Welke rol speelt informatiebeveiliging bij inzageverzoeken van betrokkenen?
Bij inzageverzoeken, een van de rechten van betrokkenen, speelt informatiebeveiliging (IB) een belangrijke rol. Het gaat om vragen als: hoe weet je met zoveel mogelijk zekerheid dat de betrokkene degene is die hij/zij zegt te zijn? En, wanneer zijn identiteit eenmaal is vastgelegd, hoe kunnen gegevens veilig worden verzonden via het internet? Deze praktische vragen kunnen zomaar tegelijk aan de orde komen in een organisatie en kunnen leiden tot de nodige hoofdbrekens.
Verificatie van identiteit
Zoals in een eerdere blogpost is aangegeven, moet bij ontvangst van een inzageverzoek allereerst de identiteit van de betrokkene worden vastgesteld. Het is immers cruciaal om te voorkomen dat een dossier naar de verkeerde persoon wordt gestuurd. De identiteit kan makkelijk worden gecontroleerd als de betrokkene ter plekke aanwezig is en een identiteitsdocument toont. In de meeste gevallen zal een inzageverzoek echter online worden gedaan. Er zijn dan verschillende wijzen waarop de persoon zich zou kunnen identificeren, bijvoorbeeld met een kopie van een identiteitsbewijs (met BSN weggestreept). Sterk bewijs dat de persoon degene is die hij zegt te zijn levert dit niet op. Een simpele zoekopdracht op Google levert namelijk al snel talloze (neppe) identiteitsdocumenten op. Ook kunnen identiteitsdocumenten vrij gemakkelijk worden bewerkt. Daarom zijn dus extra waarborgen nodig om met meer zekerheid te kunnen zeggen dat Piet Piet is en niet Henk.
Mogelijkheden hiervoor zijn:
- Stuur het dossier naar het huisadres van de aanvrager. Als gegevens uit de Basis Registratie Persoonsgegevens (BRP) mogen worden gebruikt, dan kunnen de opgevraagde documenten worden gestuurd naar het BRP-adres in plaats van in een reactie per e-mail.
- Neem telefonisch contact op met de aanvrager en verifieer het inzageverzoek. Vraag eventueel of het mogelijk is voor hem of haar om langs te komen.
- Andere waarborgen, zoals een verificatie van een derde partij (wiens identiteit ook moet worden vastgesteld) of het opvragen van aanvullende documenten. De aanvrager moet uiteraard niet worden opgezadeld met het verzamelen van te veel bewijs.
Let overigens wel op dat in de e-mail met het inzageverzoek niet zomaar wordt geklikt op een link of een bijlage met een vermeend paspoort. Het kan namelijk een (spear) phishing mail zijn in de vorm van een inzageverzoek. Anti-phishing oplossingen, zowel client-based als server-based, zijn cruciaal in het bestrijden van phishing. Een organisatie brede IB-training - een inzageverzoek kan immers overal terecht komen – kan ook goede bescherming bieden. Als je twijfelt over een e-mail, meldt het dan altijd aan de IT-afdeling.
Inzageverzoek online beantwoorden
Als gegevens over het internet moeten worden verzonden moet dit op een veilige manier gebeuren. Zomaar ‘in the clear’ een e-mail met het volledige dossier van een persoon terugsturen is vragen om problemen.
Enkele oplossingen hiervoor:
- Gebruik maken van Pretty Good Privacy (PGP) of OpenGPG, een alternatief voor PGP. Voor de meeste mensen is dit echter niet een optie, omdat het opzetten van deze dienst aardig wat kennis vereist. Daarnaast zijn er andere nadelen verbonden aan PGP, zoals een gebrek aan forward secrecy.
- De organisatie kan gebruik maken van software waarmee een link wordt gestuurd naar de geadresseerde. Via de link kan hij documenten uploaden naar een beveiligde omgeving. Een variant hierop is het aanbieden van een beveiligde FTP-omgeving waar documenten kunnen worden geplaatst.
- Vergelijkbaar hiermee is het uploaden van documenten via Sharepoint, een programma van Microsoft. In Sharepoint kan een afgeschermde map worden aangemaakt met speciale autorisaties. Dit zorgt ervoor dat de documenten worden geüpload in een beveiligde omgeving en dat alleen de burger en de behandelaar toegang hebben tot de documenten.
Informatiebeveiliging en inzageverzoeken
Zowel het verifiëren van een identiteit als het veilig verzenden van gegevens over het internet is geen gemakkelijke opgave. Het is goed om al oplossingen hiervoor te hebben bedacht en geïmplementeerd. Al is het maar om te voorkomen dat bij een inzageverzoek snel een team moet worden samengesteld om deze vragen op te pakken, terwijl de termijn voor het afhandelen van het verzoek ondertussen blijft doorlopen.