Samenvatting Informatieveiligheid
2020-2021 (jaar 2) Hogeschool
Utrecht
geschreven door
gabrielleoosterkamp
www.stuvia.com
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
SAMENVATTING INFORMATIE VEILIGHEID BLOK C
Leerdoelen:
1. Je kunt illustreren hoe digitalisering positieve en/of negatieve effecten heeft op de
maatschappij in het algemeen en het veiligheidsdomein in het bijzonder.
2. Je kunt voorbeelden geven van gevolgen (gewenst en ongewenst) van het gebruik van big
data in het veiligheidsdomein op groepen in de maatschappij.
3. Je kunt het belang van privacy uitleggen, mogelijke knelpunten in praktijksituaties herkennen,
en de definities toepassen in niet-complexe situaties.
4. Je kunt belangrijke begrippen uit de Algemene Verordening Gegevensbescherming
definiëren of beschrijven en kunt de beginselen van deze wetgeving in eigen woorden
weergeven.
5. Je kunt op gestructureerde wijze volgens IS0 27001 de risico’s in een organisatie op het
gebied van informatieveiligheid analyseren.
6. Je legt het model van de BIV-driehoek uit en kunt concrete informatieveiligheidsrisico’s in de
praktijk aan de hand van dit model onderzoeken en classificeren.
7. Je kent de meest recente uitgave van het Cyber Security Beeld Nederland en kunt
voorbeelden geven van de daarin besproken kernproblematieken, dreigingen, belangen en
weerbaarheid. Je kent het jargon uit de begrippenlijst van deze publicatie en kan dat
toepassen in je beantwoording van contextuele vragen.
8. Je kunt de oorsprong of aanleiding van verschillende typen informatieveiligheidsrisico’s
(bijvoorbeeld technisch-organisatorisch-menselijk) herkennen en classificeren in een gegeven
situatie en kunt voorbeelden geven sociaal-psychologische factoren die van invloed zijn op
informatieveiligheid (human factor).
9. Je kunt de belangrijkste begrippen en concepten van het thema cybercrime uitleggen en
toepassen op praktijkvraagstukken.
10. Je kent de laatste ontwikkelingen en knelpunten bij de bestrijding van cybercrime en welke
actoren daarbij betrokken zijn.
C1 LITERATUUR
H3 TERMEN EN DEFINITIES (BASISKENNIS INFORMATIEBEVEILIGING)
3.1 DEFINITIES
Aanval: een poging om ongeautoriseerd toegang te krijgen tot bedrijfsinformatie. Die informatie te
lezen, te stelen, te wijzigen, onbruikbaar te maken of ongeoorloofd gebruik van die bedrijfsinformatie
te maken.
Asset: zie bedrijfsmiddel.
Authenticeren: het authentiek, rechtsgeldig maken, vaststellen of het echt waar is. In de IT-context,
wordt hier vooral mee bedoeld: het vaststellen van de juiste identiteit van een persoon die of systeem
dat zich aanmeldt bij een systeem om toegang te krijgen tot informatie in dat systeem.
Bedreiging: potentiële oorzaak van een ongewenst incident dat een systeem of organisatie schade
kan toebrengen.
Bedrijfsmiddel: alles wat waarde heeft voor de organisatie. Dit is een brede definitie, waarbij je kunt
denken aan gebouwen, informatie, software, hardware, hardcopies (papier), diensten; maar ook
mensen, vaardigheden en ervaring en immateriële vaste activa, zoals de reputatie en het imago van
de organisatie.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Beheersmaatregel (waarborging/tegenmaatregel): een middel om risico’s te beheersen, waaronder
beleid, procedures, richtlijnen, werkwijzen of organisatiestructuren, die administratief, technisch,
beheersmatig of juridisch van aard kunnen zijn.
Beleid: de formeel uitgesproken inrichting van informatiebeveiliging en de intentie van de directie hoe
om te gaan met bedrijfsrisico’s en de bescherming van de organisatie tegen
informatiebeveiligingsrisico’s.
Beschikbaarheid: beschikbaarheid waarborgt de betrouwbare en tijdige toegang tot data of
computercapaciteit voor de medewerkers. Met andere woorden, beschikbaarheid garandeert dat de
computersystemen beschikbaar zijn op het moment dat ze nodig zijn om de werkprocessen te kunnen
uitvoeren. Aanvullend hierop, betekent het voor de beveiligingsverantwoordelijke dat de
beveiligingsmaatregelen die op computersystemen genomen zijn, ook daadwerkelijk naar behoren
functioneren.
Blootstelling: met blootstelling wordt bedoeld dat een bepaald risico werkelijkheid wordt en de
organisatie op dat moment schade oploopt.
Control (Maatregel): middelen voor het managen van een risico. Meestal wordt een control ingezet
als technische of organisatorische beveiligingsmaatregel. Hieronder vallen ook het
bedrijfsbeveiligingsbeleid, procedures, richtlijnen en ‘best-practices’. Deze kunnen organisatorische
structuren omvatten zoals administratie, technische en managementactiviteiten.
Derde partij: iedere persoon, die niet als contractspartij bij een overeenkomst is betrokken, is t.o.v.
van betreffende contractspartijen een derde.
