeer dat gereguleerd is en onderling communiceert. De EASA pleitte daarom in december 2013 al voor het ontwikkelen van Europese regelgeving die vanaf begin 2016 kan worden ingevoerd; op de volgende punten: een strikte EU-wetgeving op het vlak van veiligheid; bescherming van fundamentele rechten van burgers; strakke maatregelen op het vlak van informatiebeveiliging; gegarandeerde aansprakelijkheidsregelingen en –last but not least –ondersteuning voor marktontwikkeling en Europese ondernemingen. Tot dat de Europese wetgeving er door is, is er dus nog alle ruimte voor drone-incidenten, verontwaardigde reacties en Kamervragen.

Plat gaan

Er is iets veranderd in onze wereld. Niet money makes the world go round, maar het internet houdt onze economie draaiend. Na de bankencrisis die het financiële systeem aan het wankelen bracht, wordt nu gevreesd voor een digitale crisis. De Nederlandse overheid slaat (bij monde van de AIVD) zelfs alarm: het verdienmodel van Nederland kan in gevaar komen.

Meestal rukt eerst de technologie op, dan de commercie en daarna volgen passende maatregelen om alles beheersbaar te houden. Regelgeving is vaak het resultaat van eerdere problemen en van toegenomen sense of urgency. Die bewustwordingsfase hebben burgers en bedrijven echter nog niet helemaal bereikt. Beiden zijn nog steeds verbaasd over het gemak waarmee hackers kunnen binnendringen, maar hebben de digitale samenleving al lang als vanzelfsprekendheid geaccepteerd. Bij ernstige IT-problemen van publieke organisaties wordt vooral gewezen naar verouderde systemen of naar slecht projectmanagement. Ontwrichtende problemen zijn tot nu toe uitgebleven, reden waarom de mogelijke impact van een digitale meltdown minder aandacht krijgt dan verdiend.

IT wordt steeds meer het digitaal zenuwstelsel van bedrijven en instellingen. Toch wordt in de boardroom, zo blijkt herhaaldelijk uit onderzoek, IT nog niet voldoende serieus genomen. Directies van grote bedrijven die in opspraak raken door datalekken en cyberaanvallen, maken zich in de eerste plaats druk over mogelijke reputatieschade. Voor de eventuele financiële gevolgen is minder aandacht, zo blijkt uit onderzoek van Clifford Chance. Dat is niet vreemd: slechts 8 procent van de CFO’s vindt dat hun commissarissen een hoog kennisniveau van digitalisering hebben, terwijl 29 procent van de commissarissen zichzelf in hoge mate als sparring partner voor de Raad van Bestuur ziet, aldus onderzoek van Deloitte. Het lijkt er op dat de mindset niet in orde is: het ontbreekt bij bedrijven aan vastberadenheid, die de cybercriminelen wel bezitten.

Brenno de Winter confronteerde eind 2012 een zaal vol CIO’s met een simpele en succesvolle hack. “Ik heb hier een mobiele telefoon. Die heeft bijna een gigabyte aan data met u gedeeld, omdat deze zichtbaar is als ‘KPN’. Uw telefoon denkt: ‘Leuk, een KPN Hotspot’ en meldt zich automatisch bij mijn telefoon aan. Dat is zojuist door veertien toestellen gedaan. U merkt daar niets van. Normaal gesproken moet u iets invullen om toegang te krijgen, denk aan Wi-Fi op Schiphol. Dat zal ik volgend jaar voor u maken, zodat ik dan ook uw username en password heb.”

In 2013 was een gemiddeld datalek goed voor een schadepost van 2,5 miljoen euro, aldus het jaarlijkse Cost of Data Breach-onderzoek van IBM. Dit is een stijging van 15 procent ten opzichte van 2012. En uit een door PwC gepubliceerd rapport blijkt dat bedrijven maar moeilijk mee kunnen komen in de strijd tegen cybercriminaliteit, omdat organisaties te weinig technologische kennis bezitten.

De Nederlandse Cyber Security Raad pleit voor meer aandacht op strategisch niveau: ieder datalek moet in de boardroom bekend zijn. Toch is het onze eigen overheid die met aanpassingen in de wetgeving bijdraagt aan bagatellisering van de risico’s. Zo hoeven in de onlangs afgezwakte wetsvoorstellen rondom de meldingsplicht van datalekken niet alle datalekken gemeld te worden, maar alleen ‘datalekken met ernstige nadelige gevolgen’. Hierdoor ontnemen we onszelf de kans maximale controle te houden en optimaal te leren van kwetsbaarheden. De overheid waarschuwt, maar legt gelijktijdig het digitale verdienmodel van ons land in de waagschaal. Nederlanders zijn niet helemaal blind voor de toekomst – dat blijkt uit de discussie over bijvoorbeeld de verzorgingsstaat en de pensioenvoorziening. Maar als het gaat om digitale duurzaamheid is het te stil. Ondertussen bouwen bedrijven en overheden driftig verder op een wankel IT-fundament; totale vernieuwing zou veel te veel geld kosten. Een korte time to market slaat bovendien veel beter aan in de boardroom.

De BBC zond onlangs een documentaire uit over zogenaamde ‘preppers’: personen die zich voorbereiden op rampen met behulp van vluchtplaatsen, zelfverdedigingstechnieken en noodvoorraden. Een van de preppers gaf aan dat als het internet wereldwijd plat gaat, het een kwestie van enkele dagen is voordat de hel losbarst. Dat klinkt als een goed Hollywood-scenario voor een rampenfilm, maar realistischer is het advies dat Duitse ondernemers krijgen wanneer ze naar China reizen. Hen wordt aangeraden hun laptop of mobiel vooraf schoon te maken; eenmaal in China is het niet toegestaan om in te loggen op het netwerk van het Duitse moederbedrijf aldus het FD.

In ons land is het wellicht wachten tot dat de eerste overheidsdiensten plat gaan (of de eerste CIO’s nat gaan). Want het duurt nog even voordat het Nationaal Cyber Security Centrum (NCSC) op kracht is. Govcert.nl, voormalige cyberwaakhond van de Nederlandse overheid en voorloper het NCSC, moest het in 2011 nog met zeventien (!) werknemers doen, maar er wordt gewerkt aan opschaling richting 70 security specialisten. Ter vergelijking: de Nederlandse defensieorganisatie bestaat uit zo’n 60.000 personen.

