Let's talk about hacks 6: Opsporen en voorkomen van cybercrime

Het Nationaal Detectie Netwerk (NDN) bestaat alweer 10 jaar. Maar wat gebeurt er in de wereld van het speuren naar cyberdreigingen? Wat komt men tegen en hoe gaat het NDN daar mee om? En op welke manier wordt er samengewerkt met het NCSC?

Let's talk about hacks
Beeld: ©ICTU

Noortje Henrichs (NDN) en Hans de Vries (NCSC) gaan in de zesde aflevering van de podcast “Let’s talk about hacks” in op deze en vele andere vragen.

Let's talk about hacks 6: Opsporen en voorkomen van cybercrime

LEVENDIGE MUZIEK

DE VRIES: FG, beschermer of klokkenluider?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman
en namens het Centrum Informatie- beveiliging en Privacybescherming
bespreek ik met functionarissen gegevensbescherming en deskundigen
de dilemma's waar deze FG's mee te maken hebben.
En vandaag te gast, Danielle Oudhuis,
FG bij 't Hoogheemraadschap Hollands Noorderkwartier en ook CISO aldaar.
en Mabel de Vries. Jij wordt als externe FG ingevlogen bij organisaties.
Eigenlijk overal waar ze jou kunnen gebruiken, word jij gebeld.
DE VRIES: Ja, klopt.
ROTMAN: Danielle, beschermen of klokkenluider, dat is nogal wat.
Jazeker, dat is af en toe een best wel behoorlijk dilemma
waar je in terecht kunt komen als FG.
ROTMAN: Hoe is dat als je in één keer in een situatie terechtkomt dat je denkt:
ik moet ineens gaan klokkenluiden of zo. Dat is toch onhandig?
OUDHUIS: Het liefst kom je niet in zulke situaties in mijn beleving.
Maar het zou zomaar kunnen. Dat is ongemakkelijk, kan ik me voorstellen.
Maar het is wel belangrijk dat je dat kunt doen.
ROTMAN: Dat je ook de vrijheid voelt van: o, oké.
Nu moet ik wel even ergens aan een bel gaan trekken.
Is dat een reëel scenario, Mabel?
DE VRIES: Je moet nadenken
wat het effect is als je het doet. Daar schort het heel erg aan.
Mensen vinden dat ze klokkenluider moeten zijn,
maar overdenken niet de risico's die daarmee gebaat zijn,
of die daarmee eigenlijk nog groter worden
dan alleen maar het klikken op het AVG-stuk.
Klikken, ja, wat die zegt natuurlijk. Wat zegt de AVG hier eigenlijk over?
Wat wordt er van je verwacht als FG?
OUDHUIS: Naar mijn weten staat er in de AVG niks over klokkenluiden.
ROTMAN: Hoe interpreteer jij het zelf? Het is een nieuw vakgebied.
Er is veel ruimte en mensen voelen veel ruimte.
Wat vind jij zelf eigenlijk?
OUDHUIS: Nou, in de AVG is wel belangrijk onderscheid gemaakt
tussen de rol van de FG en de verwerkingsverantwoordelijke.
Ik zie het als mijn rol als FG om te wijzen op risico's.
Als een verwerkingsverantwoordelijke dat naast zich neerlegt
dan is dat hun verantwoordelijkheid.
En ik denk dat je pas gaat klokkenluiden
op het moment dat je echt denkt: hé, hier is de integriteit in het geding.
En ik denk dat je heel veel kunt doen voordat je op dat punt terechtkomt.
Dus ja, ik hoop dat je nooit in die positie hoeft te komen als FG,
maar het is wel goed om te weten dat die mogelijkheid er is.
ROTMAN: Heb je zoiets meegemaakt?
Misschien in je huidige baan. Of misschien eerder.
Heb je je weleens op die T-splitsing gestaan?
OUDHUIS: Nou ja, niet in de zin van klokkenluiders zoals Mabel dat schetst,
maar wel in de zin dat ik denk: hé, hier ga ik wel even escaleren.
ROTMAN: Kun jij omschrijven waar dat toen over ging?