Faciliteiten voor het gebruik van informatie: iedere vorm van een informatiesysteem, service of
infrastructuur die gebruikt wordt om informatie op te slaan, te bewerken en te beheren en de fysieke
middelen en locaties dienen daarvoor aanwezig te zijn.
Handreiking: onder de handreiking (Engels: guideline) worden richtlijnen bedoeld die niet per se op
die manier opgevolgd hoeven te worden. Het zijn hulpmiddelen die richting geven aan een werkwijze.
Informatie: informatie is data die betekenis heeft voor de ontvanger van die informatie. Wanner
informatie in een computersysteem wordt opgeslagen, wordt daar meestal naar verwezen als data.
Nadat de data is verwerkt, zal dit als informatie worden gezien.
Informatieanalyse: informatieanalyse geeft een duidelijk beeld van hoe een organisatie met zijn
informatie omgaat; hoe de informatie door de organisatie stroomt. In het Engels wordt dit ‘flow’
genoemd. Het Nederlandse woord informatiestroom is de beste benadering van de betekenis van het
woord ‘flow’.
Informatiebeveiliging: het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van
informatie. Daarbij kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording,
onweerlegbaarheid en betrouwbaarheid een rol spelen.
Informatiebeveiligingsgebeurtenis: de vastgestelde status van een systeem, dienst of netwerk die
duidt op een mogelijke overtreding van het beleid voor informatiebeveiliging of een falen van een
beveiligingsvoorziening, of een tot dan onbekende situatie die relevant kan zijn voor beveiliging.
Informatiebeveiligingsincident: afzonderlijke gebeurtenis of een serie ongewenste of onverwachte
informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze nadelige gevolgen voor de
bedrijfsvoering hebben en een bedreiging vormen voor de informatiebeveiliging.
Informatiebeveiligingsmanagement: alle gecoördineerde activiteiten die richting geven aan het
beleid van een organisatie ten aanzien van risico’s. Risicomanagement omvat normaal gesproken
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
risicoanalyses, het nemen van beveiligingsmaatregelen, het accepteren van risico’s tot een bepaald
niveau en het communiceren van risico’s binnen de organisatie.
Informatiemanagement: informatiemanagement beschrijft de wijze waarop een organisatie haar
informatiestromen efficiënt plant, verzamelt, organiseert, gebruikt en controleert. En
informatiemanagement gaat ook over hoe de organisatie de informatie verspreidt en uitdraagt en de
wijze waarop ze ervoor zorgt dat de waarde die de informatie in zich heeft ook ten volle benut wordt.
Informatiesysteem: applicatie, service of IT-onderdeel waarmee informatie verwerkt kan worden.
Integriteit: integriteit gaat over de bescherming tegen ongeautoriseerde modificatie van (data in)
software en hardware. Dit kan gebeuren door geautoriseerde en ongeautoriseerde medewerkers. Het
gaat erom te waarborgen dat data betrouwbaar is.
IT-voorzieningen: elk systeem, elke dienst of infrastructuur voor informatieverwerking, of die de
fysieke locaties waarin ze zijn ondergebracht.
Kwetsbaarheid: zwakte van een bedrijfsmiddel of groep bedrijfsmiddelen die door een of meer
bedreigingen kan worden benut.
Onweerlegbaarheid (non-repudiation): onweerlegbaarheid (onloochenbaarheid) is de waarborg dat
ontvangst en/of verzending van een contract of een bericht niet kan worden ontkend door de beide
betrokken partijen, respectievelijke de ontvanger en de verzender.
Preventieve actie: maatregel genomen om een incident te voorkomen (denk hierbij aan een firewall
en antivirus/antimaleware-maatregelen).
Procedure: specifieke beschrijving hoe een bepaald proces uitgevoerd moet worden. Dit in
tegenstelling tot de apart genoemde Handreiking die de gebruiker vrij laat in de uitvoering.
Proces: een samenhangende set van inter-gerelateerde of interactieve handelingen die samen leiden
tot een bepaalde in- of output.
Restrisico (residual risk): het risico dat overblijft nadat beveiligingsmaatregelen genomen zijn. Het is
vaak onmogelijk om risico’s volledig uit te sluiten, maar het is meestal wel mogelijk om risico’s tot een
aanvaardbaar niveau terug te brengen. Het kleine, geaccepteerde risico is het rest risico.
Risico: combinatie van de waarschijnlijkheid van een gebeurtenis en het gevolg ervan.
Risicoacceptatie (risk appetite): het risico dat een organisatie bereid is te nemen. Vaak wordt dit
bepaald op basis van een risicoanalyse en heeft het te maken met de kosten die gepaard gaan met
het nemen van bepaalde beveiligingsmaatregelen, die niet in verhouding staan met de kans dat een
incident zich voordoet en de mate van kwetsbaarheid die de organisatie dan loopt.
Risicobeheer: gecoördineerde activiteiten om een organisatie sturing te geven en te bewaken met
betrekking tot risico’s. Risicobeheer omvat doorgaans Risicobeoordeling, Risicobehandeling,
Risicoacceptatie en risicocommunicatie.
