Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Vetrouwelijke informatie en een DMS
25-10-2012, 11:19 door Anoniem, 6 reacties
Ons bedrijf wil een Documentmanagement systeem de lucht in brengen en het blijkt dat het de bedoeling is dat onze post medewerkers OOK vertrouwelijke informatie zullen gaan inscannen, er wordt hierbij verwezen naar de wet openbaarheid van bestuur (Wob).
Ook briefwisselingen met vertrouwenspersonen of de ARBO e.d zullen dus op deze wijze worden verwerkt. Is de Wob inderdaad een valide onderbouwing?
Ook briefwisselingen met vertrouwenspersonen of de ARBO e.d zullen dus op deze wijze worden verwerkt. Is de Wob inderdaad een valide onderbouwing?
Reacties (6)
"Ook briefwisselingen met vertrouwenspersonen of de ARBO e.d zullen dus op deze wijze worden verwerkt. Is de Wob inderdaad een valide onderbouwing? "
Wat heeft het inscannen van vertrouwelijke post bij een bedrijf te maken met de Wet Openbaarheid van Bestuur, wat gaat over het opvragen van stukken bij overheidsinstanties ? Ik snap je vraag niet.
Wat heeft het inscannen van vertrouwelijke post bij een bedrijf te maken met de Wet Openbaarheid van Bestuur, wat gaat over het opvragen van stukken bij overheidsinstanties ? Ik snap je vraag niet.
Lijkt me dat hier niet heel goed over nagedacht is, want het is een de facto opwaardering van postklerk naar behandelaar van vertrouwelijke gegevens, simpelweg omdat zij nu de enveloppes openen. Oh en het hele IT team want die moeten zorgen dat de scanners en de servers waar het allemaal op staat blijven werken. Ik zou dus ook even navragen of en zo ja hoe dit briljante plan in de consequenties voorziet. En nee, "ze zullen met hun oogjes dicht de post openen" is niet voldoende.
25-10-2012, 22:58 door
Bitwiper
Door Anoniem op 20121025 11:19: Ons bedrijf [...] wet openbaarheid van bestuur (Wob)
Ik ben geen jurist, maar zoals Anoniem van 14:41 al aangeeft snap ik niet wat de WOB met een bedrijf te maken heeft.Daarnaast betekent de WOB geenszins dat alles wat de overheid doet, gepubliceerd moet worden. Bijv. tijdens aanbestedingen dienen eisen absoluut geheim te worden gehouden totdat ze voor elke potentiële aanbieder tegelijkertijd beschikbaar komen. Reacties van aanbieders zijn vervolgens sowieso vertrouwelijk, en dit geldt ook voor binnen de overheid toegankelijke persoonsgegevens:
Uit Wet openbaarheid van bestuur, http://wetten.overheid.nl/BWBR0005252/#HoofdstukV_Artikel10 sub 1: Het verstrekken van informatie ingevolge deze wet blijft achterwege voor zover dit:
[...]
c. bedrijfs- en fabricagegegevens betreft, die door natuurlijke personen of rechtspersonen vertrouwelijk aan de overheid zijn meegedeeld;
d. persoonsgegevens betreft als bedoeld in paragraaf 2 van hoofdstuk 2 van de Wet bescherming persoonsgegevens (http://wetten.overheid.nl/BWBR0011468/#Hoofdstuk2_Paragraaf2), tenzij de verstrekking kennelijk geen inbreuk op de persoonlijke levenssfeer maakt.
Maar zie ook de overige punten en artikel 11 daaronder.[...]
c. bedrijfs- en fabricagegegevens betreft, die door natuurlijke personen of rechtspersonen vertrouwelijk aan de overheid zijn meegedeeld;
d. persoonsgegevens betreft als bedoeld in paragraaf 2 van hoofdstuk 2 van de Wet bescherming persoonsgegevens (http://wetten.overheid.nl/BWBR0011468/#Hoofdstuk2_Paragraaf2), tenzij de verstrekking kennelijk geen inbreuk op de persoonlijke levenssfeer maakt.
Een ander interessant aspect is wie er straks toegang zullen hebben tot specifieke documenten in het DMS. Iemand zal dus de binnengekomen post moeten categoriseren, zodanig dat alleen rechthebbenden deze in kunnen zien (denk ook aan de zoekmachine die zelfs fragmenten van vertrouwelijke documenten niet aan iedereen zal mogen tonen).
Denkbaar is dat de postmedewerkers net zo betrouwbaar geacht worden te zijn als systeembeheerders (hoewel we het graag anders zouden zien, is het in de praktijk zo dat er meestal wel enkele personen in een organisatie rondlopen die "overal bij kunnen" en dus vertrouwd moeten worden).
Echter, als je genoemd selectieproces ook door de postmedewerkers laat afhandelen zullen zij, in die gevallen waarin het niet meteen duidelijk is wie het document in DMS straks in mag zien (en evt. wijzigen), beslissingen moeten nemen op basis van de inhoud van zo'n document. Zonder te willen discrimineren betwijfel ik (net als Anoniem van 15:15) of de gemiddelde medewerker van een postkamer daartoe in staat is (denk o.a. aan juridisch taalgebruik en/of andere talen dan NL).
Mijn (ongevraagde ;) advies is om een soort "whitelist" op te stellen van post die postmedewerkers mogen openen en scannen. Alle overige post (ook bij twijfel) mag uitsluitend door de geadresseerde (afdeling of persoon) worden geopend. Wel zou ik de enveloppen van die overige post, direct na binnenkomst, door de postmedewerkers laten voorzien van een uniek volgnummer en evt. de geadresseerde laten tekenen voor ontvangst (beide om te helpen voorkomen dat poststukken "zoekraken").
