Atelier 3 : les bonnes pratiques (NL)
Atelier 1 : mise en pratique de la fonction de conseiller en sécurité de l’information
Atelier 2 : les tâches du conseiller en sécurité de l’information
Atelier 3 : les bonnes pratiques (NL)
Atelier 4 : sensibiliser à la loi du 15 AOUT 2012
Best practices bij het opzetten, ontsluiten, en beheren van authentieke bronnen (Workshop Authentieke bronnen, 24 mei 2013)
Introductie
Deze workshop werd gemodereerd door Jan Leemans (Oracle) en Koert Van Espen (Apogado)
De objectieven van deze workshop waren als volgt:
· Delen van ervaringen
· Bijleren over best practices
· Identificeren van pitfalls en aandachtspunten
· Wegnemen drempelvrees
Identificatie van de brongegevens
Een eerste probleem dat zich stelt bij het opzetten van een authentieke bron is de eenduidige identificatie van de brongegevens. Deze problematiek kan god worden geïllustreerd aan de hand van het voorbeeld van het bestand van de advocaten actief aan de Belgische balies.
In eerste instantie lijkt dit eenvoudig : het rijksregisternummer van de advocaat kan als unieke sleutel worden gebruikt. Dit is echter niet voldoende, vermits ook buitenlandse advocaten actief zijn, vooral in Brussel door de aanwezigheid van de EU. De oplossing waarvoor werd gekozen is het combineren van de verschillende beschikbare sleutels teneinde tot een unieke identificatie te komen. Dit zal echter nooit waterdicht zijn: de kwaliteit van de gegevens zal dus nooit 100% kunnen zijn !
Een tweede voorbeeld bij Fedasil maakt dit nog duidelijker : het betreft hier de wachtlijst van mensen die asiel aanvragen in België. Dikwijls beschikken deze mensen niet over officiële papieren, en zal de identificatie zuiver gebaseerd zijn op de (door henzelf) opgegeven naam. De schrijfwijze van deze naam zal dan mogelijk ook verschillen bij de verschillende instanties waar de asielaanvrager zich heeft opgegeven.
De aanbeveling van de deelnemers is om deze onduidelijkheden zo vroeg mogelijk in het proces van invoer van de gegevens aan te pakken en te corrigeren.
Kwaliteit van de gegevens
Vraagstelling :
Kan er sprake zijn van een echte authentieke bron als er dubbels of ontbrekende elementen zijn ?
Uit de voorgaande voorbeelden blijkt duidelijk dat in de meeste authentieke bronnen er altijd foutieve gegevens zullen zitten. Dit is inherent aan de natuur van de gegevens en de manier waarop deze worden ingezameld, en kan dus niet worden uitgesloten.
Het is dan ook de verantwoordelijkheid van de beheerder van de authentieke bron om de nodige correctiemechanismes te voorzien zodat fouten gecorrigeerd kunnen worden. De wens van Fedict is dat deze terugmeldingsplicht wettelijk zou worden vastgelegd, hier is echter nog geen consensus over.
In een aantal gevallen zijn er al wel duidelijke corrigerende mechanismes : bijvoorbeeld bij de Orde van de Balies staan er sancties op fouten in de aangiftes van de advocaten.
Aan de andere kant dient er bij het KBO te worden betaald voor het corrigeren van gegevens: dit is een negatief signaal dat de kwaliteitsverbetering hindert.
De beste garantie van kwaliteit is responsabilisering van de invoerders : indien zij zelf consumenten zijn van deze informatie hebben zij er alle belang bij de kwaliteit van de gegevens te maximaliseren.
3de rol : authentieke gegevensbeheerder In de discussie over authentieke bronnen kijkt men vooral naar de 2 meest voorkomende rollen : die van de beheerder van de authentieke bron, en die van de consument van de authentieke bron. Er is echter ook een 3de rol, namelijk die van beheerder van een stukje van de gegevens van een (externe) authentieke bron.
Voorbeeld : Fedasil is verantwoordelijk voor het updaten van bepaalde velden binnen de Kruispunt Databank (registre d’attente). Zij zijn verantwoordelijk voor dit stuk van de gegevens, maar zijn niet de beheerder van de authentieke bron.