Risicobehandeling: proces keuzes en implementatie van maatregelen om risico’s te verlagen. Risicobehandeling kan inhouden:




Het vermijden van het risico door te besluiten niet te starten of verder te gaan met de activiteit
die ervoor zorgt dat het risico groter wordt;
Het accepteren van een risico, waardoor de kans om een opdracht te winnen, groter wordt;
De risicobron verwijderen;
Door bepaalde maatregelen te nemen de gevolgen van een incident veranderen;
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen


Het delen van het risico met een andere partij of partijen (met inbegrip van contracten en
risicofinanciering).;
Het risico weloverwogen accepteren.
Risicobehandelingen die handelen over negatieve gevolgen worden soms aangeduid als
risicomitigatie, risico-eliminatie, risicopreventie en vermindering van het risico. Risicobehandeling kan
nieuwe risico’s creëren of bestaande risico’s wijzigen.
Risicobeoordeling: het gehele proces van risicoanalyse en risico-evaluatie.
Risico-evaluatie: proces waarin het ingeschatte risico wordt afgewogen tegen vastgestelde
risicocriteria om te bepalen in welke mate het risico significant is.
Risico-identificatie: het proces van het vinden, beoordelen en beschrijven van risico’s. Risicoidentificatie omvat de identificatie van risicobronnen, incidenten, oorzaken en consequenties.
Vertrouwelijkheid: de mate waarin de toegang tot informatie wordt beperkt tot een bepaalde groep
gerechtigden, die inzage mag hebben in de data. Dit wordt ook wel exclusiviteit genoemd. Verlies van
vertrouwelijkheid kan op veel manieren ontstaan, zoals het bewust verspreiden van gevoelige
informatie over een bedrijf, of het onbewust lekken van informatie door fouten in autorisaties in
applicaties of netwerkrechten.
3.2 BEVEILIGINGSCONCEPTEN
De termen ‘kwetsbaarheid’, ‘dreiging’, ‘risico’ en ‘blootstelling’ worden vaak door elkaar gebruikt maar
betekenen niet hetzelfde. Ze hebben wel onderlinge relaties met elkaar.
Risicoanalyse: wordt gebruikt om inzicht te krijgen in wat we moeten beveiligen en tegen welke
dreigingen we beveiligen.
Beveiligingseisen worden vastgesteld op basis van een methodisch onderzoek naar
beveiligingsmaatregelen gebaseerd op de risico’s die een organisatie loopt.
De resultaten van een risicoanalyse helpen het management bij het stellen van prioriteiten en het
nemen van de juiste acties en beslissingen voor het managen van de informatiebeveiligingsrisico’s.
Risicobeoordelingen moeten regelmatig herhaald worden om wijzigingen in werkwijze, systemen en
ook wijzigingen in externe dreigingen te kunnen vaststellen en daarop indien nodig de
beveiligingsmaatregelen aan te passen.
Informatiebeveiliging wordt bereikt door het implementeren van een afgewogen set van
organisatorische en technische maatregelen. Bijv.:





Beleidsdocumenten;
Procedures;
Organisatorische structuur en inbedding in de organisatie;
Softwarefuncties;
Hardwarefuncties.
Deze maatregelen moeten niet alleen geïmplementeerd worden, maar vooral gecontroleerd en waar
nodig worden bijgesteld en verbeterd. Hierbij zijn te allen tijde de businessdoelstellingen van de
organisatie leidend.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
De procesmatige aanpak van informatiebeveiliging zoals vastgelegd in de ISO/IEC 27002 ‘Code
voor informatiebeveiliging’ benadrukt het belang van:




Begrip voor informatiebeveiligingseisen van een organisatie en de noodzaak voor het
vaststellen van beleid en doelstellingen voor informatiebeveiliging.
Implementeren en uitvoeren van operationele maatregelen om de
informatiebeveiligingsrisico’s van een organisatie te beheersen in de context van
overkoepelende bedrijfsrisico’s.
Bewaken en controleren van de efficiëntie en effectiviteit van het managementsysteem
voor informatiebeveiliging.
Continue doorvoeren van verbeteringen op basis van objectieve metingen.
Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen
(assets) voor een organisatie. Een doorslaggevende factor om de bedrijfsdoelstellingen (imago,
liquiditeit en winstgevendheid) te kunnen realiseren en behouden is de informatiebeveiliging.
Organisaties en hun informatiesystemen en netwerken worden blootgesteld aan
beveiligingsdreigingen van zeer uiteenlopende aard. Bijv. computer gerelateerde fraude, spionage,
sabotage, vandalisme, brand en overstroming.
Informatiebeveiliging is belangrijk voor organisaties in zowel de private als publieke sector en voor de
bescherming van vitale infrastructuren. In beide sectoren speelt informatiebeveiliging een rol als
enabler. Dit is onder andere van belang bij het realiseren van een betrouwbare e-overheid,
betrouwbare e-commerce-oplossingen en bij het terugdringen of vermijden van relevante risico’s.
De verwevenheid van publieke en private netwerken en het delen van informatiebronnen verhogen de
complexiteit om te komen tot afdoende beveiliging.
3.3 FUNDAMENTELE PRINCIPES BINNEN DE INFORMATIEBEVEILIGING (BEIDRIEHOEK)
De belangrijkste principes in een
informatiebeveiligingsprogramma zijn te
herleiden naar beschikbaarheid,
integriteit en exclusiviteit (BEI-driehoek).