OUDHUIS: Nou ja, dat ging om gebruik van gegevens voor een ander doel
dan waarvoor ze zijn verzameld. Dat is wel weer een aantal jaar geleden.
Toen was het allemaal nog vrij nieuw.
Toen werd eigenlijk 5 voor 12 aan mij gevraagd:
wil je even aangeven wat ik nog aan privacy moet doen?
Eigenlijk was het meer de vraag: zet even een vinkje, dan kunnen we door.
ROTMAN: Zet een krulletje.
OUDHUIS: Toen heb ik gezegd: zo gaan we dit niet doen.
Omdat het 5 voor 12 is,
zit je ook in een positie dat je niet kunt meedenken: hoe dan wel?
Dat was wel een vervelend moment, want dan ben je best vervelend
naar de organisatie natuurlijk. En dat is ook mijn rol.
Dus dat vind ik ook helemaal niet erg.
Alleen, je komt wel heel snel in een escalatieprocedure terecht.
ROTMAN: Herkenbaar, Mabel, dat je op het allerlaatste moment
geacht wordt een vinkje te zetten?
Jij lijkt me niet het type dat zomaar vinkjes zet. Maar is dit herkenbaar?
DE VRIES: Nou, het verschil tussen een interne FG,
dus iemand die in dienst is, en iemand die extern is...
Ik merk steeds vaker dat daar een verschil zit.
Als iemand mij zo de duimschroeven aandraait,
geef ik het FG-schap terug en zeg ik: ga maar uitleggen waarom je FG opstapt.
Ik schrijf eerst netjes een memo om uit te leggen
wat het effect is van zoveel duwen, want dat 2 voor 12 is heel vaak fictief,
omdat ze het hebben laten liggen of omdat de accountant
over drie weken op de stoep staat. Iedereen in dikke paniek.
Ik denk dat als je meedenkt: waarom is het nu 2 voor 12 en niet half 12?
Dat is de-escaleren.
Dat helpt heel vaak. Heel vaak gaat dat goed.
En als je ze dan ook uitlegt wat de risico's zijn
van dat vinkje alleen maar te willen zetten
en als je doorgezaagd wordt bij controle dat je een heel slecht verhaal hebt...
Ik heb het dus niet meegemaakt dat mensen daar niet in mee gingen.
Je krijgt pittige dialogen, maar ik zeg: ik ga hier niet in mee.
Je hebt mij ingehuurd als interne toezichthouder, lees: beschermer.
Maar als je mij de duimschroeven aandraait en mij vraagt om,
met een mooi woord, onethische dingen te doen, ja, dan haak ik af.
ROTMAN: En wat heb jij in die situatie gedaan, Danielle?
OUDHUIS: Ik heb ervan geleerd om in volgende situaties
eerder met mijn directeur te bespreken van: 'ik zie dit gebeuren,
weet hoe ik erin zit en het zou kunnen dat dit tot een escalatie leidt.
Maar dan weet je nu alvast wat mijn mening is.'
Want toen werd ik verrast dat vanuit de andere kant juist werd geëscaleerd:
'Hé, de FG doet moeilijk.' Dat vond ik geen fijne positie.
ROTMAN: Word je daar onzeker van? Wat doet het met jou zelf in jouw...
Wat gebeurt er in je koppie? Ik kan me voorstellen dat je denkt:
Ik moet met m'n hakken in het zand. Dit zijn mensen die...
OUDHUIS: Ik ben een nuchter persoon, dus ik kan het naast me neerleggen.
Maar ik dacht wel: dit wil ik niet nog een keer op deze manier.
Dus ik ga daar nu wel anders mee om.
ROTMAN: Wat is dan the way out? Want ik hoor Mabel zeggen:
je moet een beetje de confrontatie of in ieder geval het gesprek aangaan
en uitleggen waarom dit echt niet kan.
Maar wat is the way out als dat niet werkt?
Als ze hadden gezegd: sorry, we hebben gewoon haast. Dit is belangrijk.
Wat doe je dan?
OUDHUIS: Nou ja, hen op hun verantwoordelijkheid wijzen.
