Persoonlijk Data Management (PDM) gaat over het duurzaam beheren en controleren van de eigen persoonlijke data. Het kan dan gaan om een veelheid van gegevens: financiële gegevens, medische gegevens, data van de fitbit, inkomen, reisgedrag... Met PDM bepalen mensen zelf met wie ze gegevens delen en onder welke voorwaarden. Zie bijvoorbeeld ons overzicht van PDM oplossingen. Deze blog gaat over het borgen van vertrouwen in PDM, zowel van gebruikers (consumenten/burgers/cliënten/patiënten) als van data aanbieders en dienstverleners. Zonder vertrouwen gaat PDM niet vliegen. Belangrijke instrumenten zijn informatiebeveiliging en het borgen van privacy en de afspraken hierover tussen alle partijen.

Wij bekeken PDM vanuit 5 perspectieven: informatiebeveiliging, identificatie en authenticatie, incidenten, de eindgebruiker en complexiteit. Hieronder een korte samenvatting van de bevindingen voor elk van de perspectieven. Hierbij gaan we in op welke afspraken er binnen een PDM stelselmoeten zijn en wat over stelsels heen geregeld zou moeten zijn en wat de overheid hier zou kunnen betekenen.

1. Basiseisen beveiliging: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid

Iedere deelnemer of partij in een afsprakenstelsel neemt een eigen verantwoordelijkheid in het borgen van informatiebeveiliging. Afsprakenstelsels stellen eisen aan hun deelnemers, zowel voor  dataopslag als voor transport van gegevens. Belangrijk om op te merken is dat de verantwoordelijkheid voor informatiebeveiliging bij de deelnemer ligt en niet kan worden afgewenteld op het afsprakenstelsel.

Typisch kan een afsprakenstelsel een ISO27001 of gelijkwaardige certificering als hygiëne factor eisen. In ieder geval voor de PDM aanbieder, maar afhankelijk van het domein en de aard van de gegevens kan dit ook van deelnemers worden geëist. Een afsprakenstelsel hoort ook afspraken te hebben over het veilig verwerken van gegevens en toestemmingen, over digitale waarmerken, business continuity en wellicht ook SLAs. Logging van handelingen is nodig om effectief te kunnen toezien op naleving. Tot slot moeten toetreding- en uittredingeisen voor deelnemers worden geformuleerd. De overheid kan haar rol pakken en proactief bij te dragen aan het tot stand komen van afspraken, bijvoorbeeld door het opstellen van richtlijnen of good practises of door beleid te ontwikkelen.

Er is op dit moment zeker aandacht voor beveiliging binnen de PDM afsprakenstelstels, maar de vraag is of dat voldoende is. Naarmate de stelsels zich verder ontwikkelen, zal de aandacht voor beveiliging om het vertrouwen in PDM te kunnen waarmaken.

2. Identificatie en authenticatie

Identificatie en authenticatie van gebruikers en deelnemers zijn een essentieel onderdeel van een PDM. Deelnemers moet ook elkaar kunnen authentiseren en identificeren. Immers het gaat om toegang tot persoonlijke gegevens die alleen zichtbaar mogen zijn voor geautoriseerde personen.

Een PDM kan zelf zijn gebruikers identificeren en authentiseren maar verstandiger (en kosteneffectiever) is om hiervoor hergebruik te maken van bestaande oplossingen zoals die nu opkomen: Idensys en iDIN. Bijkomend voordeel van Idensys of iDIN is dat er uitspraken worden gedaan over de betrouwbaarheid van de authenticatie en er extra gevalideerde attributen over de identiteit van de gebruiker kunnen worden meegeleverd. Dergelijke attributen kunnen van pas komen bij het koppelen van de verschillende identiteiten van de gebruiker bij de service aanbieder en attribuutleveranciers.

Identificatie en authenticatie eisen hoeven niet per se onderdeel te zijn van de afspraken rond PDM. Het is wel aan te bevelen om voorwaarden te stellen en betrouwbaarheidsniveaus te introduceren voor hoogwaardige matching van identiteiten. Matching van identiteitsgegevens aan persoonlijke gegevens bij een data aanbieder is een eigen verantwoordelijkheid van de data aanbieder, maar het is in het belang van het stelsel om samen te zorgen voor een eenduidige gegevensuitwisseling waar matching een belangrijke rol heeft. Dit laatste onderdeel is op dit moment nog erg onderbelicht in de huidige PDM initiatieven.

3. Incidenten

Beveiligingsincidenten bij deelnemers van een PDM stelsel kunnen leiden tot reputatieschade waardoor het vertrouwen erin door gebruikers en deelnemers snel zal verdwijnen. Daarnaast kunnen incidenten bij de ene partij consequenties hebben voor een andere partij. Zaak is dus om incidenten vroegtijdig in de kiem te smoren of op een goede manier af te handelen. De belangen van de burgers in de incidentafhandeling moeten goed behartigd zijn en schade voor hen moet worden beperkt of afgewenteld. Hier ligt een mogelijke ook een rol voor de overheid. Incidentafhandeling moet zeker een onderdeel zijn van PDM afsprakenstelsels met een eisenpakket aan de deelnemers, en met afspraken die er voor zorgen dat een incident voortvarend wordt verholpen als het zich voordoet.