Ook deze “3de rol” dient te worden meegenomen in de discussies over verantwoordelijkheden en verplichtingen die het opzetten van een authentieke bron met zich meebrengen.
In een aantal gevallen is er ook sprake van een gedistribueerde gegevensinvoer. Voorbeelden zijn de verschillende balies van de Orde van Vlaamse balies, maar die deze gegevens dan voeden aan een samengesteld bestand.
Een ander voorbeeld zijn de gegevens van de burgers die door de gemeenten worden verzameld, en dan worden doorgegeven naar het rijksregister.
Ontsluiten & finaliteit van de data Er stellen zich nog veel vragen met betrekking tot de ontsluiting van de gegevens van de authentieke bron. Een goed voorbeeld om deze problematiek te illustreren is de informatie betreffende patiënten die wordt opgeslagen door de FOD Sociale zaken : het betreft hier gestructureerde data (naam, adres, etc.) alsook een reeks ingescande documenten (bvb rapporten van onderzoeken etc.) Deze informatie is enkel beschikbaar voor artsen. Maar een arts met toegang tot deze authentieke bron kan vandaag allen informatie van alle opgeslagen dossiers bekijken. In de context van de FOD Sociale zaken zouden enkel artsen die deze mensen als patiënt hebben over deze info mogen beschikken. Een meer fijnmazig toegangscontrole zou dus aangewezen zijn. Indien een dokter echter in een noodgeval een willekeurige persoon ter hulp komt, is het dan weer aangewezen dat deze arts inderdaad tot alle beschikbare gegevens van deze persoon toegang heeft, teneinde de meest adequate hulp te kunnen bieden.
Bij artsen steunt men vandaag enkel op de bestaande deontologische code opdat de artsen geen misbruik zouden maken van deze beschikbare informatie.
Koppelingen met andere bronnen Het principe van een authentieke bron is dat alle informatie slechts op één plaats zal worden bijgehouden, en dat dit dan ook de “authentieke bron” is hiervoor. In de praktijk merken we dat heel wat authentieke bronnen informatie gaan ophalen bij andere authentieke bronnen, om deze dat te verrijken met hun eigen specifieke informatie. Dit wil dus zeggen dat bepaalde delen van de informatie van een authentieke bron mogelijk “uit 2de hand” komen.
Er dient dus bewaakt te worden dat deze informatie inderdaad up-to-date is, en dat er in het “servicecontract” van de authentieke bron duidelijk wordt aangegeven welke gegevens werkelijk door de authentieke bron worden opgeleverd, en welke slechts uit 2de hand worden aangeleverd. Een voorbeeld in de informatie uit het rijksregister, die door bijna alle FOD’s wordt geconsumeerd, zoals bijvoorbeeld het adres van een persoon.
Data Standaarden Welke standaarden worden gebruikt bij het openstellen van authentieke bronnen? Hier lijkt weinig informatie over beschikbaar te zijn, de kruispuntdatabank lijkt als standaard te worden beschouwd.
Op Europees niveau zijn er nog niet echt standaarden ter beschikking, met uitzondering van enkele gespecialiseerde gebieden, bvb het uitwisselen van informatie met betrekking tot de strafregisters van de verschillende landen via het Ecris systeem.
SLA’s Welke SLA kan men verwachten van een authentieke bron ? Deze problematiek dient te worden bekeken vanuit het oogpunt van de burger die beroep kan doen op een aantal diensten die gebaseerd zijn op authentieke bronnen, alsook vanuit het oogpunt van andere overheidsdiensten die voor hun werking mogelijk afhankelijk zijn van de beschikbaarheid van een aantal authentieke bronnen bij andere overheidsdiensten.
Bijvoorbeeld voor eID is er geen gegarandeerde beschikbaarheid, alleen een historiek van een beschikbaarheidsgraad van 98%.
Het aanbieden van een strenge SLA heeft natuurlijk ook een kostprijs, indien de consumerende overheid deze SLA wenst te “verkrijgen” lijkt het ook logisch dat hit een betalende dienst zou zijn. Dit leidt aldus naar de conclusie dat een gratis dienst nooit een SLA zal garanderen (tenzij er hier een wettelijke verplichting zou zijn), maar dat indien een consument een SLA wenst te bekomen voor een bepaalde service, dit dan ook betalend zal zijn.