Het is hun verantwoordelijkheid om die afweging te maken
om dat wel of niet te doen. En ook bijvoorbeeld een verbeterpad.
Dat het nu tijdelijk de situatie is,
maar dat er wel een verbetering in de planning is
om die die AVG-schendingen eigenlijk teniet te doen.
Nog steeds echt wijzen op hun eigen verantwoordelijkheid.
Het is niet mijn verantwoordelijkheid om conform de AVG te verwerken.
ROTMAN: Regel je dingen gewoon.
Stel dat je dan in de positie komt dat ze gewoon niet luisteren.
Wat dan? Waar ga je heen? Tot wie wend je je dan? De AP?
DE VRIES: Nou, als je het specifiek aan mij vraagt...
Ik schrijf netjes... Ik heb eerst gede-escaleerd.
Ik heb uitgelegd: jongens, 2 voor 12 kan ook half 12 zijn.
Hoe laat is het echt?
Als de druk opgevoerd wordt, en dat gebeurt...
Ik heb het nog niet meegemaakt, maar wel van collega's gehoord,
dus ik weet dat het echt gebeurt.
En daar is echt het verschil tussen een FG die in loondienst is,
die gewoon bijna gechanteerd wordt
en die weet: als ik nu niet mee ga, dan heb ik morgen geen werk meer.
Dat is heel schrijnend en dat gebeurt echt.
ROTMAN: Dan word je onder druk gezet.
DE VRIES: Als externe FG ga ik zitten met de directie.
Als ik binnenkom, heb ik ook een gesprek met de directie hoe ik opereer.
Dan kunnen ze altijd nog uitstappen als ze denken: nou, dit moeten we niet.
Maar dan ga ik wel met ze zitten: we hadden dit ooit afgesproken.
Dit is aan de hand, hier ga je de mist in.
En dan schrijf ik netjes een memo met alle bevindingen.
Dat doe ik heel vaak samen.
Het zijn niet de fijnste memo's om te ontvangen als directeur, dat snap ik.
Maar het is wel mijn rol, vind ik.
En dan precies ook wat Danielle zegt, dan leg ik het bij hen terug.
Als het misgaat, dan hebben zij bij eer en geweten, geweten...
Dat vind ik wel mijn rol: om een directie dusdanig voeding mee te geven,
dat ze snappen: ik doe toch m'n zin, maar ik weet wat de risico's zijn.
Ik laat ze dan nooit in het ongewisse en ik laat ze zeker niet in de steek
als het gaat om het moeten begrijpen: waar zeg ik ja of nee tegen?
Ik ben zelf nooit in de situatie geweest,
maar ik weet helaas dat het heel vaak wel gebeurt.
ROTMAN: Dan wil ik straks kijken: oké, wat kan je doen om het te voorkomen?
Want dat is wat jij zegt, Danielle, je moet niet in deze situatie terechtkomen.
Dat gaan we zo doen. Toch aan jullie allebei nog steeds:
Tot wie wend je je dan? Is er een plek buiten de organisatie
als je de klok wil luiden of doe je het gewoon niet,
ga je met collega-FG's even sparren: wat moet ik doen in jouw ogen?
Wat doe je?
OUDHUIS: Ik ben gelukkig ook nooit zo ver in de situatie geweest
en daarbij wil ik ook wel zeggen: overheden zijn over het algemeen...
Over het algemeen hebben ze goede intenties
om eigenlijk de dienstverlening naar de burger te verbeteren.
Dus er zit geen kwade wil achter
of het idee dat ze geld willen verdienen aan persoonsgegevens.
Dat maakt het gesprek al heel anders.
Maar goed, terugkomend op je vraag:
tot wie zou je je wenden op het moment dat dat wel aan de hand is?
Ja, in eerste instantie denk ik directie, bestuur
en als het echt nodig is de AP.
maar ik denk dat je die kaart liever niet speelt.
ROTMAN: Eens? DE VRIES: Ja, ik heb persoonlijk n...