 

Deze post is tot stand gekomen in samenwerking met Cisco.

[wp_twitter]

Digitale opwarming

Een bizarre tegenstelling: overal om ons heen is zichtbaar hoe IT steeds dieper in de haarvaten van ons leven doordringt. Niet alleen bedrijven, maar ook overheden digitaliseren volop en burgers/consumenten doen vrolijk mee. In die digitaliseringsrace volgen de komende jaren nog grote stappen: het internet of things wordt het internet of everything; en een vergrijzende samenleving dwingt verdere digitalisering van de gezondheidszorg af.

Tegenover die digitalisering staan twee andere verschijnselen die ons de komende tijd gaan wakker schudden: legacy en security. Afgelopen jaar constateerde Ernst & Young (via onderzoek onder bijna 2.000 senior executives) dat bij slechts 17 procent van de bedrijven de informatiebeveiliging aansluit op de werkelijke behoeften. De rest van de organisaties – bedrijven en instellingen waar we allemaal dagelijks mee te maken hebben – heeft te maken met een achterstand in security. Slechts de helft van die achterblijvers neemt in 2014 maatregelen om de noodzakelijke inhaalslag te maken. Aan de andere kant geeft 65 procent van de respondenten aan, dat het budget niet toereikend is om de groeiende risico’s te bestrijden. Voor dit jaar (2014) is slechts 14 procent van het IT-budget gereserveerd om beveiligingslekken (waarbij onzorgvuldig handelen door medewerkers als één van de belangrijkste veroorzakers wordt genoemd) het hoofd te kunnen bieden.

Het gebrek aan budget komt overeen met het beeld dat voortkomt uit onderzoek van Harvey Nash: ‘kosten besparen’ stond tussen 2009 en 2013 bovenaan de agenda van de CIO. Het goede nieuws is dat sinds de kredietcrisis dit jaar voor het eerst de IT-budgetten weer stijgen. Het slechte nieuws is dat er vooral wordt geïnvesteerd in nieuwe IT die de efficiency verder vergroot: digitale marketing, klantgerichte systemen en innovatieprojecten; allemaal gericht op het verhogen van de omzet.

Ook door de overheid wordt ingezet op meer efficiency, maar automatisering blijkt hier een permanent drama. De overheid is de controle over IT kwijt: budgetten worden overschreden terwijl de opbrengsten – in termen van geslaagde en degelijke projecten – achterblijven. DigiD, DUO, UWV, de Belastingdienst, Rijkswaterstaat: systemen zijn verouderd, vernieuwing loopt uit op mislukking en per saldo neemt de achterstand en kwetsbaarheid toe. IT debt wordt ook hier een steeds serieuzer probleem. Volgens hoogleraar Henk Akkermans (UvT) zullen cruciale systemen in de toekomst steeds vaker uitvallen door instabiliteit of kwetsbaarheid. In dit opzicht is het de overheid zelf die op de achtergrond druk bezig de voorwaarden te scheppen voor digitale rampen. Onze digitale samenleving heeft een slecht fundament en wordt op een vulkaan gebouwd.

blog 1 beeldGelukkig adviseert de Rijksoverheid ons over risico’s. Voor een goed beeld van de plaatsgebonden risico’s kan je je postcode intikken. Dat leidt tot een kaartje van je woonomgeving met ‘kwetsbare objecten’ (zoals gebouwen waar veel mensen verblijven of LPG-stations). Om goedvoorbereid te zijn op rampen moet je in ieder geval eten, drinken, identiteitspapieren en contant geld in huis hebben, aldus Vadertje Staat. Het in huis hebben van een paar honderd euro (cash = king) is inderdaad geen slecht advies. Maar een digitaal rampscenario? Daarvoor hebben ambtenaren te weinig fantasie.blog 1 beeld2

 

 

Deze post is tot stand gekomen in samenwerking met Cisco

[wp_twitter]

Informatiebeveiliging: bewust onbekwaam

helpIn Den Haag rommelt het al een tijdje over de uitbreiding van de meldplicht voor datalekken. Bij het initiële wetsvoorstel (juni 2013) was het uitgangspunt dat een datalek aan het College Bescherming Persoonsgegevens (CBP) moet worden gemeld wanneer redelijkerwijs kan worden aangenomen dat het lek tot een aanmerkelijke kans op nadelige gevolgen leidt. Staatssecretaris Fred Teeven heeft het wetsvoorstel Meldplicht Datalekken inmiddels afgezwakt: het aangepaste wetsvoorstel zegt nu dat alleen datalekken met ernstige nadelige gevolgen moeten worden gemeld. Dit betekent dat een partij die een datalek heeft geconstateerd, zelf moet bepalen of redelijkerwijs kan worden aangenomen dat het lek leidt tot aanmerkelijke kansen op nadelige gevolgen. Teeven vreesde dat bedrijven en instellingen alle datalekken zouden melden – om risico’s op boetes te vermijden.

Datalekken nemen in omvang toe, zo blijkt uit onderzoek. Ten opzichte van 2012 is de gemiddelde schadepost van een datalek in 2013 met 15 procent gestegen tot 2,5 miljoen euro, zo valt op te maken uit het jaarlijkse Cost of Data Breach-onderzoek van IBM.
In het eerste kwartaal van 2014 was een stijging van 233 procent te zien in het aantal gestolen bestanden, aldus de SafeNet Breach Level Index (BLI). Er werden bijna 200 miljoen bestanden gestolen. Zuid-Korea voert de lijst aan: het land is goed voor bijna tachtig procent van de hacks. De financiële sector wordt het zwaarst getroffen met 56 procent van alle verloren databestanden. Ook de gezondheidszorg is kwetsbaar met 24 procent van alle lekken.

Veel datalekken zijn het gevolg van relatief kleine menselijke fouten, aldus het Data Breach investigations Report (DBiR) 2014 van Verizon waarin 63.437 beveiligingsincidenten werden onderzocht. Meestal gaat het om e-mails en documenten die naar de verkeerde persoon, afdeling of organisatie worden gemaild of gestuurd. In 1.367 gevallen veroorzaakten de incidenten ook een bevestigd datalek. Ruim 16.000 incidenten, waarvan er 412 voor een bevestigd datalek zorgden, waren aan menselijke fouten toe te schrijven, zoals e-mailblunders, programmeerfouten en het weggooien van informatie zonder die eerst te wissen of te shredden. Eindgebruikers en IT-professionals gaan beiden de fout in.