De beveiligingseisen die op grond van
deze basisprincipes gesteld worden,
variëren per organisatie. Dit komt
doordat elke organisatie haar eigen
specifieke eisenpakket opstelt op basis
van bedrijfs- en beveiligingsdoelen en eisen.
Alle risico’s, dreigingen en
kwetsbaarheden worden beoordeeld op
hun potentie om één of meerdere van
deze BEI-principes schade aan te
brengen. Alle beveiligingsmaatregelen,
mechanismen en controles
geïmplementeerd om één of meerdere
principes te beschermen.
Exclusiviteit
Security
Management
Integriteit
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Beschikbaarheid
Stuvia - Koop en Verkoop de Beste Samenvattingen
3.4 VERTROUWELIJKHEID (EXCLUSIVITEIT)
Refereert naar beperkingen in termen van wie kan bij welke informatie.
Voorbeeld 1: iemand die verantwoordelijk is voor strategische plannen kan zich zorgen maken
over het vertrouwelijk houden van deze plannen voor de concurrenten.
Voorbeeld 2: een individu wil zijn financiële gegevens voor zichzelf houden en wil niet dat
anderen hier zicht op hebben.
Vertrouwelijkheid is erop gericht dat het noodzakelijke niveau van geheimhouding wordt gerealiseerd
voor elk moment dat die data verwerkt wordt en voorkomt het ongeautoriseerd vrijgeven ervan. Dit
niveau van vertrouwelijkheid moet gehandhaafd worden tijdens het datatransport via systemen en
apparaten in een netwerk, maar ook op de doelbestemming.
Vertrouwelijkheid tijdens transport en opslag kan gerealiseerd worden met behulp van vercijfering.
Daarnaast zijn strikt uitgevoerde toegangscontroles, dataclassificatie en training van personen om
procedures correct uit te voeren, aspecten die de vertrouwelijkheid borgen.
Voorbeelden van maatregelen gericht op vertrouwelijkheid:
Toegang tot informatie wordt gegeven op basis van 'need to
know'.
Het is bijvoorbeeld niet noodzakelijk om een werknemer die belast is met de
salarisadministratie inzicht te geven in rapporten die inhoudelijke discussies met
klanten bevatten.
Medewerkers dragen er zorg voor dat data niet onbedoeld
terechtkomt bij personen die deze niet nodig hebben.
Zij zorgen er bijvoorbeeld voor dat er geen vertrouwelijke documenten onbeheerd
op hun bureau liggen.
Logisch toegangsmanagement borgt dat ongeautoriseerde
personen of processen geen toegang krijgen tot
geautomatiseerde systemen, databases en programma's.
Zo heeft een gebruiker bijvoorbeeld geen rechten om de systeemsettings op een
desktop te veranderen.
Scheiding in verantwoordelijkheden wordt gerealiseerd door
scheiding aan te brengen in organisatieonderdelen
verantwoordelijk voor systeemontwikkelingen,
procesontwikkeling en gebruikers.
Indien goed geïmplementeerd kan zo voorkomen worden dat een
systeemontwikkelaar in staat is om veranderingen door te voeren in de salarissen.
In het verwerken en gebruiken van data zijn maatregelen
getroffen om de privacyvan personeel en derden te
waarborgen.
De afdeling Personeelszaken zou bijvoorbeeld een netwerkdeel ter beschikking
kunnen krijgen dat niet toegankelijk is voor andere organisatieonderdelen.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Het gebruik van computers door gebruikers is omgeven door maatregelen die ervoor zorgen dat
vertrouwelijkheid van de informatie gegarandeerd kan worden.
Voorbeeld: authenticatie van geautoriseerde gebruikers op basis van een combinatie van
gebruikersnaam en wachtwoord. Ook wordt in sommige gevallen gebruik gemaakt van een
‘challenge response token’ dat per login-sessie een eenmalig wachtwoord genereert.
De netwerklagen kunnen vercijferd worden, waardoor de kans op inhoudelijke analyse van
verkeersgegevens sterk afneemt. Het is voor een aanvaller nog steeds mogelijk om in zo’n geval de
hoeveelheid verkeer op een netwerk te analyseren. Op deze manier kan de aanvaller bepalen welke
systemen een belangrijke rol spelen.
Tegenmaatregel: ‘traffic padding’ (opvulling) -> een continue stroom van willekeurig verkeer
wordt gegenereerd. Wanneer een boodschap verzonden moet worden, wordt deze vercijferd
en ingevoegd in de willekeurige stroom boodschappen. Op deze manier is het voor een
aanvaller niet te bepalen hoeveel informatie verzonden wordt. Hij kan immers niet bepalen wat
inhoudelijke boodschappen zijn en wat de willekeurig gegenereerde data is.
3.5 INTEGRITEIT
Integriteit is de mate waarin de informatie actueel en zonder fouten is. Kenmerken van integriteit zijn
de juistheid en de volledigheid van de informatie. Elke ongeautoriseerde verandering van data, hetzij
opzettelijk, hetzij per ongeluk, is een inbreuk op de data-integriteit.
Voorbeeld: Van applicaties verwachten we dat ze informatie correct verwerken en opslaan, en
dat er geen afwijkingen van de waarden worden geïntroduceerd door bijvoorbeeld
programmeerfouten.