Ik ga nooit naar de AP om dit te melden, maar ik zou hetzelfde pad doen:
Je gaat eerst naar de directie, als eerste,
en dan uiteindelijk het hoogste orgaan wat er in de organisatie is.
Het ergste: raad van commissarissen. Dat is bij mij nooit zover gekomen.
Wat ik wel weet, is dat in de rol die ik heb bij het NGFG...
krijgen wij dit soort vragen vaak binnen. Ik krijg daar echt wel buikpijn van
Als ik voel waar zij mee zitten. Ik vind dat echt wel erg schrijnend,
maar dat is niet het antwoord op de vraag. Bij mij gaat dat niet zo ver.
Ik neem de stelling: verantwoordelijkheid ligt bij de verwerkingsverantwoordelijke.
Ik vind het wel m'n plicht, dat vind ik fijn van mijn vak, om ze mee te nemen:
waar hebben we het nou over?
Soms hebben ze een toezichthouder
die meer ellende kan veroorzaken dan de AP.
Denk aan de AFM.
Als je je licentie kwijtraakt, is dat misschien erger
dan dat je de AP op bezoek krijgt.
Die stoel kan ik niet op zitten, vind ik niet mijn plek.
Ik vind dat ze moeten afwegen: waar doet het het meeste pijn?
Heb je erover nagedacht? Verbluffend hoe fijn ze die dialoog vinden,
ondanks dat het soms hele nare gesprekken zijn,
maar dat ze daarna wel denken: nou, daar hebben we nooit over nagedacht.
Dat vind ik ook een rol. Niet alleen beschermen van de gegevens,
maar ook van bedrijfsvoering en mensen die geholpen moeten worden.
We doen wel alsof het alleen voor FG's nieuws is,
maar het is ook nieuw voor alle mensen in de bedrijfsvoering
en ik heb het gevoel dat dat heel vaak vergeten wordt.
Dat vind ik een rol van de FG om ze mee te nemen: hier hebben we het over.
ROTMAN: dat is jouw verhaal tegen die mensen
die zich met een beetje angst en beven bij je melden.
Je zegt: oké, ga met ze in gesprek, schrijf die memo, hè,
zoals jij dat ook gedaan had en wijs ze op wat er gaande is.
Oké, dat is het scenario klokkenluider. Danielle wil daar helemaal niet komen.
Je vertelde net over wat je hebt geleerd om te voorkomen dat het zover komt.
Noem 's wat dingetjes. Hoe zorg je ervoor dat dit dilemma
gewoon niet op je pad komt?
Wat zijn de concrete maatregelen waarvan jij zegt:
Dat heb ik gedaan en ik voel me er wel senang bij eigenlijk.
Ik wil dat mailtje helemaal niet sturen naar Mabel.
OUDHUIS: Zo vroeg mogelijk in het proces betrokken zijn.
Dus zorg dat je tijdig aan tafel zit om mee te denken
en ook te laten zien aan de organisatie: Hoe eerder je over privacy nadenkt,
hoe makkelijker het te integreren is in je ontwerp.
Want heel vaak merk je dat als je dat later doet, dus half 12 of 5 voor 12,
dat er dan al zoveel keuzes zijn gemaakt
dat je eigenlijk geen privacyvriendelijke oplossingen meer kunt kiezen,
want dan is dat al besloten.
ROTMAN: Dus dat is één: je zorgt als je maar een beetje lucht krijgt,
een beetje een gevoel van: hé, er gebeurt iets in de organisatie
waarvan ik denk: iets met privacy. Op de deur kloppen.
En zeg: oké, ik wil meepraten nu. Dat is één, oké.
Wat kun je nog meer doen om te zorgen dat je niet dit dilemma op je pad krijgt?
OUDHUIS: Vooral aangeven hoe het wel kan.
Ook meedenken in hun processen.
Heel vaak hebben ze daar zelf helemaal niet over nagedacht:
hoe loopt m'n proces en welke gegevens heb ik voor welk doel nodig?
Je ziet vaak processen
waar je op verschillende momenten persoonsgegevens gebruikt.
Die moet je allemaal afzonderlijk gaan benaderen:
wat is mijn doelbinding hierbij
en welke gegevens mag ik om welke reden gebruiken?