De Nederlandse Cyber Security Raad pleit voor meer aandacht voor informatiebeveiliging op strategisch niveau, maar voorlopig lijkt de boardroom daar nog niet klaar voor. Volgens onderzoek van Deloitte vindt slechts 8 procent van de CFO’s dat commissarissen een hoog kennisniveau van digitalisering hebben. 29 procent van de commissarissen beschouwt zichzelf in hoge mate als sparring partner voor de RvB. Toch staat minder dan een derde van de commissarissen (en 24 procent van de CFO’s) positief tegenover het benoemen van een Chief Technology Officer of een Chief Information Officer in de Raad van Bestuur. Een typisch gevalletje van bewust onbekwaam?

ICT~Office, de voorloper van branchevereniging Nederland ICT, heeft staatssecretaris Teeven in 2012 geadviseerd om met de meldplicht niet vooruit te lopen op Europese privacyregels. De toename van de regeldruk moet in verhouding staan tot het beoogde doel, zo was het argument. In 2013 uitte Nederland ICT opnieuw kritiek op het Nederlandse initiatief: er zou te veel regeldruk ontstaan omdat er inmiddels vier verschillende instanties bestaan waar IT-gerelateerde problemen en verstoringen moeten worden gemeld. Misschien is dat juist een goede tussenoplossing die stimuleert om aan verbeteringen te werken?
Anderen vinden dat een wettelijke meldplicht voor datalekken het doel voorbij schiet doordat bedrijven uit angst voor imagoschade de incidenten juist niet melden.

Het bedrijfsleven staat dus niet te popelen om dit probleem te tackelen. Kan een wettelijk afgedwongen meldplicht de meldcultuur aanzwengelen? Of ontstaat een gezonde meldcultuur juist op basis van zelfregulering? De westerse luchtvaartsector kent al een flinke tijd een veiligheidscultuur waarbij het melden van problemen een geaccepteerde gewoonte is en waar feedback wordt gebruikt om processen te verbeteren. Grote luchtvaartmaatschappijen en de International Air Transport Association (IATA) zetten daarbij de toon.

Om tot die verbeterde cultuur te komen waren wel enkele grote vliegtuigcrashes in de jaren zeventig nodig. Daaruit kwam naar voren dat intensieve vliegtraining menselijke fouten niet uitsluit. Met Crew Resource Management, ontwikkeld door NASA, werd ingezet op intelligente samenwerking in de cockpit. Die veiligheidscultuur heeft vliegen tot de meest veilige vervoersmethode gemaakt.

Na een vliegtuigcrash haal je als vliegmaatschappij direct voorpagina’s en primetime. De merkbare gevolgen van beveiligingsproblemen en datalekken bij bedrijven en instellingen zijn tot nu toe relatief gering. Alhoewel? In Nederland doet 65 procent van de middelgrote en grote bedrijven geen zaken met organisaties die te maken hebben gehad met een datalek. Biedt dat hoop? Nee, want tegelijkertijd beschouwt 36 procent van de bedrijven dataverlies als een bedrijfsrisico.

Er is nog een extra reden tot zorg. Meer dan de helft van de gemelde lekken in ons land kan niet worden onderzocht. Het College Bescherming Persoonsgegevens heeft te weinig mankracht. Maar ja, ICT en overheid, da’s geen gelukkige combinatie. Het wachten is dus op het moment dat het een keer goed mis gaat.

[wp_twitter]

 

Wie haalt zorginnovatie van de handrem?

Het totaal aantal mobiele abonnementen is wereldwijd in 2013 opgelopen tot 6,6 miljard stuks, aldus het Ericsson Mobility Report van november 2013. De grootste groei ligt echter niet meer in West-Europa, maar in Afrika. Over de afgelopen vijf jaar is het aantal mobiele abonnementen met jaarlijks 18 procent toegenomen en daarmee is het de sterkst groeiende regio. Een jaar geleden waren er 253 miljoen unieke abonnees en was de mobiele sector al goed voor zes procent van het Afrikaanse bruto nationaal product. In 2020, zo verwacht GSMA Intelligence, zal dit zijn opgelopen tot acht procent. Mobiel was in 2013 goed voor 3,3 miljoen banen, in 2020 zal dat verdubbeld zijn.

IDC-Tablet-Sales-Forecast-1024x713In West-Europa zal vanaf 2014 de groei in tablets en hybride mobiele apparaten afvlakken, aldus IDC. In deze regio zal groei de komende jaren daarom vooral te zien zijn in (innovatieve) diensten. Online retail zal volgens Shopping2020 in 2020 goed zijn voor een derde van de Nederlandse consumentenbestedingen. De meeste aankopen zullen dan gedaan worden via mobiele apparaten zoals smartphones (21 procent) en tablets (33 procent).

Voor veel andere sectoren is mobiel nog een greenfield. Afgaand op maatschappelijke ontwikkelingen zoals vergrijzing en de terugtredende overheid liggen de kansen vooral op het gebied van zorg en mobiliteit. Innovaties in de zorg zullen met name succesvol zijn als ze door schaalgrootte wezenlijk bijdragen aan kostenreductie – rechtstreeks, door substitutie (dure, intramurale zorg vervangen door goedkopere zorg op afstand die aansluit op mantelzorg en zelfzorg) en indirect, door verbeteringen in efficiency en productiviteit.

Deloitte maakte in 2012 al inzichtelijk dat in de zorgsector de nodige uitdagingen liggen. Om tot mobiele innovatie in de zorg te komen, moeten met name hobbels op het gebied van vertrouwen overwonnen worden. Het zorgstelsel is – ook in ons land – te zien als een ecosysteem met meerdere partijen, waarin verschillende soorten data aan de orde zijn: financiële gegevens, klinische data en data over het individueel gedrag en de gezondheid van mensen/patiënten. Uit het rapport van Deloitte komt naar voren dat mensen (nog) veel vertrouwen hebben in de medische sector (artsen, ziekenhuizen). Onderaan de lijst echter bungelen andere belangrijke ketenpartners zoals farmaceuten en zorgverzekeraars. Ze worden zelfs voorgegaan door een partij als Google.

