Steeds meer bedrijven kiezen ervoor om onderdelen van hun ICT ontwikkel- en beheerwerk uit te besteden naar lage lonen landen. Vanwege de lagere kostprijs bieden deze landen voor veel werk een voor werkgevers aantrekkelijk ICT-aanbod. Maar wat betekent dit eigenlijk voor de beveiliging van bedrijfsinformatie? En vertrouwelijke persoonsgegevens in het bijzonder?

Zowel op de website van de Europese Commissie als het College Bescherming Persoonsgegevens is een lijst gepubliceerd met landen die volgens Europese en Nederlandse standaarden een passend beschermingsniveau kunnen bieden aan informatie. Hierbij gaat het niet over het voldoen aan standaarden als ISO 27001 of de NEN 7510. Het voldoen aan dit soort standaarden is aan individuele bedrijven. En waarom zouden buitenlandse bedrijven hier beter of slechter in zijn de Nederlandse. Het oordeel van de EC (overgenomen door het CBP) komt met name voort uit een verschil in wetgeving.

Met wetgeving kan er gedoeld worden op nationale wetgeving binnen een specifiek land, maar ook internationale verdragen kunnen van invloed zijn op het oordeel van de EC. Zo is bekend dat Amerikaanse wetgeving minder strikt is dan Europese, maar kan een Amerikaanse organisatie die zich verplicht heeft tot het volgen van Safe Harbor regels toch gekwalificeerd worden als een organisatie die een passend beschermingsniveau kan bieden.

Kijken we naar de lijst met landen, dan kwalificeert eigenlijk alleen Argentinie als een mogelijk land dat vanwege zijn prijspijl een interessante aanbieding zou kunnen doen. Voor beveiligingsmanagers en organisaties die interesse hebben in het uitbesteden van ICT dienstverlening biedt dit een uitdaging. Want wat voor werkzaamheden wil en kun je uitbesteden aan landen waarvan de wetgeving niet overeenstemt met westerse (Europese) normen? Welke impact heeft dit mogelijk op de vordering van gegevens door overheden? Of op bedrijfsspionage? Of op het kunnen voldoen aan privacy wetgeving als het gaat om het verstrekken van (beheer)toegang tot klantgegevens?

Over de eerste twee punten is niet op voorhand een eenduidig antwoord te geven. Elk bedrijf zal hierin, afhankelijk van zijn eigen beleid, branch, dienstverlening en strategie, zelf een risicoafweging moeten maken. Over de privacy ten aanzien van het verstrekken van toegang tot persoonsgegevens valt meer te zeggen.

WBP
De Wet Bescherming Persoonsgegevens (WBP) stelt dat:
[Hoofdstuk 11, Artikel 76 lid 1] "Persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na hun doorgifte te worden verwerkt, worden slechts naar een land buiten de Europese Unie doorgegeven indien, onverminderd de naleving van de wet, dat land een passend beschermingsniveau waarborgt." Gezien de duidelijke definitie van "landen met een passend beschermingsniveau" door zowel het CBP als de EC geeft dit al een hele duidelijke richting aan de beperkte mogelijkheden die er zijn om buitenlandse bedrijven toegang te verschaffen tot systemen met Nederlandse persoonsgegevens.

Uiteraard zijn er uitzonderingen op de regel. Zo kunnen betrokken personen hun ondubbelzinnige toestemming geven voor een dergelijke verwerking en kan de Minister (van Justitie) een vergunning afgeven om gebruik te maken van een bedrijf in een "onveilig" land. Daarnaast kunnen er zwaarwegende belangen zijn die uitzonderingen mogelijk maken. Ook kan het in het belang van een betrokkene zijn om een uitzondering te maken. Maar met de uitzonderingen wordt over het algemeen niet licht omgesprongen. Zo blijkt uit de Nota derde landen van het College Bescherming Persoonsgegevens bijvoorbeeld dat kostenbesparingen niet gelden als een doorslaggevend argument. Kostenbesparing is immers met name een argument voor een verantwoordelijk bedrijf (of een onderaannemer) en hiermee geen goed argument om het beschermingsniveau van de persoonsgegevens van een individu te verlagen.

Spanningsveld
Zoals niet ongebruikelijk is zie je dus ook binnen de uitbestedings- en offshoring markt een duidelijk spanningsveld tussen kosten en beveiliging. Een ontwikkeling die alleen nog maar interessanter wordt op het moment dat Cloud Computing breder wordt ingezet. In de Cloud zijn we er immers veelal niet eens van op de hoogte waar onze data zich bevindt en hoe deze op de achtergrond beschermd wordt. En helaas helpen beveiligingsaudits en de normaliter zo warm aanvoelende ISO 27001 en SAS70 verklaringen ons in dit geval niet heel veel verder...

Betekent dit dan dat je helemaal niets kunt offshoren richting landen als Vietnam, China en India? Nee, dit lijkt niet het geval. Voor het uitbesteden van ontwikkelwerk is er immers geen toegang tot vertrouwelijke data nodig. Ontwikkelaars zullen vaak een representatieve dataset willen, maar deze kan ook geanonimiseerd worden aangeleverd.

Ook diverse beheerwerkzaamheden kunnen prima uitbesteed worden. Algemeen monitoringwerk bijvoorbeeld. Voor het kijken naar rode en groene lampjes is veelal geen beheertoegang nodig. Het ondernemen van acties op systemen (en het inloggen op unix, windows, databases, switches, routers en firewalls) is van een andere orde. Zodra ICT-ers de mogelijkheid krijgen om in te loggen op netwerkcomponenten, besturingssystemen of databases nemen de mogelijkheden op het ICT-systeem exponentieel toe. Zelfs als beheerders alleen maar processen moeten herstarten of andere eenvoudige taken uitvoeren, zijn er voor deze werkzaamheden over het algemeen expliciete of impliciete datarechten nodig. En zelfs als deze niet worden verstrekt, zitten systemen op dat niveau over het algemeen zo vol met laagdrempelige kwetsbaarheden dat dit type toegang effectief alsnog datatoegang betekent. En laten zich op dat niveau nou juist de belangrijkste risico's en wettelijke beperkingen bevinden...