Dat zijn ze vaak niet gewend om zo te denken.
ROTMAN: Oké, Mabel.
Je moet dus zorgen dat je vroeg in het proces met je snufferd erbovenop zit
en je moet je goed bewust worden van je eigen rol
en dat heel erg duidelijk maken van: kom op, dit is wat ik doe.
Dus je moet een beetje tijger zijn.
Heb je nog wat dingen toe te voegen die je kan doen
als jij wil voorkomen dat je überhaupt in deze rotsituatie terechtkomt?
DE VRIES: Ja, ik wil daar wel een onderscheid maken
dat ik niet in overheids-FG-posities zit. Om meerdere redenen dan één.
Maar voordat ik binnenkom, doe ik altijd een nulmeting.
Dat is een voorwaarde voor mij om überhaupt in te stappen.
Ik bedoel, drijfzand wil ik best in, maar dan wil ik weten dat het drijfzand is.
En dan heb je een plan van aanpak: jongens, jullie staan er zo voor.
Jullie wilden een 9,5 zijn, jullie zijn een vier.
Een 9,5 is misschien te veel, gaan we lekker eerst voor een zeven.
Hoe komen we daar?
Dan maak je een afspraak en dat is een plan en dat is een project.
En in die fase krijg ik de mogelijkheid...
Dat is gewoon een voorwaarde dat ik instap, want het is wel mijn reputatie.
Zo ga ik werken.
Ik ben vanaf dag één onderdeel van de architectuur.
Zijn ze soms ook wel een beetje treurig van, denken ze: heb je haar weer.
Maar op het moment dat die zeven er is, is het hun zeven. Niet die van mij.
Dan heb je processen ingericht en word je vanzelfsprekend betrokken.
Ik ga die positie in als interimmer en ga weer weg.
Ik laat het achter voor een ander die het overpakt.
Heel vaak komt er niemand anders. Maar ja, als je erin gaat van:
ik ben hier tijdelijk om de boel goed op orde te brengen,
te zorgen dat de organisatie het echt doorleeft en voelt
hoe belangrijk het is en hoe ermee om te gaan.
Dan heb je zelf de processen gebouwd.
En wat Danielle ook zegt:
veel processen zijn bij veel bedrijven nog niet eens ingericht.
Ze weten niet eens dat een werkproces ze gaat helpen.
Dat vinden ze allemaal ingewikkeld.
Ja, even los van privacy,
maar dat is wel de sleutel om te zorgen dat je betrokken bent.
Want dan weef je de rol en de functie van het privacyteam,
dus FG, privacy officer, zelfs CISO,
weef je in in de algemene bedrijfsvoering van dag tot dag.
ROTMAN: Heb jij de indruk dat jij deel uitmaakt
van de architectuur, Danielle? Is dat gelukt?
OUDHUIS: Was het maar zo. ZE LACHEN
Ik doe dit nu een hele tijd.
Ik ben de enige die zich hiermee bezighoudt in de organisatie.
Ik heb nu sinds kort ook een privacy officer
die een heel groot deel daarvan kan overnemen,
waardoor ik daar wat meer tijd voor heb.
Het is nu gewoon bouwen aan de basis op orde om aan de AVG te voldoen.
Continu eigenlijk nieuwe verwerkingen waar je mee geconfronteerd wordt.
Dus het is nu nog een beetje zwemmen, maar ik hoop dat dat wel meer komt.
En ja, waar ik wel vroege signalen krijg, daar probeer ik meteen op te duiken
om te helpen om aan de AVG te voldoen.
ROTMAN: Ik gun alle FG's van Nederland dat ze deze podcast luisteren
ver voordat ze in de positie komen dat ze denken van: ik moet klokkenluiden
en jullie hebben leuke zinnige dingen gezegd.
Dank daarvoor, Danielle Oudhuis en Mabel de Vries.
Luister afleveringen van Privacy in de Praktijk terug
en ga hiervoor naar cip-overheid.nl/uitgelicht.

LEVENDIGE MUZIEK EINDIGT