Met de enorme penetratie van mobile devices ligt er een perfect platform klaar voor de zorgsector. De markt voor ‘mHealth’- of ‘eHealth’-applicaties begint zich dan ook al te ontwikkelen en zal in 2017 een wereldwijde omvang hebben van 26 miljard dollar, aldus het Global Mobile Health Market Report 2013-2017. Het is alleen de vraag waar deze groei vandaan zal komen. In snelgroeiende regio’s zoals Afrika zullen er minder obstakels voor innovatie zijn, eenvoudigweg omdat de minder complexe zorgstelsels ook minder legacy kennen. Aan de andere kant zorgt het gebrek aan de legacy van een onbetaalbaar zorgstelsel in deze regio’s voor een kleinere sense of urgency.

In Nederland is het beeld tegenovergesteld. De sense of urgency is hoog, maar er liggen tal van obstakels om tot innovatie te komen. Het ontbreekt aan regie in de zorgketen waardoor partijen op elkaar wachten of elkaar niet aanvullen. Er is geen volledige marktwerking in de zorg waardoor investeringen uitblijven; het ontbreekt bovendien aan de juiste prikkels in de keten (zorgverleners worden aangemoedigd zo veel mogelijk te leveren binnen de gestelde financiële kaders en dat is iets anders dan slimme zorgverlening realiseren). Er zijn – als het gaat om data – evenmin trusted parties in de Nederlandse zorg. Tot slot zijn ook patiënt en zorgverlener debet aan deze stagnatie. De patiënt heeft bijvoorbeeld nog niet het eigenaarschap opgeëist van de data die hij zelf genereert en gedraagt zich dus nog niet als regisseur van zijn eigen gezondheid; de zorgverlener op zijn beurt is liever bezig met cure dan met care en preventie.

Bij de gedeeltelijke marktwerking zoals die tot nu toe in de zorg is doorgevoerd, ligt het accent bij spelers als overheid en verzekeraars; en bij onderwerpen als financiële kostenbesparing. De belangrijkste vraag is dan ook wanneer overheid en verzekeraars ontdekken financial engineering in de zorg is uitgewerkt en werkelijke innovatie de ruimte moet krijgen. Door hun gedrag tot nu toe hebben beide partijen echter de kans verkeken om als trusted party het voortouw te nemen. Het wachten is op het opbloeien van een sluitend ecosysteem dat de ruimte krijgt van overheid en verzekeraars. Aan andere stakeholders zal het niet liggen: de technologie is beschikbaar, patiëntenorganisaties zijn welwillend, onze infrastructuur is uitmuntend en het kapitaal staat in de wachtkamer.

 

[wp_twitter]

Laat je smartphone maar thuis

Vanaf komend voorjaar worden gemeenten vanuit de VNG verplicht om een wethouder verantwoordelijk te maken voor informatiebeveiliging. Deze afspraak moet worden vastgelegd in het coalitieakkoord. De verwachting is dat door de toenemende mate van ketensamenwerking het aantal normen en compliancy-eisen de komende jaren verder zal toenemen.

Op het vlak van informatiebeveiliging wijken ambtenaren niet veel af van de gemiddelde consument, zo bleek in november 2013 uit een onderzoek van de inspectie SZW. Gemeenten, maar ook andere overheden, hebben echter meer nodig dan alleen een security officer.

Ondanks richtlijnen en controle bleek het gebruik van vertrouwelijke informatie binnen gemeenten niet op orde te zijn. Het Suwi-inkijk incident in november 2013 is daar een voorbeeld van. Gemeenten, het UWV en Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet. Daarin zijn gegevens in te zien over inkomsten, uitkeringen, autobezit, diplomagegevens en examenresultaten. Gemeenten moeten maatregelen treffen tegen het raadplegen van persoonsgegevens van burgers zonder goede reden. Uit een inspectie kwam naar voren dat slechts vier procent van de gemeenten voor het gebruik van Suwinet voldoende beveiligingsmaatregelen heeft getroffen. 13 procent van de gemeenten voldoet aan geen van de onderzochte normen voor informatiebeveiliging. De Inspectie constateerde tijdens het onderzoek dat dertien van de tachtig onderzochte gemeenten (= 18 procent) in 2012 gegevens van bekende Nederlanders hebben geraadpleegd, zonder dat hiervoor een goede reden is gegeven. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld.

Van alle gemeenten heeft 58 procent formeel een security officer aangesteld, die moet adviseren over bijvoorbeeld beveiliging en access management. In verschillende  gemeenten bestaat een clean desk policy, maar de meeste aandacht gaat daarbij uit naar vermindering van de papierstroom en verlaging van het aantal administratieve fouten.

Weinig aandacht is er voor de afbakening van Bring Your Own Device. Het Nationaal Cyber Security Centrum (NCSC) heeft richtlijnen gepubliceerd hoe gebruikers van mobiele devices hun systeem kunnen beveiligen. Het NCSC somt maatregelen op die betrekking hebben op het mobiele apparaat, op het gebruik en de configuratie van het mobiele besturingssysteem (zoals iOS en Android) en op de applicaties (apps) die op het mobiele apparaat zijn geïnstalleerd. Daarbij ligt het accent op bedreigingen van buitenaf zoals afluisteren en het gebruik van clouddiensten (“de beveiliging van dergelijke diensten heeft u niet zelf in de hand en is niet altijd afdoende, wees dus voorzichtig bij onlineopslag vanaf uw mobiele apparaat”). Gebruikers moeten verder het aantal geïnstalleerde apps beperken, de rechten van geïnstalleerde apps tot een absoluut minimum beperken en locatievoorzieningen zoveel mogelijk uit te schakelen, zo luiden de adviezen. Kortom, als we het NCSC moeten geloven liggen de risico’s van mobiel werken vooral in de omgeving. Maar juist het onderzoek van SZW heeft laten zien dat vooral in het gedrag van medewerkers risico’s schuilen.

In sommige sectoren van onze samenleving raakt de informatiebeveiliging het BYOD-beleid. Er zijn organisaties waar je geen smartphone mee mag nemen naar je werkplek. Wanneer je wilt bellen, moet je de telefoon op je bureau of de softphone op je pc of laptop gebruiken. Ook pen en papier zijn niet toegestaan. Daarmee kan worden voorkomen dat scherminformatie wordt gekopieerd. Het lijkt lastig, maar op veel andere momenten kunnen we ook zonder pen en papier. Ik wil niet zeggen dat alle ambtenaren moeten overstappen op een volledig digitale werkplek. Maar ik denk wel dat het tijd wordt om duidelijker regels en strengere audits in te voeren. Gedrag verandert alleen als er duidelijke kaders en sancties bestaan en het goede voorbeeld wordt gegeven. Informatie is geen entertainment, al lijkt het Suwi-incident met het raadplegen van gegevens van BN’ers het tegendeel te bewijzen.

