Er is een FIS voor iedere smaak juni 13, 2006
Posted by Gertjan in Forensisch Informatie Systeem.trackback
Bij het verkennen en formuleren van de eisen voor het FIS zijn we al vrij snel overgegaan tot een afbakening op de grote bedrijven (Fortune 500). Maar ook het MKB en de Onderwijsinstellingen kunnen/zullen baat hebben bij een FIS. Zoals ook al aangegeven is het voor deze categorie een stuk moeilijker de procedures en het beheer ervan in te regelen door het gebrek aan schaalgrootte.
Een oplossing voor deze problematiek kan het Distributed FIS (DFIS) zijn. In deze vorm wordt wel de techniek geïmplementeerd bij het bedrijf, maar is het beheer en de opslag van de data extern gehost. Een Trusted Third Party (TTP) bewaakt en bewaard de gegevens, welke (uiteraard) in een beveiligd segment staan opgeslagen. Dezelfde toepasselijke cryptografische technieken worden toegepast als bij het FIS, waardoor "overspraak" van data en ongeautoriseerde toegang tot de data niet mogelijk zijn. De TTP heeft uiteraard geen toegang tot de data maar vervuld slechts de rol van procesbewaker. Op het moment dat de overleggroep van belanghebbenden (zie ook https://coengertjanmartin.wordpress.com/forum/, nummer 8 ) de situatie rijp vindt voor een "druk op de knop" wordt deze opdracht aan de TTP gegeven.
Natuurlijk moeten er nog wat randvoorwaarden worden ingevuld voordat het DFIS werkelijkheid kan worden. Hierbij kun je denken aan de (wettelijke?) verplichting een FIS te hebben en het vertrouwen van het bedrijfsleven in een TTP
Nederland als dienstverlener pur sang zou hier zelfs internationaal een belangrijke rol in kunnen gaan spelen, met de hoge xDSL dichtheid en bijbehorende Internettoegankelijkheid. Ook de Europese wetgeving, welke in verhouding tot de Amerikaanse wetgeving nog steeds behoorlijk privacy-minded is, zou mee kunnen werken aan het creëren van een klimaat waarbij de invoering van een DFIS mogelijk is.
Forensische informatiesystemen, een open boek? 
Gert Jan,
Goed punt, de vraag blijft natuurlijk nog steeds of de aangeleverde data juist en volledig is. Misschien zou dit via cpntractuele afspraken kunnen worden afgewongen?
Vanuit Wbp oogpunt is het toegestaan om dergelijke informatie buiten de eigen organisatie te ‘hosten’. Wbp stelt zich op het punt dat het management van een organisatie naar eigen keuze invulling kan geven aan de technische en organisatorische maatregelen ter borging van de bescherming van de persoonsgegevens. De wet legt organisaties geen dwingende inrichting van deze technische en organisatorische maatregelen voor.
De contractuele afspraken die vervolgens gemaakt moeten worden met de TTP zullen tot in detail uitgewerkt moeten worden; vanuit de TTP zullen er nooit standaard contracten gebruikt kunnen worden richting hun klanten, daar de doelstellingen van de verwerking van de persoonsgegevens en de wijze waarop deze geschiedt, per organisatie verschilt. Indien het hebben van een FIS niet wettelijk verplicht gesteld wordt, zal er geen animo bestaan om zich als TTP op te werpen voor een dergelijk systeem.
Met deze aanvulling hebben we denk ik een serieuze reden voor een nieuwe wet of wetswijziging, bijvoorbeeld in art. 125 Sv, waarmee het voorhanden hebben van een compleet (definieer “compleet”) logbestand inclusief FIS gegevens verplicht wordt gesteld. Mogelijk zal er ook nog iets moeten worden gedaan aan het zoeken in verbonden systemen, hetgeen ook binnen art. 125 Sv wordt behandeld.
Aan de positieve zijde gezien (vanuit de business kant) betekent dit dat er geen luidruchtig onderzoek hoeft te worden gedaan op de informatiesystemen, de productie geen verstoring ondervind en de kans op imagoschade beperkt blijft (als deze dreiging toch manifest wordt is de imagoschade natuurlijk zelf niet beperkt, maar dat is een andere discussie).
Vanuit de negatieve zijde bezien (onder de categorie “Tegen”) ben ik natuurlijk heel erg huiverig voor dit soort ontwikkelingen. Want stel nu dat er niet alleen geeist wordt dat een bedrijf van bijvoorbeeld een bepaalde grootte, met een bepaalde omzet, met een bepaalde hoeveelheid medewerkers, in een bepaald marktsegment, of welke criteria er ook worden aangelegd om het FIS verplicht te stellen, stel nu dat er ook geeist wordt dat de sleutel tot het FIS óók bij de TTP wordt opgeslagen. Dan is er vast wel ergens een of ander achterdeurtje dat het mogelijk maakt dat een TTP geforceerd wordt de beschikbare informatie op te leveren. Door het FIS is de informatie tenslotte behouden. Zijn we de doos van Pandora opnieuw aan het uitvinden?
Ps.: Het achterdeurtje heet art. 125k lid 2 Sv, op grond waarvan het bevel voor de verstrekking van de voor de ontsleuteling van de benodigde informatie kan worden gegeven. Weigering tot nakoming van het bevel is een strafbaar feit (art. 184 Sr.)
De enige oplossing is dan nog de TTP onder te brengen bij een van de klassieke geheimhouders. Waarbij het nog maar de vraag is of dit voldoende is om doorzoeking van de systemen te voorkomen.