Edward Roozenburg: Datalekken en subleveranciers
Edward Roozenburg: Datalekken en subleveranciers
Door Edward Roozenburg, Senior Risk Management Consultant, Probability & Partners
Het was weer goed raak afgelopen week met waarschijnlijk het grootste datalek ooit in de Nederlandse pensioensector. Niet alleen in de pensioensector was het raak. Ook bij NS en VodafoneZiggo waren er datalekken.
Dat was niet omdat deze organisaties intern een rommeltje maken van hun informatiebeveiliging. De oorzaak was dat informatiebeveiligingsrisico’s verderop in hun keten van leveranciers onvoldoende werden beheerst. In termen van risicomanagement: het risico op datalekken via leveranciers en subleveranciers heeft zich gemanifesteerd.
Meer concreet is het pensioenfonds PME getroffen door een datalek bij een softwareleverancier van een marktonderzoeksbureau dat door PME in de hand was genomen. Een probleem in de informatiebeveiliging van een relatie van een relatie. Een relatie in de tweede graad dus. Ditzelfde is gebeurd bij het Pensioenfonds Zorg & Welzijn.
Beide pensioenfondsen trokken in hun reactie het boetekleed aan. Ze gaven aan het heel vervelend te vinden dat dit was gebeurd. De fondsen zeggen er alles aan te doen om te achterhalen wat er is gebeurd om ervoor te zorgen dat het in de toekomst niet meer zal gebeuren. Een nobele reactie als je bedenkt dat de fout in eerste instantie ligt bij de leverancier van de leverancier. Beide pensioenfondsen nemen echter goed hun verantwoordelijkheid. En zo hoort het.
Pensioenfondsen zijn en blijven verwerkingsverantwoordelijke
Als risicomanager bij de pensioenfondsen ben ik ook bij de beheersing van informatiebeveiligingsrisico’s van leveranciers en subleveranciers betrokken. Vanuit die rol ben ik er scherp op dat het leveranciersmanagement op orde is, dat er maatregelen worden getroffen om de informatiebeveiliging en cybersecurity van leveranciers in de grip te houden, dat ISAE-verklaringen van leveranciers worden opgevraagd en beoordeeld, dat IT-risico-assessments worden uitgevoerd bij leveranciers, dat informatiebeveiligingsrisico’s bij leveranciers worden onderkend en beoordeeld op kans en impact, dat IT-beheersmaatregelen worden getroffen, en dat noodzakelijke verbeteracties bij leveranciers worden opgevolgd.
En uiteraard ben ik er scherp op dat onze leveranciers op al deze zaken ook toezicht houden bij hún leveranciers. Ik ben ervan overtuigd dat mijn collega’s bij de pensioenfondsen die nu getroffen zijn, hetzelfde doen als ik.
Helaas is het de twee fondsen niet gelukt om de informatie voldoende te beveiligen. Het ergste is dat dit gebeurde ondanks alle maatregelen die pensioenfondsen al nemen om het leveranciersrisico te beheersen. De pensioenfondsen zijn namelijk verantwoordelijk voor de fouten van hun leveranciers en de leveranciers daar weer van.
Volgens de wet zijn de pensioenfondsen de verwerkingsverantwoordelijke. Dat is principieel gezien de juiste keuze. Als verwerkingsverantwoordelijke zijn de pensioenfondsen altijd verantwoordelijk voor de gegevens die worden verwerkt. Ook wanneer die verwerking is uitbesteed aan een derde. De pensioengerechtigden hebben hun persoonsgegevens immers met hun pensioenfonds gedeeld, niet met de leveranciers van de fondsen en al helemaal niet met de subleveranciers.
Als de verwerkingsverantwoordelijke aansprakelijk is voor de beveiliging van de gegevens die met hem/haar zijn gedeeld, dan gaat deze hard lopen en alles doen wat binnen diens vermogen ligt om ervoor te zorgen dat informatie veilig wordt bewaard en verwerkt. Ook als deze gegevens worden verwerkt door een subleverancier. Dat is best goed bedacht. Ook ik ga hard lopen. We deden al veel, maar ik zal dit voorval gebruiken om in mijn werkomgeving nóg meer aandacht te vragen voor de beheersing van het informatiebeveiligingsrisico bij (sub)leveranciers. Kortom, de missie van de wetgever was geslaagd!
De risico’s van uitbesteding
En toch heb ik het gevoel dat we ergens niet effectief zijn. Pensioenfondsen doen zo’n beetje alles wat in hun macht ligt om ervoor te zorgen dat informatie veilig wordt verwerkt door hun leveranciers (en ook door de leveranciers daar weer van). Dit tegen de achtergrond dat veel pensioenfondsen hebben besloten zelf geen IT te ontwikkelen of in bezit te willen hebben. Dat kunnen ze immers beter aan de IT-professionals overlaten.
In theorie is de informatiebeveiliging er het meest mee gediend als de technische professionals de IT ontwikkelen en beheren. Want ook technisch beveiligen kunnen IT-experts immers beter dan pensioenfondsen. Met de IT-kennis die pensioenfondsen nog in de organisatie overhebben en met een strak leveranciersmanagement proberen veel fondsen grip te houden op dat waarvan ze vinden dat ze het zelf beter niet kunnen doen.
Met deze uitbestedingen en onderuitbestedingen hebben fondsen de beveiliging van hun gegevens niet meer in de directe invloedsfeer. En dus blijven ze op afstand druk uitoefenen op (sub)leveranciers om de beveiliging te verbeteren. Soms is dat succesvol, maar soms ook niet. In enkele gevallen kunnen ze een relatie met een leverancier beëindigen als ze vinden dat deze onvoldoende beheersmaatregelen heeft getroffen. Maar omdat de overgang naar een andere leverancier het nodige kost, omdat andere leveranciers weer andere problemen hebben, en omdat er soms ook een afhankelijkheid van een leverancier bestaat, is afscheid nemen soms erger dan de kwaal.
Dat het aanwenden van de invloed in de eerste en tweede graad en alle graden daarbuiten niet altijd het gewenste resultaat oplevert, is dus niet verwonderlijk. Zo gaat dat nou eenmaal met invloed uitoefenen op zaken buiten de directe invloedsfeer. Dan ben je afhankelijk van degene die het signaal moet oppikken. Pensioenfondsen en alle andere verwerkingsverantwoordelijken kunnen blijven pushen buiten de directe invloedsfeer, maar kunnen niet met eigen handen de informatiebeveiliging bij de leveranciers en diens leveranciers verbeteren.
Maak externe partijen meer verantwoordelijk
Het is goed om de verwerkersverantwoordelijke verantwoordelijk te houden. En het is fijn om te zien dat deze verantwoordelijkheid bij de getroffen pensioenfondsen goed tussen de oren zit. De reactie van de getroffen pensioenfondsen illustreert dit.
Maar zou het niet eens tijd worden om de verantwoordelijkheid te benadrukken van de partijen die werkelijk invloed hebben op de beveiliging van de applicatie waarin een lek is ontstaan? Uiteindelijk zijn de partijen die het meest in actie moeten komen de makers van de applicaties zelf. Zij zitten direct aan de techniek en kunnen ervoor zorgen dat de applicaties veilig zijn. Misschien is het effectiever als ook zij meer verantwoordelijk gemaakt worden, dan dat de pensioenfondsen vanaf afstand blijven duwen.
Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.