Privacy van de data In een aantal gevallen dient de inhoud van de data die door authentieke bronnen wordt aangeboden op een sterkere manier te worden bewaakt teneinde de privacy van de betrokkenen te vrijwaren. Dit is bijvoorbeeld het geval bij het opsporen van fraudegevallen. Hierbij gaat men een reeks van authentieke bronnen aan elkaar koppelen, om patronen te herkennen die op fraude kunnen wijzen. Een voorbeeld is het koppelen van de gegevens van de DIV (Dienst Inschrijvingen Voertuigen) aan de sociale uitkeringen.
In dit geval zal initieel met geanonimiseerde gegevens worden gewerkt, om te vermijden dat bepaalde groepen (bvb buitenlands klinkende namen) meer door de onderzoekers zouden geviseerd worden dan anderen.
Pas bij sterke aanwijzingen van fraude en na beslissing om de persoon in kwestie te vervolgen zal de volledige naam / adres etc. van de persoon beschikbaar worden gemaakt voor de onderzoekers.
Verder worden gegevens ook op een hoger niveau geaggregeerd ten behoeve van het opmaken van statistieken. Ook in dit geval zijn de specifieke gegevens van de onderzochte personen niet beschikbaar.
Een voorbeeld bij de FOD Sociale Zekerheid is de “knipperlicht applicatie” voor fraudedetectie, hierbij zijn de namen van de personen enkel zichtbaar bij effectieve fraude. De anonimisatie gebeurt hierbij op niveau van de kruispunt databank.
Ontsluiten en aanbieden aan derden Zodra een authentieke bron wordt ontsloten, is het belangrijk de juiste mechanismes op te zetten voor het detecteren van misbruiken. Deze controles kunnen op verschillende niveaus worden opgezet :
- op niveau van de authentieke bron zelf: van belang is dan dat er kan worden bepaald wie de uiteindelijke verbruiker is van deze informatie. Indien deze toegang bijvoorbeeld via een applicatie bij een 2de partij verloopt, en daar mogelijk ook wordt opgeslagen, dan is enkel de eerste consultatie van deze gegevens door de applicatie zichtbaar voor de authentieke bron. Achterliggende consultaties van deze gegevens rechtstreeks in de applicatie in kwestie zijn niet meer zichtbaar voor de authentieke bron.
- op niveau van de Service Provider (Fedict, kruispuntbank, ..) : mogelijk beschikt de service provider over meer informatie betreffende de gebruiker of et systeem dat toegang zoekt tot de authentieke bron, en kan het dus interessant zijn om ook op dit niveau de toegang te registreren. De zelfde problematiek als hierboven reeds geschetst stelt zich echter : enkel de initiële toegang tot de informatie is zichtbaar.
- op niveau van de consumerende overheid : enkel op dit niveau kan de finaliteit van het gebruik van de data worden verzekerd.
Probleemstelling : Audit trail versus simpele logging
Op de drie hierboven beschreven niveaus is in de meeste gevallen “simpele logging” aanwezig. Dit wil zeggen dat er op een technisch niveau een spoor is van de uitgevoerde opvragingen. Indien er dus via een andere weg een vermoeden van fraude zou zijn, laten deze log files toe om dit vermoeden van fraude te gaan onderbouwen.
Er dient echter te worden overwogen om ook “proactief” fraude-detectie te gaan uitvoeren. Dit wil zeggen dat er algoritmes dienen te worden opgezet die op een actieve manier mogelijke fraude kunnen detecteren, bijvoorbeeld een alarm genereren indien een bepaalde persoon een te hoge frequentie van raadplegingen heeft in functie van de rol waarmee deze de authentieke bron benaderd.
Slotconclusie Het opzetten van een authentieke bron is een totaalconcept dat veel verder gaat dan de technische implementatie van een systeem om gegevens te delen.
Het volledige flow die de ter beschikking gestelde data gaat volgen dient te worden beschouwd, het betreft hier een zuivere beleidsmaterie waarbij keuzes dienen te worden gemaakt over wie welke informatie kan en mag raadplegen, hoe breed deze informatie ter beschikking kan worden gesteld, en op welke manier men de finaliteit van het gebruik van deze informatie wenst te controleren.