 

Deze post is tot stand gekomen in samenwerking met de Zero Distance community en T-Systems

[wp_twitter]

Onbetrouwbare overheid obstakel voor digitale innovatie

De cloud wordt het ideale platform voor het internet of things (IoT). De cloud is snel op te tuigen en in te richten, is op afstand toegankelijk, maar locatieonafhankelijk, kan enorm snel worden opgeschaald en kost relatief weinig geld. Het vormt ook de ideale basis voor een wireless sensor netwerk (WNS): een netwerk van sensoren, die door hun lage energieverbruik autonoom functioneren en in staat zijn permanent data door te geven aan het web. Denk aan sensoren in onze directie omgeving: systemen voor het bepalen van de luchtkwaliteit, sensoren die het klimaat in gebouwen optimaal reguleren.

Ook sensoren die we nu al intensief gebruiken – bijvoorbeeld bewakingscamera’s in en om gebouwen – zullen, voor zo ver ze dat niet al doen, steeds vaker hun data in de cloud opslaan. De schaalbaarheid (niet alleen voor opslag, maar ook voor analysecapaciteit) en de gemakkelijk te organiseren toegankelijkheid maken de cloud de ideale thuisbasis voor de sensordata die het IoT in toenemende mate gaat produceren.

 

Het idee achter een meer en meer connected world is dat onze mogelijkheden toenemen: we krijgen meer informatie over en meer vat op de systemen om ons heen. Daardoor kunnen we processen efficiënter inrichten, verspilling tegen gaan, bij complexe vraagstukken sneller tot conclusies komen en bepaalde verschijnselen eerder ontdekken, zo luidt de belofte. Kortom, (big) data gaan ons leven prettiger maken.

Maar het produceren van meer – of liever gezegd, meer nieuwe informatie, maakt ons ook kwetsbaarder. Denk aan een connected auto die gehackt kan worden, of inbrekers die aan de hand van domotica-gegevens precies weten wanneer ze moeten inbreken.

Wanneer onze zorg en aandacht rondom security vooral uitgaat naar de klassieke criminelen die met hacks onze systemen willen gijzelen, dan maken we een grote denkfout. Het vertrouwen in cloudtechnologie loopt de meest ernstige schade op, als niet criminelen, maar onze eigen medemensen – overheidsdienaren, civil servants die we zelf hebben aangewezen – misbruik van hun informatieprivileges gaan maken, ook al beloven ze dat ze de burger zullen beschermen tegen een overheid met expansiedrift.

 

De afgelopen zomer heeft cloudcomputing al de eerste ernstige deuken opgelopen en niet doordat commerciële spelers te snel gewaagde diensten en producten lanceerden. In de VS waren het de NSA-praktijken die het cloudconcept onder enorme druk zetten. Zo onthulde de Britse krant The Guardian dat de NSA via geheime gerechtelijke dwangbevelen de mogelijkheid gebruikte om clouddata af te tappen van miljoenen Verizon-klanten. Voor het eerste werd duidelijk in de VS wat de kracht was van de Patriot Act. Het ging niet langer om een ‘mogelijkheid’ dat jouw persoonlijke data door de overheid zouden kunnen worden opgevraagd, maar om de realiteit dat ze al waren gekopieerd en opgeslagen door die overheid. Weg privacy.

 

Bij het uitrollen van nieuwe IoT-modellen en -concepten (bijvoorbeeld protocollen voor machine-to-machine-communicatie zoals bij slimme energiemeters of on demand diensten voor gebouwenbewaking) houden ontwikkelaars nadrukkelijk rekening met security-aspecten van zowel M2M als cloud. Wanneer systemen onbetrouwbaar blijken te zijn, zullen consumenten ze massaal de rug toe keren, hetgeen dergelijke concepten financieel kwetsbaar maakt. Er is bij datagebaseerde diensten geen tweede kans zoals bij fysieke producten waarbij je met een goede recall actie de schade nog kunt proberen te beperken. In het een betrouwbaar Internet of Things wordt authenticiteit van dingen een belangrijk element. Is de sensor wel het apparaat dat het beweert te zijn? Hoe kan voorkomen worden dat Things ongeoorloofd elkaars identiteit overnemen? Daarnaast speelt data-integriteit een belangrijke rol: is de informatie die een sensor afstaat, nog steeds dezelfde informatie die uiteindelijk op een tussen- of eindbestemming wordt opgeslagen?

 

Wat is de waarde van dit soort inspanningen? De belangrijkste voorwaarde om met een prettig gevoel het cloud tijdperk te betreden, blijft toch een betrouwbare overheid. Wanneer die het keer op keer laat afweten, worden alle andere maatregelen op het gebied van security – ook die van de overheid zelf, bijvoorbeeld om ons op te voeden op het vlak van datasecurity – een lachertje. In plaats van meer veiligheid en betrouwbaarheid is het eindresultaat het omgekeerde: de stap naar cybermuiterij, cyberterrorisme en cyberactivisme wordt steeds kleiner, zoals Edward Snowden al overtuigend heeft laten zien. En last but not least wordt het gedrag van overheden een ernstig obstakel voor innovatie.

 

Deze post is tot stand gekomen in samenwerking met de Zero Distance community en T-Systems

[wp_twitter]

Digitale vaardigheid of digitale weerbaarheid?

De (digitale) overheid wil de digitale vaardigheden van burgers versterken. Maar een duurzame digitale overheid kan niet zonder een digitaal bewuste burger die ook begrijpt wat de overheid wil, kan en mag.