Genoemde whitelist (die moet groeien in de tijd) kan bestaan uit criteria zoals:
- de tekst "Vertrouwelijk" ontbreekt op de envelop;
- afzender is: de cateraar, het energiebedrijf, ISP, KvK, ...
- geadresseerde is: inkoop, account management, ...
- envelop is niet dichtgeplakt.
Een blacklist (of combinatie met whitelist) kan natuurlijk ook:
- op de envelop staat "Vertrouwelijk";
- afzender is UWV, bedrijfsarts, bedijfsjurist, vakbond, accountant, ...
- geadresseerde is: directie, MT, HRM, OR, vertrouwenspersoon, ...
De geadresseerde opent vervolgens de post en stelt vast of het daadwerkelijk om een vertrouwelijk stuk gaat. Zo ja stelt de geadresseerde meteen vast wie daar straks (in het DMS) bij moeten kunnen. Daarna kan de geadresseerde ofwel zelf het document inscannen en voorzien van de juiste DMS-permissies, ofwel middels een aanvinkformulier de vereiste DMS-permissies meegeven en een (vertrouwde) postmedewerker opdragen het document in te scannen en de permissies in DMS aan het document toe te kennen.
Als de geadresseerde weet dat "dit soort" post (op basis van duidelijke criteria) voortaan door de postmedewerkers geopend en gescand mag worden, kan de whitelist worden uitgebreid met bedoelde criteria.
"Denkbaar is dat de postmedewerkers net zo betrouwbaar geacht worden te zijn als systeembeheerders"
Waarom zouden systeembeheerders betrouwbaarder zijn dan postmedewerkers ? Ik zie het verschil niet echt. Verder kan je vragen om een verklaring omtrent gedrag of andersoortige screening, en je kan de medewerkers een non-disclosure agreement laten tekenen.
"Lijkt me dat hier niet heel goed over nagedacht is, want het is een de facto opwaardering van postklerk naar behandelaar van vertrouwelijke gegevens, simpelweg omdat zij nu de enveloppes openen."
Ik vind het raar om te spreken over een opwaardering. Een postklerk is vrijwel altijd een behandelaar van vertrouwelijke gegevens, en zij krijgen al sinds jaar en dag dergelijke zaken onder ogen. Al is het maar omdat ze vertrouwelijke informatie in enveloppen doen welke ze dichtplakken en verzenden.
Wat dat betreft is dit helemaal niets nieuws.
Waarom zouden systeembeheerders betrouwbaarder zijn dan postmedewerkers ? Ik zie het verschil niet echt. Verder kan je vragen om een verklaring omtrent gedrag of andersoortige screening, en je kan de medewerkers een non-disclosure agreement laten tekenen.
"Lijkt me dat hier niet heel goed over nagedacht is, want het is een de facto opwaardering van postklerk naar behandelaar van vertrouwelijke gegevens, simpelweg omdat zij nu de enveloppes openen."
Ik vind het raar om te spreken over een opwaardering. Een postklerk is vrijwel altijd een behandelaar van vertrouwelijke gegevens, en zij krijgen al sinds jaar en dag dergelijke zaken onder ogen. Al is het maar omdat ze vertrouwelijke informatie in enveloppen doen welke ze dichtplakken en verzenden.
Wat dat betreft is dit helemaal niets nieuws.
Een postklerk is vrijwel altijd een behandelaar van vertrouwelijke gegevens, en zij krijgen al sinds jaar en dag dergelijke zaken onder ogen. Al is het maar omdat ze vertrouwelijke informatie in enveloppen doen welke ze dichtplakken en verzenden.
Ook binnen een bedrijf hoeft zo iemand in principe alleen dichte enveloppen te behandelen. Alles wat'ie weten moet staat namelijk op de envelop. Maar inderdaad, als ze al onnodig veel toegang hadden, dan is dit geen opwaardering in vereiste vertrouwenswaardigheid.
Overigens was de post vroeger een staatsbedrijf en een postbeambte dus een ambtenaar, precies omdat'ie te vertrouwen geacht werd te zijn. Ondertussen niet meer en dus is het niet verwonderlijk dat er vaker postschandalen in het nieuws te vinden zijn.
Ik denk dat TS zijn vraag een beetje onhandig heeft geformuleerd.
Wat hij waarschijnlijk bedoelde, is dat om aan WoB verzoeken sneller te kunnen voldoen, het nodig/handig is om alle
(in dit geval) poststukken te digitaliseren.
Sommige vertrouwelijke stukken als (idd.) post voor de OR of bedrijsarts e.d. kunnen volgens mij niet via WOB opgevraagd worden en hoeven/moeten dus niet in dat systeem staan. Deze zijn voor de betrokkenen wel op een andere manier op te vragen.
In ieder geval moet goed over dit systeem worden nagedacht. Uiteraard moeten diverse juristen hier naar kijken.
Wat hij waarschijnlijk bedoelde, is dat om aan WoB verzoeken sneller te kunnen voldoen, het nodig/handig is om alle
(in dit geval) poststukken te digitaliseren.
Sommige vertrouwelijke stukken als (idd.) post voor de OR of bedrijsarts e.d. kunnen volgens mij niet via WOB opgevraagd worden en hoeven/moeten dus niet in dat systeem staan. Deze zijn voor de betrokkenen wel op een andere manier op te vragen.
Ik ben geen jurist, maar zoals Anoniem van 14:41 al aangeeft snap ik niet wat de WOB met een bedrijf te maken heeft.
Wie zegt dat dat het niet om een staatsbedrijf gaat? (vooropgesteld dat staatsbedrijven ook met WOB te maken kunnen krijgen)In ieder geval moet goed over dit systeem worden nagedacht. Uiteraard moeten diverse juristen hier naar kijken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.