Atelier 2 : les tâches du conseiller en sécurité de l’information
Atelier 3 : les bonnes pratiques (NL)
Atelier 4 : sensibiliser à la loi du 15 AOUT 2012
Best practices bij het opzetten, ontsluiten, en beheren van authentieke bronnen (Workshop Authentieke bronnen, 24 mei 2013)
Introductie
Deze workshop werd gemodereerd door Jan Leemans (Oracle) en Koert Van Espen (Apogado)
De objectieven van deze workshop waren als volgt:
· Delen van ervaringen
· Bijleren over best practices
· Identificeren van pitfalls en aandachtspunten
· Wegnemen drempelvrees
Identificatie van de brongegevens
Een eerste probleem dat zich stelt bij het opzetten van een authentieke bron is de eenduidige identificatie van de brongegevens. Deze problematiek kan god worden geïllustreerd aan de hand van het voorbeeld van het bestand van de advocaten actief aan de Belgische balies.
In eerste instantie lijkt dit eenvoudig : het rijksregisternummer van de advocaat kan als unieke sleutel worden gebruikt. Dit is echter niet voldoende, vermits ook buitenlandse advocaten actief zijn, vooral in Brussel door de aanwezigheid van de EU. De oplossing waarvoor werd gekozen is het combineren van de verschillende beschikbare sleutels teneinde tot een unieke identificatie te komen. Dit zal echter nooit waterdicht zijn: de kwaliteit van de gegevens zal dus nooit 100% kunnen zijn !
Een tweede voorbeeld bij Fedasil maakt dit nog duidelijker : het betreft hier de wachtlijst van mensen die asiel aanvragen in België. Dikwijls beschikken deze mensen niet over officiële papieren, en zal de identificatie zuiver gebaseerd zijn op de (door henzelf) opgegeven naam. De schrijfwijze van deze naam zal dan mogelijk ook verschillen bij de verschillende instanties waar de asielaanvrager zich heeft opgegeven.
De aanbeveling van de deelnemers is om deze onduidelijkheden zo vroeg mogelijk in het proces van invoer van de gegevens aan te pakken en te corrigeren.
Kwaliteit van de gegevens
Vraagstelling :
Kan er sprake zijn van een echte authentieke bron als er dubbels of ontbrekende elementen zijn ?
Uit de voorgaande voorbeelden blijkt duidelijk dat in de meeste authentieke bronnen er altijd foutieve gegevens zullen zitten. Dit is inherent aan de natuur van de gegevens en de manier waarop deze worden ingezameld, en kan dus niet worden uitgesloten.
Het is dan ook de verantwoordelijkheid van de beheerder van de authentieke bron om de nodige correctiemechanismes te voorzien zodat fouten gecorrigeerd kunnen worden. De wens van Fedict is dat deze terugmeldingsplicht wettelijk zou worden vastgelegd, hier is echter nog geen consensus over.
In een aantal gevallen zijn er al wel duidelijke corrigerende mechanismes : bijvoorbeeld bij de Orde van de Balies staan er sancties op fouten in de aangiftes van de advocaten.
Aan de andere kant dient er bij het KBO te worden betaald voor het corrigeren van gegevens: dit is een negatief signaal dat de kwaliteitsverbetering hindert.
De beste garantie van kwaliteit is responsabilisering van de invoerders : indien zij zelf consumenten zijn van deze informatie hebben zij er alle belang bij de kwaliteit van de gegevens te maximaliseren.
3de rol : authentieke gegevensbeheerder In de discussie over authentieke bronnen kijkt men vooral naar de 2 meest voorkomende rollen : die van de beheerder van de authentieke bron, en die van de consument van de authentieke bron. Er is echter ook een 3de rol, namelijk die van beheerder van een stukje van de gegevens van een (externe) authentieke bron.
Voorbeeld : Fedasil is verantwoordelijk voor het updaten van bepaalde velden binnen de Kruispunt Databank (registre d’attente). Zij zijn verantwoordelijk voor dit stuk van de gegevens, maar zijn niet de beheerder van de authentieke bron.