Meer mensen, meer devices, meer data, meer apps, op meerdere plekken. Het aantal ‘always connected’ kenniswerkers in de wereldwijde beroepsbevolking is volgens onderzoek van Cognizant toegenomen: van 23 procent 2011 tot 29 procent  in 2012. De komende jaren zullen bedrijven meer hoogopgeleide informatiespecialisten en data-analisten nodig hebben. De war for talent lijkt vooral gericht op werkgevers en arbeidsmarkt. Maar niet alleen bedrijven zijn gebaat bij een goed functionerende digitale economie. Ook de overheid zet in op een goed functionerende digitale samenleving. Uiterlijk 2017 moeten burgers alle zaken met de overheid veilig en gemakkelijk online kunnen regelen. De overheid heeft dus haast. Begrijpelijk, want digitaliseren vergroot de mogelijkheden van de overheid en verlaagt de kosten.

Voor de overheid is het – net als voor een bedrijf – van belang dat de ‘klanten’ de weg weten te vinden in alle diensten en producten en bovendien verstandig kunnen omgaan met hardware en software. Dat stelt eisen aan de digitale vaardigheden van mensen: in hun rol als consument, werknemer en burger. Hoewel we in Nederland uitstekend zijn toegerust met technologie, blijven onze digitale vaardigheden achter. Volgens Stichting Lezen en Schrijven zijn er in Nederland 3 tot 4 miljoen mensen boven de 16 jaar die niet voldoende vaardig zijn om mee te komen in de huidige (digitale) kenniseconomie. Van hen zijn er 1,5 miljoen laaggeletterd.

De overheid doet daarom zijn uiterste best de digitale vaardigheden verder te vergroten. Het accent van de inspanningen – denk aan programma’s als Digibewust, maar ook aan onderzoek –  is gericht op de groep die wel ‘wil’, maar nog niet ‘kan’. En waar het gaat om ‘kunnen’, staan vaardigheden als omgaan met hardware, software, risicobeheersing, databeveiliging en privacy centraal. In de tweede Nationale Cybersecurity Strategie wordt ingezet op cyberbewustzijn bij burgers, maar ook hier staat het toepassen van basis-veiligheidsvereisten bij het surfen op het web centraal.

Het is echter een denkfout om de burger vooral te beschouwen als klant van de overheid, waarbij het streven naar zelfredzame burgers vertaald wordt in vaardigheden op informatietechnologiegebied. Digitaal bewustzijn en digitale weerbaarheid zou verder moeten gaan dan ‘kunnen’. Mensen zijn pas digitaal weerbaar wanneer ze als kritische en mondige burger in staat zijn de digitale handel en wandel van bedrijven en overheden te begrijpen. Het gaat dan om achterliggende modellen van gebruikte methoden: wat betekent het bijvoorbeeld als ik mijn stem elektronisch uitbreng? Het gaat ook om het kunnen doorzien wat de consequenties zijn van ingrepen of vragen, afkomstig van de overheid: denk aan de verplaatsing van activiteiten van overheden. Bijvoorbeeld de decentralisatie van zorgtaken richting de gemeente) waarbij niet duidelijk wie aan de hand van welke data beslissingen gaat nemen. Investeren in digitale vaardigheden krijgt een bijsmaak als je niet ook de digitale naïviteit bestrijdt.

De overheid moet niet alleen via goed ICT-onderwijs investeren in het creëren van digitaal vaardige en weerbare burgers, maar ook in eigen huis werken aan het eigen digitale besef. Volgens BinnenlandsBestuur is een beperkt digitaal bewustzijn niet alleen een probleem dat zich bij burgers voordoet. Lagere overheden en gemeenteambtenaren hebben bijvoorbeeld nog een stap te zetten als het gaat om bewustzijn op het gebied van cybersecurity, zo blijkt uit de Rapportage Cyber Security van Intomart GFK. Onze data zijn niet bepaald in veilige handen: gemeenteambtenaren scoren op de meeste deelonderwerpen (zoals bewustzijn, omgang met wachtwoorden, et cetera) lager dan medewerkers bij Rijksoverheid, vitale sectoren en bedrijfsleven. Ook voor overheden geldt dat digitaal bewustzijn verder gaat dan vaardigheden.

Het is niet in het belang van de overheid zelf om – op het vlak van digitale weerbaarheid – uiterst kritische burgers op te kweken. Maar het zou met name liberalen (die naar een zo klein mogelijke overheid streven) wel sieren als ze investeren in de onbalans als het gaat om digitale weerbaarheid en datapower. De kans is anders groot dat burgers bij de overheid dezelfde weg afleggen als destijds de klanten bij de banken: lever diensten en producten waarvan niemand snapt hoe ze werken en tegen de tijd dat er iets ernstig mis gaat, sturen we wel een excuusbrief. Dat is geen goed recept voor een goed werkende digitale samenleving.

 

Deze post is tot stand gekomen in samenwerking met de Zero Distance community en T-Systems

[wp_twitter]

Meer mogelijk met big data – de keerzijde

Big data wordt big business. Met big data, analytics en het internet of things wint ook het privacydebat weer aan belang. Het uitgangspunt ‘ik heb niets te verbergen’ is daarbij geen houdbaar argument meer.

“All the privacy solutions you hear about are on the wrong track.” In MIT Technology Review van deze maand zet Evgeny Morozov, auteur van The Net Delusion, perfect uiteen waar het mis gaat in het huidige privacy-debat. Hij begint bij 1967, als Paul Baran, een technicus, de blik vooruit werpt en mijmert over een netwerk van computers dat allerlei alledaagse problemen van mensen zou kunnen oplossen. Je zou met zo’n netwerk bijvoorbeeld precies weten wat er wanneer op televisie is en zelfs berichten krijgen wanneer jouw favoriete televisieserie begint. Baran had een vooruitziende blik.

Internet draagt niet bij aan democratie

De afgelopen twintig jaar is er hard gewerkt aan het internet. Soms komen de ideële doelstellingen daarvan nog voorbij, maar Morozov rekent af met degenen die de (digitale) free flow of information associëren met ‘meer democratie’. Een aanhoudende hallucinatie noemt hij dat. Hij wijst daarbij op de honger naar informatie – en dus data, de grondstof – van zowel bedrijven als overheden, die al langer bestaat dan het internet. Bedrijven willen meer weten omdat ze dan beter kunnen adverteren of verkopen; overheden willen graag ons gedrag in goede banen leiden, zodat we niet te veel kosten en voldoende bijdragen aan het in stand houden van de overheid. Morozov wijst op de software die door de Italiaanse overheid wordt gebruikt om verbanden te vinden tussen de opgegeven inkomsten (via de inkomstenbelasting) en de uitgaven van individuen. Wanneer de Italiaanse overheid de mogelijkheden om data over het uitgavenpatroon van burgers te verzamelen ziet inkrimpen, ligt het voor de hand dat Google en Facebook het volgende loket zijn waar deze informatie verkrijgbaar is.