Voorbeeld: Men kan bijvoorbeeld verwachten dat data opgeslagen op een disk stabiel is en
dat de data niet verandert doordat er bijvoorbeeld problemen zijn met de hardware controller
van de disk.
Logische bom: een stuk code (deel van programma) dat opzettelijk wordt ingebracht met het doel om
op een specifiek moment, bijvoorbeeld op een bepaalde datum of wanneer er specifieke condities
optreden, een kwaadaardige functie uit te voeren.
Voorbeeld: zo kan een programmeur een stuk software verbergen dat bestanden gaat
verwijderen op het moment dat zijn gegevens, als gevolg van een ontslag, uit de
salarisdatabase wordt verwijderd.
Achterdeur in een computersysteem: cryptografisch systeem of algoritme, is een methode om
reguliere authenticatiemechanismen te omzeilen. Doel is bijvoorbeeld om remote toegang tot
onvercijferde data te krijgen zonder dat deze activiteit opgemerkt wordt. De achterdeur kan de vorm
hebben van een geïnstalleerd programma of kan bestaan uit aanpassingen van een bestaand stuk
hard- of software.
Intrusion Detection System (IDS): is een soort security-managementsysteem voor computers en
netwerken. Een IDS verzamelt en analyseert data uit verschillende elementen in een computer
netwerk om vast te stellen of er zich mogelijke beveiligingsinbreuken hebben voorgedaan. Hieronder
vallen zowel intrusions (aanvallen van buiten de organisatiegrenzen) en misbruik (aanvallen van
binnen de organisatiegrenzen. Een IDS gebruikt vulnerability assessment (bijvoorbeeld in de vorm van
het uitvoeren van een scan). Dit is een technologie die ontwikkeld is om de beveiliging van een
systeem te beoordelen door in kaart te brengen welke kwetsbaarheden aanwezig zijn.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Hashing: het transformeren van een willekeurige reeks karakters in een doorgaans kortere reeks van
vaste lengte, ook wel ‘sleutel’ genoemd. Deze sleutel representeert de originele reeks karakters.
Hash-functies worden gebruikt voor het indexeren en ophalen van informatie in een database, omdat
het doorgaans sneller is om een hash-sleutel te vinden dan de originele waarde. Hash-functies
worden ook gebruikt in diverse cryptografisch algoritmes.
Gebruikers hebben een negatief effect op data-integriteit door het maken van fouten (hoewel
opzettelijke fouten of fraude voorkomen).
Voorbeeld 1 onopzettelijke fout: verwijderen van configuratiebestanden van een harddisk,
omdat de gebruiker ruimte nodig heeft en zich niet kan herinneren bepaalde bestanden
gebruikt te hebben en verwijderen daarvan dus geen probleem is.
Voorbeeld 2 opzettelijke fout: een gebruiker voert een incorrecte waarde in een data
verwerkende applicatie in, waardoor de factuur naar een klant wordt gestuurd. De incorrecte
waarde is €3.000.000 i.p.v. €3.000.
Maatregelen om de integriteit te beschermen zijn:
Veranderingen in systemen en data worden geautoriseerd.
Zo voert een medewerker een nieuwe prijs voor een artikel op de website in en
een andere medewerker verifieert of deze prijs correct is voordat deze
daadwerkelijk zichtbaar wordt op de website.
Waar mogelijk worden mechanismen ingebouwd die
afdwingen dat gebruikers een juiste term gebruiken.
Een voorbeeld hiervan is dat een 'klant' altijd een 'klant' genoemd wordt, de term
'cliënt' of 'gebruiker' kan niet ingevoerd worden in de database.
Gebruikersacties worden vastgelegd (gelogd) zodat later kan
worden vastgesteld wie welke veranderingen in informatie
heeft doorgevoerd.
Vitale systeemfuncties, bijvoorbeeld het installeren van
nieuwe software, kan niet uitgevoerd worden door een
willekeurige gebruiker.
Door het scheiden van taken, in functie en mandaten, wordt het vereiste dat
minimaal twee personen nodig zijn om een verandering met potentieel grote
consequenties door te voeren.
De integriteit van data kan grotendeels worden gegarandeerd
door vercijferingstechnieken, welke ingezet kunnen worden
om ongeautoriseerde toegng en verandering te voorkomen.
De beleidmatige en managementprincipes voor vercijfering hiervoor kunnen
vastgelegd worden in een specifieke beleidsdocument.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
3.6 BESCHIKBAARHEID
De karakteristieken van beschikbaarheid zijn:



Tijdigheid: de informatie is beschikbaar op het moment dat ze nodig is.
Continuïteit: men kan doorwerken ook al treedt er een fout of storing op.
Robuustheid: er is voldoende capaciteit, zodat het systeem niet overbelast raakt wanneer
alle geautoriseerde gebruikers ermee werken.
Voorbeeld beschikbaarheid: het crashen van een disk of een Denial-of-Service (DoS)-aanval inbreuk
doen op de beschikbaarheid. Elke vertraging die vooraf vastgesteld niveau voor een systeem
overschrijdt, kan omschreven worden als een inbreuk op beschikbaarheid.
Beïnvloeding systeembeschikbaarheid


Systeembeschikbaarheid kan beïnvloed worden door een storing in de soft- of hardware.
