Een lezer vroeg me:
Vraag: Ons bedrijf beheert voor klanten grote hoeveelheden gevoelige data, waaronder persoonsgegevens. Nu is recent een nieuwe firewall geïnstalleerd met DPI, die ook ssl-verkeer kan decrypten en inspecteren. Dit zou zijn om datalekken te voorkomen. Maar nu wordt al mijn beveiligde internetverkeer bekeken! Mag dat zomaar?
Vanwege de Wet meldplicht datalekken van januari vorig jaar, en de aankomende Algemene Verordening Gegevensbescherming in mei 2018 zie je steeds meer bedrijven hard aan de weg timmeren ten aanzien van datalekken en informatiebeveiliging.
Inspectie van in- en vooral uitgaand netwerkverkeer is daarbij een relevant aandachtspunt. Immers, een hoop datalekken of security breaches gebeuren per ongeluk: een bestand naar de verkeerde persoon gemaild, een stukje malware dat iets naar buiten wil smokkelen of een gevolg van social engineering. (Om niet te spreken van mensen die willens en wetens data stelen.)
Diverse moderne firewalls zijn in staat om uitgaand SSL-verkeer open te breken. Logisch vanuit een security-gedachte: het is wel erg eenvoudig om de beveiliging te omzeilen anders. Je moet eigenlijk wel even kijken in die beveiligde verbindingen.
Maar het raakt ook allerlei legitiem verkeer van de werknemer in kwestie, zoals privemailtjes (een SSL-verbinding met Gmail of een privé Outlook adres), bankzaken of communicatie met een verzekeraar. En dan wordt het juridisch ingewikkeld, want je moet óók rekening houden met de privacy van je werknemer.
Hier moet de werkgever dus een balans in vinden. Een belangrijke voor mij is daarbij hoe geautomatiseerd dit proces gaat. Wordt er door een automatisch proces gecheckt op een serie keywords of fingerprints van de te beschermen data, dan is dat privacytechnisch héél wat minder ernstig dan een steekproefsgewijze controle door een persoon.
Ook zou belangrijk zijn dat de data niet wordt gelogd (tenzij de automatische scan natuurlijk aangeeft dat er iets mis is) en dat inspectie bij afgaande alarmbellen onder strikte geheimhouding gebeurt. Dergelijke waarborgen moeten in een reglement zijn uitgeschreven, zodat je als werknemer weet waar je aan toe bent. Maar als het zorgvuldig wordt uitgewerkt en ingevoerd, dan denk ik dat het wel kan.
Arnoud