Data = ruilmiddel

Burgers op hun beurt springen nog steeds gewillig door het hoepeltje in ruil voor het afstaan van data. Na het gebruik van honderden websites, tientallen overheidsdiensten, honderden apps en allerlei online en offline acties weet je echter al lang niet meer waar al je datarechten zijn gebleven – of wanneer en aan wie je ze hebt verspeeld. Meestal vinden we dat geen bezwaar, want iedere keer als we gemakkelijk doen over het afstaan van data krijgen we in ruil daarvoor gratis software, gratis content of korting op onze uitgaven.

De data die we afstaan aan derden vormen de basis voor big data analytics. Op basis van algoritmen kunnen bedrijven en overheden vervolgens beslissingen nemen, waarbij het steeds moeilijker wordt om uit te leggen waarom die beslissingen zijn genomen of op basis van welke argumenten. Het betekent dat verantwoordelijkheid steeds vaker aan systemen of constellaties zal worden toegeschreven: ‘het algoritme heeft besloten’.

Hiermee wordt de afstand tussen burger en overheid groter. Het ondermijnt het geloof in een democratie: namelijk dat bestuurders zich relateren tot de acties die zij nemen. Omgekeerd kunnen analytics er voor zorgen dat iemand die niet in patronen past, zonder uitleg in een uitzonderingssituatie kan worden geplaatst. Iemand die afwijkt, trekt de aandacht en kan vragen voorgelegd krijgen.

Laat me met rust

Morozov verwijst in zijn artikel ook naar een ander grondbeginsel van privacy: namelijk het recht om met rust gelaten te worden en zelf beslissingen te nemen, zonder dat iemand zich daar doorlopend mee bemoeit. De zelfredzaamheid, die uiteraard gepaard gaat met een zekere verantwoordelijkheid, zou goed moeten passen bij liberale grondbeginselen. In liberale kringen wordt weliswaar gesproken over een balans tussen fundamentele liberale waarden privacy en veiligheid maar er wordt onvoldoende bij stilgestaan dat het opgeven van delen van privacy een onomkeerbaar proces is, juist doordat informatie bij de overheid belandt. Vrijheid wordt steeds meer ingeperkt door een ‘grens van onzichtbaar prikkeldraad’, aldus Morozov, die bovendien steeds moeilijker doordringbaar wordt: onze mogelijkheden tot onafhankelijk gedrag worden steeds kleiner. Morozov geeft daarbij een praktisch voorbeeld: stel, je wilt een T-shirt kopen, maar je ziet dat het in Bangladesh gemaakt is. Koop je het wel, dan ben je wellicht fout bezig omdat je geen rekening houdt met de slechte arbeidsomstandigheden aldaar. Maar koop je het T-shirt niet, dan betekent dat misschien wel dat je een kind de prostitutie in dwingt. Steeds vaker gaan mensen voor het nemen van zo’n beslissing ‘research’ doen op het web. Met andere woorden, ze maken niet zelfstandig een afweging, maar laten deze over aan dat wat een zoekmachine aan informatie teruggeeft. Die machine is weliswaar afhankelijk van jouw input, maar zeker niet objectief en onthoudt bovendien wat je gevraagd hebt.

Ik heb niets te verbergen

Volgens Morozov gaat het fout wanneer de discussie zich beperkt tot het uitgangspunt dat mensen zelf moeten kunnen beslissen met wie ze wel of niet data delen. De gedachte ‘ik heb niets te verbergen’ – voor velen de meest praktische opvatting over privacy – is problematisch. Het risico zit hem in autonoom gedrag dat ‘afwijkt’ en wijzelf zijn niet degenen die daarvoor de criteria opstellen. Hoe meer informatie we over ons zelf blootgeven, hoe meer dat onzichtbare prikkeldraad zich sluit. Dat heeft tot gevolg dat mensen die in beginsel gelijk zijn, door een overheid op verschillende wijze kunnen worden bejegend. Aan individualiteit kunnen dan negatieve consequenties worden verbonden.

Morozov pleit voor een andere discussie, waarbij ook wordt gekeken naar de keerzijde van het alsmaar willen inperken van risico’s en het zoeken naar zekerheden door overheden. We moeten opnieuw leren accepteren dat in een vrije samenleving ook risico’s schuilen. Het alternatief is dat een overheid die de kans op terreuraanslagen wil minimaliseren, overgaat tot monitoren en beïnvloeden van burgers. In dat opzicht is de overheid al een heel eind de verkeerde weg ingeslagen met het willen weten wat iedereen doet, denkt en zegt. Met democratie heeft het allemaal weinig te maken, met veiligheid nog minder.

Lees ook de berichtgeving op GeenStijl inclusief reacties.

Deze post is tot stand gekomen in samenwerking met de Zero Distance community en T-Systems


Cloudbankieren

DSC_9178Wanneer je het vliegtuig naar de VS neemt, weet de NSA vermoedelijk sneller wat jij aan boord hebt gegeten dan dat de cabin crew het aan je heeft gevraagd. Passenger Name Records moeten door vliegmaatschappijen beschikbaar worden gesteld aan de VS, die afspraak is nu eenmaal gemaakt, maar het afluistervraagstuk plaatst internationale afspraken en wet- en regelgeving in een ander perspectief. Onze banken worstelen echter al langere tijd met het datavraagstuk en met vergelijkbare wetten en regels met een eveneens twijfelachtige werking.

Cloud computing is een vorm van outsourcing

Nederlandse banken die zaken doen met Amerikaanse bedrijven, hebben te maken met verschillende regelingen. Aan de ene kant is er de Patriot Act, die de AmerikaanDSC_8837se overheid (officieel na toestemming van de rechter) de mogelijkheid biedt om data op te vragen van Amerikaanse burgers en bedrijven, ongeacht waar die zich bevinden. Aan de andere kant dragen Nederlandse organisaties vanuit Nederlandse en Europese wetgeving zelf de verantwoordelijkheid voor een correctie verwerking en bescherming van persoonsgegevens. Wanneer Europese banken zaken doen met internationale dienstverleners, wordt de wet- en regelgeving alleen maar complexer. Niet-Europese dienstverleners moeten verklaren dat zij de Europese wet- en regelgeving respecteren. Hun datacenters moeten bijvoorbeeld binnen Europa gevestigd zijn, zodat voorkomen kan worden dat een vestigingsland (buiten Europa) via eigen wet- en regelgeving kan bepalen hoe er wordt omgegaan met data. Datacenters zijn relevant voor de opslag van klantgegevens. Van grote financiële instellingen is vrijwel nooit bekend waar zij welke data onderbrengen.