Back-up middelen moeten gebruikt worden en beschikbaar zijn, om snel kritische systemen of
systeemonderdelen te kunnen vervangen. Medewerkers moeten getraind en beschikbaar zijn
om noodzakelijke aanpassingen uit te voeren om na een storing de systemen weer werkend
te krijgen.
Omgevingsactoren zoals hitte, koude, statische elektriciteit en vervuilingen kunnen ook
invloed hebben op de systeembeschikbaarheid. Systemen moeten beschermd worden tegen
de negatieve invloeden van deze factoren, deugdelijk geaard zijn en adequaat gemonitord
worden.
DoS-aanval



DoS-aanvallen worden door hackers uitgevoerd om bedrijfssystemen te verstoren met het
doel om invloed uit te oefenen op de beschikbaarheid van informatie en de productiviteit. Door
de ze aanvallen hebben reguliere gebruikers geen toegang meer tot systeemmiddelen en
informatie.
Alleen noodzakelijke services en poorten moeten worden toegestaan op systemen om
bescherming te bieden tegen dit soort aanvallen.
o Hierbij kan gebruik gemaakt worden van Intrusion Detection Systems (IDS) om
netwerkverkeer en -activiteiten op systemen in de gaten te houden.
Specifieke firewall- en routerconfiguraties kunnen ook bijdragen aan het reduceren van DoSaanvallen. Ze kunnen ervoor zorgen dat deze aanvallen geen invloed meer hebben, of zelfs in
het geheel niet meer kunnen voorkomen.
Voorbeelden van maatregelen voor beschikbaarheid zijn:
Management en opslag van data zijn zodanig geregeld dat
het risico op verleis van informatie geminimaliseerd is.
Data wordt bijvoorbeeld alleen opgeslagen op een netwerkdisk en niet op een
lokale harddisk in een desktopsysteem.
Procedures voor back-up. Bij opslag van back-ups wordt
rekening gehouden met de eisen zoals wet- en regelgevin die
voorschrijven.
De locatie van de back-up is fysiek gescheiden van de bedrijfsomgeving, zodat
gegevens veilig zijn in geval dat zich een noodgeval (zoals brand) voordoet.
Wet- en regelgeving waarin is opgenomen hoe lang data
beschikbaar moet zijn, verschilt per land.
Het is belangrijk om bij de lokale instanties te informeren welke eisen er aan de
Gedownload door: sjo14 | stanleyording@outlook.com
beschikbaarheid gesteld
worden.
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
3.7 PARKERIAN HEXAD
Parkerian hexad is een set van zes elementen voor informatiebeveiliging die
is ingebracht door Donn B. Parker.
Deze informatieattributen kunnen niet verder onderverdeeld worden. Elk
element heeft unieke aspecten m.b.t. informatie. Elke inbreuk op de
beveiliging kan beschreven worden in termen waarop de inbreuk invloed heeft
op een of meerdere van deze fundamentele informatieattributen.
1. Vertrouwelijkheid
2. Bezit of controle
3. Integriteit
4. Authenticiteit
5. Beschikbaarheid
6. Utiliteit
3.8 RISICO’S
Risico: de kans dat een dreiging gebruikmaakt van een zwakheid en de bijbehorende impact voor de
organisatie.
Voorbeeld: als een firewall verschillende poorten open heeft staan, is de kans groter dat een
inbreker gebruik zal maken van één van die poorten om ongeautoriseerd op het interne
netwerk te komen.
Risico bindt de zwakheid, de dreiging en de waarschijnlijkheid samen en bepaalt daarmee de
uiteindelijke impact voor de business.
3.9 DREIGINGEN
Dreiging: komt voort uit een niet-gewenst incident en kan schade berokken aan een systeem of aan
een organisatie.
Als een incident optreedt, wordt de dreiging werkelijkheid. De entiteit die gebruikmaakt van een
zwakheid wordt vaak aangeduid als de ‘threat agent’
Threat agent: kan een hacker zijn die een netwerk binnenkomt via een poort op een firewall, of een
softwareproces dat data benadert op een manier die een beveiligingsbeleid overtreedt.
Dreigingen zijn verschillend per land, afhankelijk van de mate van ontwikkeling en internetgebruik.
3.10 KWETSBAARHEID
Kwetsbaarheid: er is geen beveiligingsmaatregel genomen voor de zwakheid in een bedrijfsmiddel
(asset).
Voorbeeld: een lek in een softwarepakket is bekend, maar er is nog geen
beveiligingsmaatregel voor genomen. Hiervan kan gebruik worden gemaakt, tot het moment
dat het lek gerepareerd is.
3.11 BLOOTSTELLING
Blootstelling: een toestand waarin schade geleden wordt door toedoen van een threat agent.
Een zwakheid stelt een organisatie bloot aan mogelijke schade.
Voorbeeld 1: als er zwak wachtwoordbeleid is en het beleid is niet afgedwongen, dan loopt de
organisatie de kans dat ze wordt blootgesteld aan ongeautoriseerd wachtwoordgebruik met
alle gevolgen van dien.
