Bij semi-overheidsinstellingen en instellingen in de medische- en zorgsector spelen vaak dezelfde problemen, die ik in het eerste artikel beschreef (denk aan de SVB, het UWV of de GGD’s). Maar bij deze instellingen spelen vaak ook andere zaken zoals: slechte opleiding en gebrek aan ervaring van steeds wisselend tijdelijk personeel in het gebruik van systemen.
In de Medische- en Zorgsector (ziekenhuizen, zorgverzekeraars) is geautoriseerd gebruik van medische gegevens van burgers helemaal van essentieel belang. Een burger heeft hier helemaal geen keus ten aanzien van zijn informatie privacy. Die sectoren verzamelen zelf hun gegevens over de burger (die vaak niet eens weet welke informatie) en dienen dus op en top te regelen dat dossiers niet voor niet-bevoegden te raadplegen zijn. Maar dat gebeurt vaak wel.
Geautoriseerd gebruik vraagt om robuuste IT-systemen (voor wat betreft inlog-procedures, kopiëren van data en noodzakelijke externe datacommunicatie). Maar vooral ook beveiliging tegen het binnendringen van systemen door hackers.
Je kunt alleen maar iets stelen uit een gebouw, als er in een gebouw onvoldoende beveiligde ramen en deuren zitten of als er onvoldoende 24-uurs bewaking aanwezig is. Je moet of systemen met essentiële data qua capaciteit slechts heel beperkt op een open internetverbinding aansluiten en/of op internetverkeer 24-uurs menselijke bewaking instellen. In de cybercrime wereld van vandaag is het niet meer mogelijk van de voordelen van IT systemen gebruik te maken, zonder de kosten te dragen voor zware beveiliging.
Het kern probleem is echter dat de bestuurders vaak generalisten zijn met weinig inhoudelijke kennis van zaken en zeker niet van informatietechnologie. Wie ergens geen verstand van heeft, houdt zich er echter meestal ook niet mee bezig en laat het over aan anderen (consultants..), afgezien van wat algemene instructies. Budgettair is het meestal ook niet erg sexy om daar veel middelen aan te besteden.
Wettelijk gezien zul je dus moeten regelen dat ongeautoriseerd gebruik van systemen op de werkplek direct wordt afgestraft (bijv. zowel boetes voor de werknemer als de werkgever) en moet je hoge eisen stellen aan de beveiliging van systemen (met directe aansprakelijkheid van bestuurders en eventueel onder toezichtstelling door derden). De Autoriteit Persoonsgevens is in deze een papieren tijger. Deze organisatie heeft wel veel bevoegdheden, maar weinig feitelijke mogelijkheden tot onderzoek en controle.
Wellicht moet je naast de controle van de Jaarrekening, accountants wettelijk ook verantwoordelijk maken voor de jaarlijkse controle van de beveiliging van IT-systemen of daar een aparte certificeringsorganisatie voor opzetten. En organisaties aparte vergunningen verlenen om data van burgers te verwerken, maar pas na certificering van de beveiliging.
Cyberspionage door andere landen brengt vooral enorme maatschappelijke en economische schade toe. Zie het recente voorbeeld van diepgaande penetratie van overheidssystemen in de Verenigde Staten. In Europees verband zouden afspraken moeten worden gemaakt om internetverkeer uit bepaalde landen te routeren via bepaalde datacentra, zodat dit verkeer bij die centra dag en nacht kan worden gemonitord. We bewaken wel grenzen, waarom bewaken we nauwelijks het internetverkeer over die grenzen?