Safe harbor

De Safe Harbor-regeling tussen de EU en VS schrijft voor dat Amerikaanse bedrijven alleen privégegevens van Europese consumenten verwerken en opslaan als ze (Safe Harbor)-gecertificeerd zijn. Onderliggende regels hebben betrekking op zaken als toestemming, databeveiliging, handhaving en klachtafhandeling. Het Safe Harbor-keurmerk wordt gehandhaafd door het Amerikaanse ministerie van Handel.

Of het Safe Harbor-keurmerk garanties biedt, is de vraag. De Patriot Act geeft de VS altijd de mogelijkheid om data (of complete servers) te vorderen, iets waardoor het keurmerk aanzienlijk aan kracht inboet. Het College Bescherming Persoonsgegevens (CBP) stelt daarom dat Nederlandse bedrijven en organisaties die clouddiensten afnemen in de VS, zelf eindverantwoordelijk zijn voor de bescherming van persoonsgegevens.

Toezicht?

Om die verantwoordelijkheid goed te kunnen invullen moet je dan wel een audit kunnen uitvoeren bij je clouddienstverlener. Voor financiële instellingen geldt dat De Nederlandsche Bank (DNB) toezicht houdt en dat toezicht strekt zich uiteraard ook uit tot de DSC_9178IT van banken. In de Wet Financieel Toezicht (WFT) en de Pensioenwet is vastgelegd dat DNB een right to audit heeft. Dat recht kan gebruikt worden wanneer DNB er niet of onvoldoende in slaagt om via normale procedures (opvragen van documenten, stellen van vragen) aan informatie te komen. Wanneer banken overgaan tot het uitbesteden van IT, mag dat niet leiden tot belemmeringen in het toezicht, zo is één van de eerste voorschriften van DNB. Cloud computing verandert daar niets aan. Het audit-recht van toezichthouders blijft aan de orde en gaat bij IT-outsourcing bijvoorbeeld tot op het niveau van onderaannemers van IT-dienstverleners. De praktijk is echter tot nu toe dat veel Amerikaanse partijen niet toe stonden dat een Nederlandse toezichthouder het right to audit ook daadwerkelijk zou uitoefenen: toezichthouders kwamen er eenvoudigweg niet in.

Werkbare afspraken

Financials ervaren het dan ook als een hele toer om alle wet- en regelgeving vertaald te krijgen in juridische contracten en afspraken met hun service providers. Service providers op hun beurt vrezen dat opdrachtgevers of toezichthouders zo maar kunnen binnen vallen. Het realiseren van contractuele afspraken met service providers rondom het naleven van wet- en regelgeving is hierdoor tijdrovend maatwerk.

De service providers en de Nederlandse financiële sector zijn gebaat bij heldere afspraken over bijvoorbeeld het invulling van het toezicht. DNB heeft met de clouddienstverleners Microsoft, Salesforce.com en Amazon overeenstemming bereikt over de wijze waarop specifieke clausules van IT-contracten kunnen worden ingevuld. Het gaat dan om aspecten als hoe vaak het right to audit speelt, wie de kosten draagt en wat een audit precies inhoudt. De afspraken die DNB met Salesforce.com, Microsoft en Amazon heeft gemaakt, zijn echter niet openbaar. Ze zijn concurrentiegevoelig en hangen nauw samen met de aangeboden diensten van de betrokken partijen; mede een gevolg van principle-based toezicht door DNB (in plaats van rule-based toezicht).

Meer transparantie?

Hoewel de Patriot Act een pijnpunt blijft, begrijpt een partij als Microsoft dat ze moet inspelen op de lokale Europese situatie – het bedrijf wordt dan ook steeds transparanter over de locatie van de eigen datacenters, aldus DNB. Wanneer concurrentie er voor zorgt dat meer leveranciers DSC_8957versneld gaan inspelen op regelgeving, wordt dat aantrekkelijk voor klanten. Het vergroot tegelijkertijd de complexiteit: dienstverleners zullen namelijk sterker moeten inspelen op uiteenlopende omstandigheden van verschillende lokale markten. Of de verschillende nationale toezichthouders eenzelfde beweging zullen maken en zullen streven naar geharmoniseerde regelgeving, valt te betwijfelen. Daarvoor zijn de verschillen in nationale wet- en regelgeving op het vlak van levensverzekeringen en pensioenen nog veel te groot.

Of juist gebrek aan transparantie?

Leveranciers bieden inmiddels allerlei verschillende cloud diensten aan, bijvoorbeeld afgestemd op verticals of op specifieke vraagstukken rondom data of toepassingen. IT-uitbesteders ervaren tot nu toe vaak gebrek aan transparantie bij aanbieders. Zo worden ze soms achteraf toch geconfronteerd met additionele kosten en vragen ze zich af wat het verschil is tussen een private cloud en gevirtualiseerde diensten. Aan de andere kant kan het schaalvoordeel dat een cloudprovider kan leveren, ook betrekking hebben op het gebied van security. Kiezen voor de cloud betekent dat je als uitbesteder in een multi-tennant-omgeving terecht komt, waarbij de aanbieder maximale energie in beveiliging zal steken. Maar wanneer financials met die reden allemaal voor dezelfde cloudprovider kiezen, maakt dat die ene provider en daarmee de financiële sector als geheel weer extra kwetsbaar.

 

Dit blogbericht is gebaseerd op een verslag van een rondetafeldiscussie over ‘financials in de cloud’ (2013). De discussiebijeenkomst werd geleid door Marco Gianotten en was een initiatief van de Werkgroep Cloud van Platform Outsourcing Nederland. Het uitgebreide verslag inclusief een case over de stap van Robeco naar de cloud is te vinden op http://giarte.nl/publications/outsourcing-performance-2014/

Deze post is tot stand gekomen in samenwerking met de Zero Distance community en T-Systems