Voorbeeld 2: als een organisatie haar bekabeling niet af en toe laat testen/controleren en ook
nog eens niet proactief aan brandpreventie doet, dan loopt ze de kans om schade te lopen als
gevolg van brand.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
3.12 TEGENMAATREGELEN OF BESCHERMING
Tegenmaatregel: wordt ingezet om bescherming te bieden tegen een potentieel risico. Dit kan een
software-instelling zijn, hardware, een procedure die een zwakheid minimaliseert of de kans dat een
threat agent gebruikmaakt van een zwakheid.
Voorbeeld 1: een goed wachtwoordenbeleid.
Voorbeeld 2: fysieke bewaking.
Voorbeeld 3: access controlemechanismen in een bestuurssysteem.
Voorbeeld 4: instellen van BIOS-wachtwoorden en het geven van bewustzijnstrainingen.
3.13 BEOORDELING VAN VEILIGHEIDSRISICO’S
ISO/IEC 27005: risicomanagement
Risicomanagement: het proces van plannen, organiseren, en het controleren van de activiteiten van
een organisatie ten einde de effecten van een risico te minimaliseren en om het kapitaal en de winst
van de organisatie te beschermen.
Risico’s kunnen ontstaan door de onzekerheid op financiële markten, mislukte projecten of bijv.
ongevallen.
De gebruikte methoden, de definities en doelen variëren sterk afhankelijk van of het een
risicobeheermethode is in de context van projectmanagement, beveiliging, engineering, industriële
processen, financiële portefeuilles of de openbare veiligheid en gezondheid.
Risicostrategie kan verschillend zijn -> men kan het risico geheel willen vermijden, overdragen aan
een andere partij of de negatieve effecten ervan deels of geheel accepteren.
Risicomanagement is een continu proces en van toepassing op alle aspecten van de operationele
processen. In grote organisaties is er een informatiebeveiligingsspecialist aangesteld die
verantwoordelijk is voor het risicomanagement.
Eisen ten aanzien van informatiebeveiliging:
De risico's die de organisatie loopt. Rekening houdend met de
algemene business strategie en doelstellingen. Door middel van
een risicobeoordeling worden de bedreigingen voor de activa
geïdentificeerd, de kwetsbaarheid voor dreigingen en de
waarschijnlijkheid dat een dreiging werkelijkheid wordt, wordt
geëvalueerd en potentiële impact van een incident wordt geschat.
De wettelijke, statuataire en contractuele eisen waaraan een
organisatie, haar handelspartners, aannemers en dienstverleners
moeten voldoen en hun sociaal-culturele milieu.
De set van principes, doelstellingen en zakelijke vereisten voor
informatieverwerking, opslag, communicatie en archivering die een
organisatie heeft ontwikkeld om haar activiteiten te ondersteunen.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Risicobeoordeling
Risicobeoordelingen dienen om risico’s te identificeren en te kwantificeren. Vervolgens worden de
risico’s geprioriteerd aan de hand van de criteria voor risicoacceptatie die de organisatie hanteert en
de doelstelling nastreeft. Uit de resultaten van de risicobeoordeling worden de juiste
beheersingsmaatregelen bepaald, prioriteiten gesteld voor het beheer van de
informatiebeveiligingsrisico’s en de beveiligingsmaatregelen geselecteerd om de organisatie te
beschermen tegen deze risico’s.
Risicobeoordeling omvat:


Een business impact analyse, een systematische aanpak om de impact van incidenten in te
schatten.
Een dreigingen en kwetsbaarheden analyse waarbij de verwachte dreigingen en
kwetsbaarheden aan de hand van risicocriteria worden beoordeeld om de gevolgen van
incidenten te bepalen.
Belangrijke zaken bij risicobeoordelingen:


Moeten periodiek worden uitgevoerd -> vanwege de verandering in beveiligingseisen en aard
van risico.
De omvang van de risicobeoordeling kan de gehele organisatie, of delen van de organisatie,
een individueel informatiesysteem, specifieke systeemonderdelen, of diensten betreffen.
ISO/IEC 27005: risicoanalyseaanpak
Risicoanalyse: het proces van definiëren en analyseren van de gevaren voor personen, organisaties
en overheidsinstellingen dat uitgaat van potentiële natuurlijke en door de mens veroorzaakte
gebeurtenissen.
Het doel van het uitvoeren van een risicoanalyse is om de bedreigingen en de bijbehorende risico’s
voor de relevante bedrijfsprocessen in beeld te krijgen en om de bijbehorende veiligheidsmaatregelen
en een beveiligingsplan op te stellen.
Een risicoanalyse heeft vier hoofddoelen:
1. Het identificeren van de waarde van bedrijfsmiddelen (assets);
2. Het vaststellen van kwetsbaarheden en dreigingen;
3. Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het
bedrijfsproces verstoren.
4. Het vinden van een evenwicht tussen de kosten van een incident en de kosten van een
beveiligingsmaatregel.
Kosten-batenverhouding: de jaarlijkse kosten die de beveiligingsmaatregelen met zich mee
brengen, worden vergeleken met het potentiële verlies dat optreedt wanneer dreigingen werkelijkheid
worden.
Kwantitatieve risicoanalyse: probeert op basis van risicowaardering te berekenen hoe groot de kans
is dat een dreiging een incident wordt, en wat de financiële gevolgen zijn indien het incident voordoet.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Kwalitatieve risicoanalyse: gaat uit van scenario’s en verzonnen situaties. Hierbij worden de kansen
dat een dreiging uitkomt ‘bekeken’ op gevoel.