4. De eindgebruiker

PDM afsprakenstelsels voor het uitwisselen van gegevens centreren zich rondom de eindgebruiker. Die voert met behulp van een PDM service regie over de eigen gegevens. Centrale elementen zijn het toestemming geven voor gegevensuitwisseling en inzage in gegevens en gegevensverwerking.

Het kan niet zo zijn dat de volledige verantwoordelijkheid van de gegevensuitwisseling bij de gebruiker ligt. Hij moet ervan uit kunnen gaan dat aanvragen gerechtvaardigd zijn en dat hij de rechtmatigheid niet zelf hoeft te beoordelen. Het geven van toestemming moet ook geen dagtaak worden, dus voorkomen moet worden dat de gebruiker overspoelt raakt met verzoeken om toestemming en nadere specificaties. Het uitgangspunt van PDM is dat de gebruiker zijn eigen persoonlijke gegevens beheerd. Het is echter niet vanzelfsprekend dat een gebruiker dit verantwoord kan doen. En wat als de gebruiker in gebreke blijft? Wie is dan verantwoordelijk voor vervolgschade en/of andere consequenties? De overheid kan hier ook een rol pakken door een kader stellen voor rechten en plichten van burgers. Dat kan in de vorm van wet- en regelgeving of op andere wijze.

Onderdeel van regie op eigen gegevens is de inzage in gegevens die bij data aanbieders zijn opgeslagen en inzage in wie welke gegevens heeft ingezien. Deze inzage wordt ook wel aangeduid als ‘transparantie’. Het gaat dan om ook om gegevensuitwisseling waar geen toestemming voor is verleend maar waar een wettelijke grondslag voor is (met uitzondering van gegevensuitwisseling voor fraude onderzoek). Om transparantie zinvol te laten zijn, moet alle informatie begrijpelijk en relevant zijn. De privacy van medewerkers die gegevens verwerken voor de dienstverlener moet ook worden geborgd natuurlijk. Een risico is dat de transparantiefunctie veel vragen oproept; burgers (en/of media, belangengroepen) moeten dan ergens hiermee terecht kunnen en ervan uit kunnen gaan dat deze vragen worden opgepakt. Dit is een belangrijk element om het vertrouwen in PDM op te bouwen.

5. Complexiteit

Tot nu toe hebben we PDM vrij eenvoudig neergezet: er is een afsprakenstelsel, enkele service aanbieders en data aanbieders, en een PDM service. Het is zeer waarschijnlijk dat een complexer geheel gaat ontstaan, waarbij gebruikers meerdere PDM services kunnen gebruiken en er vele data aanbieders en service aanbieders zijn. Dit betekent dat data aanbieders en service aanbieders met meerdere PDM oplossingen moeten kunnen werken. Dat gebruikers van één of meerdere PDM oplossing gebruik kunnen gaan maken. Data aanbieders en service aanbieders kunnen ook in meerdere stelsels deelnemen. En gebruikers moeten kunnen overstappen naar een andere PDM oplossing als ze dat willen. En dan hebben we het nog niet eens gehad over de complexiteit bij machtigingen. Complexiteit verandert de eisen uit de eerdere invalshoeken niet. Maar duidelijke afspraken worden wel belangrijker en er moet gestreefd worden naar uniforme en gestandaardiseerde werkwijzen om een werkbaar geheel te krijgen. Typisch kan dit via een Uniforme set van eisen voor PDM afsprakenstelsels. 

Afsluiting

Het verwerven en behouden van vertrouwen van data aanbieders, service aanbieders en eindgebruikers is een belangrijke randvoorwaarde voor het succes van PDM. Dat wil zeggen: vertrouwen dat gegevens alleen daar terecht komen waar ze nodig zijn, dat onrechtmatig gebruik van gegevens wordt tegengegaan, dat bij incidenten adequaat wordt opgetreden en schade wordt beperkt. Alle partijen in een afsprakenstelsel of rond een PDM initiatief moeten ervan uit kunnen gaan dat gegevens vertrouwelijk worden behandeld, dat integriteit van gegevens is geborgd en dat gegevens beschikbaar zijn wanneer dat nodig is. De tabel hieronder zet alle aanbevelingen voor afsprakenstelsels op een rijtje.

 

pdm-tabel.pdf

Deze blog is een samenvatting van “Beveiligingskader Persoonlijk Data Management - Overzicht van de veiligheidsvraagstukkenoverzicht”, door Henny de Vos en Bob Hulsebosch (mei/juni 2017) in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.