Ook deze “3de rol” dient te worden meegenomen in de discussies over verantwoordelijkheden en verplichtingen die het opzetten van een authentieke bron met zich meebrengen.
In een aantal gevallen is er ook sprake van een gedistribueerde gegevensinvoer. Voorbeelden zijn de verschillende balies van de Orde van Vlaamse balies, maar die deze gegevens dan voeden aan een samengesteld bestand.
Een ander voorbeeld zijn de gegevens van de burgers die door de gemeenten worden verzameld, en dan worden doorgegeven naar het rijksregister.
Ontsluiten & finaliteit van de data Er stellen zich nog veel vragen met betrekking tot de ontsluiting van de gegevens van de authentieke bron. Een goed voorbeeld om deze problematiek te illustreren is de informatie betreffende patiënten die wordt opgeslagen door de FOD Sociale zaken : het betreft hier gestructureerde data (naam, adres, etc.) alsook een reeks ingescande documenten (bvb rapporten van onderzoeken etc.) Deze informatie is enkel beschikbaar voor artsen. Maar een arts met toegang tot deze authentieke bron kan vandaag allen informatie van alle opgeslagen dossiers bekijken. In de context van de FOD Sociale zaken zouden enkel artsen die deze mensen als patiënt hebben over deze info mogen beschikken. Een meer fijnmazig toegangscontrole zou dus aangewezen zijn. Indien een dokter echter in een noodgeval een willekeurige persoon ter hulp komt, is het dan weer aangewezen dat deze arts inderdaad tot alle beschikbare gegevens van deze persoon toegang heeft, teneinde de meest adequate hulp te kunnen bieden.
Bij artsen steunt men vandaag enkel op de bestaande deontologische code opdat de artsen geen misbruik zouden maken van deze beschikbare informatie.
Koppelingen met andere bronnen Het principe van een authentieke bron is dat alle informatie slechts op één plaats zal worden bijgehouden, en dat dit dan ook de “authentieke bron” is hiervoor. In de praktijk merken we dat heel wat authentieke bronnen informatie gaan ophalen bij andere authentieke bronnen, om deze dat te verrijken met hun eigen specifieke informatie. Dit wil dus zeggen dat bepaalde delen van de informatie van een authentieke bron mogelijk “uit 2de hand” komen.
Er dient dus bewaakt te worden dat deze informatie inderdaad up-to-date is, en dat er in het “servicecontract” van de authentieke bron duidelijk wordt aangegeven welke gegevens werkelijk door de authentieke bron worden opgeleverd, en welke slechts uit 2de hand worden aangeleverd. Een voorbeeld in de informatie uit het rijksregister, die door bijna alle FOD’s wordt geconsumeerd, zoals bijvoorbeeld het adres van een persoon.
Data Standaarden Welke standaarden worden gebruikt bij het openstellen van authentieke bronnen? Hier lijkt weinig informatie over beschikbaar te zijn, de kruispuntdatabank lijkt als standaard te worden beschouwd.
Op Europees niveau zijn er nog niet echt standaarden ter beschikking, met uitzondering van enkele gespecialiseerde gebieden, bvb het uitwisselen van informatie met betrekking tot de strafregisters van de verschillende landen via het Ecris systeem.
SLA’s Welke SLA kan men verwachten van een authentieke bron ? Deze problematiek dient te worden bekeken vanuit het oogpunt van de burger die beroep kan doen op een aantal diensten die gebaseerd zijn op authentieke bronnen, alsook vanuit het oogpunt van andere overheidsdiensten die voor hun werking mogelijk afhankelijk zijn van de beschikbaarheid van een aantal authentieke bronnen bij andere overheidsdiensten.
Bijvoorbeeld voor eID is er geen gegarandeerde beschikbaarheid, alleen een historiek van een beschikbaarheidsgraad van 98%.
Het aanbieden van een strenge SLA heeft natuurlijk ook een kostprijs, indien de consumerende overheid deze SLA wenst te “verkrijgen” lijkt het ook logisch dat hit een betalende dienst zou zijn. Dit leidt aldus naar de conclusie dat een gratis dienst nooit een SLA zal garanderen (tenzij er hier een wettelijke verplichting zou zijn), maar dat indien een consument een SLA wenst te bekomen voor een bepaalde service, dit dan ook betalend zal zijn.
