2min Security

Brenno de Winter: Hoe maak je risico-inschatting IT weer eeenvoudig?

Brenno de Winter: Hoe maak je risico-inschatting IT weer eeenvoudig?

Er was een tijd dat de wetgever optimistisch was over technologie. Inmiddels sijpelt in regelgeving door dat er ook risico’s zijn.

Maar hoe maak je iets dat zo ingewikkeld is als een risico-inschatting nu weer eenvoudig? Door te kijken hoe falen eigenlijk werkt.

 

Tech als oplossing

Nog niet eens zo lang geleden zagen bestuurders technologie als oplossing voor ieder probleem ongeacht de vraag. Misdaad op straat? Camerabewaking. Overlast veroorzakende hangjongeren? Een etnisch ingegeven database. Lastige kinderen? Een elektronisch kinddossier. Witwassen? Een database met transacties. Laat thuis na verkiezingen? Een stemcomputer. Verkiezingen? Een stemcomputer. Volle kantoorgebouwen? Flexwerken met mobiele verbindingen. Terrorisme? Vingerafdrukken in een paspoort, databases met reisgegevens, tappen internetverbindingen en ga zo maar door.

De werking van sommige technieken is hoopvol. Alleen wordt langzaam maar zeker ook steeds duidelijker dat technologie niet altijd zo mooi werkt als voorgespiegeld.

Er ontstaan nieuwe beveiligingsproblemen. Rechters maken technologie soms ondergeschikt aan mensenrechten. Persoonsgegevens kunnen in verkeerde handen komen. De afhankelijkheid brengt kwetsbaarheden met zich mee. Projecten mislukken vaak of eindigen (ver) boven budget. En soms treden er simpelweg onverwachte neveneffecten op die we bij nader inzien niet wenselijk vinden.

Denk aan risico’s

Ook de politiek ziet inmiddels dat ‘vrijheid-blijheid’ soms ongewenste effecten heeft. Technologie moet verantwoord en met beleid worden ingezet. En zo komt er meer en meer regelgeving die vraagt om niet alleen naar de lusten te kijken, maar ook oog te krijgen voor de lasten, lees: gevaren.

Over technologie an sich kun je zelden zeggen dat iets goed of fout is. Het hangt van de situatie af. Een ‘dit mag wel of dat mag niet’ kunnen we dan ook nagenoeg nooit in wetgeving zetten zonder onverwachte gevolgen.

Dat besef komt dan ook langzaam terug in de wetgeving die vooral in de EU wordt opgesteld. In de Algemene Verordening Gegevensbescherming (AVG) komt daarom in wettekst en preambule maar liefst 70 keer de term ‘risico’ voor. Van organisaties verwacht de wetgever een inventarisatie. Welke risico’s zijn er? Waar horen ze thuis? Zijn ze acceptabel? Hoe kunnen ze worden verkleind en hoe worden ze bewaakt?

Lees het hele verhaal online of in ICT/Magazine van november.