Privacy van de data In een aantal gevallen dient de inhoud van de data die door authentieke bronnen wordt aangeboden op een sterkere manier te worden bewaakt teneinde de privacy van de betrokkenen te vrijwaren. Dit is bijvoorbeeld het geval bij het opsporen van fraudegevallen. Hierbij gaat men een reeks van authentieke bronnen aan elkaar koppelen, om patronen te herkennen die op fraude kunnen wijzen. Een voorbeeld is het koppelen van de gegevens van de DIV (Dienst Inschrijvingen Voertuigen) aan de sociale uitkeringen.
In dit geval zal initieel met geanonimiseerde gegevens worden gewerkt, om te vermijden dat bepaalde groepen (bvb buitenlands klinkende namen) meer door de onderzoekers zouden geviseerd worden dan anderen.
Pas bij sterke aanwijzingen van fraude en na beslissing om de persoon in kwestie te vervolgen zal de volledige naam / adres etc. van de persoon beschikbaar worden gemaakt voor de onderzoekers.
Verder worden gegevens ook op een hoger niveau geaggregeerd ten behoeve van het opmaken van statistieken. Ook in dit geval zijn de specifieke gegevens van de onderzochte personen niet beschikbaar.
Een voorbeeld bij de FOD Sociale Zekerheid is de “knipperlicht applicatie” voor fraudedetectie, hierbij zijn de namen van de personen enkel zichtbaar bij effectieve fraude. De anonimisatie gebeurt hierbij op niveau van de kruispunt databank.
Ontsluiten en aanbieden aan derden Zodra een authentieke bron wordt ontsloten, is het belangrijk de juiste mechanismes op te zetten voor het detecteren van misbruiken. Deze controles kunnen op verschillende niveaus worden opgezet :
- op niveau van de authentieke bron zelf: van belang is dan dat er kan worden bepaald wie de uiteindelijke verbruiker is van deze informatie. Indien deze toegang bijvoorbeeld via een applicatie bij een 2de partij verloopt, en daar mogelijk ook wordt opgeslagen, dan is enkel de eerste consultatie van deze gegevens door de applicatie zichtbaar voor de authentieke bron. Achterliggende consultaties van deze gegevens rechtstreeks in de applicatie in kwestie zijn niet meer zichtbaar voor de authentieke bron.
- op niveau van de Service Provider (Fedict, kruispuntbank, ..) : mogelijk beschikt de service provider over meer informatie betreffende de gebruiker of et systeem dat toegang zoekt tot de authentieke bron, en kan het dus interessant zijn om ook op dit niveau de toegang te registreren. De zelfde problematiek als hierboven reeds geschetst stelt zich echter : enkel de initiële toegang tot de informatie is zichtbaar.
- op niveau van de consumerende overheid : enkel op dit niveau kan de finaliteit van het gebruik van de data worden verzekerd.
Probleemstelling : Audit trail versus simpele logging
Op de drie hierboven beschreven niveaus is in de meeste gevallen “simpele logging” aanwezig. Dit wil zeggen dat er op een technisch niveau een spoor is van de uitgevoerde opvragingen. Indien er dus via een andere weg een vermoeden van fraude zou zijn, laten deze log files toe om dit vermoeden van fraude te gaan onderbouwen.
Er dient echter te worden overwogen om ook “proactief” fraude-detectie te gaan uitvoeren. Dit wil zeggen dat er algoritmes dienen te worden opgezet die op een actieve manier mogelijke fraude kunnen detecteren, bijvoorbeeld een alarm genereren indien een bepaalde persoon een te hoge frequentie van raadplegingen heeft in functie van de rol waarmee deze de authentieke bron benaderd.
Slotconclusie Het opzetten van een authentieke bron is een totaalconcept dat veel verder gaat dan de technische implementatie van een systeem om gegevens te delen.
Het volledige flow die de ter beschikking gestelde data gaat volgen dient te worden beschouwd, het betreft hier een zuivere beleidsmaterie waarbij keuzes dienen te worden gemaakt over wie welke informatie kan en mag raadplegen, hoe breed deze informatie ter beschikking kan worden gesteld, en op welke manier men de finaliteit van het gebruik van deze informatie wenst te controleren.