SLE, ALE, EF en ARO
SLE: Single Loss Expectancy -> de verwachting van verlies wanneer een incident eenmaal voorkomt.
EF: Exposure Factor -> blootstellingsfactor, geeft het verliespercentage van een gerealiseerde
bedreiging op een bepaald bedrijfsmiddel.
SLE is een bedrag dat wordt toegewezen aan
een enkele gebeurtenis die potentieel verlies van
de onderneming vertegenwoordigt als een
specifieke bedreiging zou plaatsvinden:
SLE = inventarisatiewaarde x blootstellingsfactor (EF)
ARO: Annualized Rate Of Occurrence -> de jaarlijkse schade verwachting.
ARO is de geschatte frequentie waarmee een specifieke bedreiging plaatsvindt in een tijdsbestek van
een jaar. Het bereik ligt tussen 0,0 (gebeurt nooit) tot 1,0 (gebeurt tenminste eenmaal per jaar) tot >1
(meerdere malen per jaar) en overal daar tussen in.
ALE: Annualized Loss Expectancy -> de schade op jaarbasis.
ALE = SLE x ARO
3.14 ISO/IEC 27001:2013 BEVEILIGINGSRISICO’S BEPERKEN
Voorbeeld:
Een datawarehouse heeft een vermogenswaarde van € 500.00,-. Stel dat zich een brand voordoet, en we
schatten de waarde in het geval dat 25% van de opslagplaats is beschadigd. De kans op herhaling is
eenmaal in de 10 jaar. De SLE zou dan € 125.000,- bedragen en de ARO waarde is dan (1/10) 0,10. Deze
bedragen vullen we in, in de ALE-vergelijking: ALE = SLE x ARO -> €125.000,- x 0,10
Beveiligingsmaatregelen: technische of administratieve garanties of tegenmaatregelen om
incidenten te voorkomen, tegen te gaan of te minimaliseren en het verlies of onbeschikbaarheid van
informatie als gevolg van bedreigingen te beperken.
Alvorens een organisatie overgaat naar risicobehandeling, dient ze eest de criteria vast te stellen
waaronder een risico kan worden aanvaard. Een risico kan worden aanvaard indien, bijvoorbeeld,
wordt geoordeeld dat het risico laag is of dat de kosten van de behandeling niet kosteneffectief is voor
de organisatie. Dergelijke beslissingen moeten worden geregistreerd.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Over ieder, tijdens de risicobeoordeling, geïdentificeerde risico moet een beslissing worden genomen
over welke maatregelen getroffen gaan worden. Mogelijke maatregelen voor risicobehandeling
omvatten:
Beveiligingsmaatregelen kunnen worden geselecteerd uit de ISO27002-norm. Een organisatie kan
ook haar eigen, bestaande maatregelen toepassen, of nieuwe beveiligingsmaatregelen ontwikkelen
om aan haar specifieke beveiligingsbehoeften te voldoen.
3.15 MAATREGELEN OM RISICO’S TE VERMINDEREN
De risicoanalyse levert een lijst op met bedreigingen en hun relatieve impact. Volgende stap is om
voor elke serieuze dreiging één of meer maatregelen te vinden die het risico verminderen. Dit kan
door: kans minimaliseren, gevolgen minimaliseren of een combinatie.
Typen beveiligingsmaatregelen
Reductieve maatregelen
Gericht op het reduceren van bedreigingen.
Preventieve maatregelen
Gericht op het voorkomen van incidenten.
Voorbeeld: gevoelige informatie in een kluis leggen.
Detectieve maatregelen
Bedoeld om incidenten te detecteren.
Voorbeeld: videobewaking met daarbij stickers op het raam (iedereen is geïnformeerd).
Repressieve maatregelen
Bedoeld om de gevolgen van een incident te stoppen.
Voorbeeld: het maken van een back-up.
Correctieve maatregelen
Gericht op het herstellen van onstane schade.
Voorbeeld: hoe langer het geleden is dat een back-up is gemaakt bepaald de grote van de
schade.
Verzekeren
Voor gebeurtenissen die niet zijn uit te sluiten en waarvan de gevolgen onaanvaardbaar zijn, zoeken
we methoden om de gevolgen te verzachten, ook wel mitigatie genoemd. Het is mogelijk om ons te
verzekeren tegen bepaalde incidenten, bijvoorbeeld omdat het zelf nemen van maatregelen te
kostbaar is.
Het toepassen van de juiste beveiligingsmaatregelen om de risico's
te beperken.
Willens en wetens en objectief risico's accepteren, mits ze duidelijk
voldoen aan het beleid en de acceptatiecriteria die de organisatie
heeft bepaald.
Het vermijden van risico's door het verbieden van acties die ertoe
zouden kunnen leiden dat er een risico gaat optreden.
Overdragen van de risico's
naardoor:
andere
zoals verzekeraars
Gedownload
sjo14partijen,
| stanleyording@outlook.com
of leveranciers.
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Accepteren
Wanneer alle maatregelen bekend zijn, kunnen we besluiten om bepaalde beveiligingsmaatregelen
niet uit te voeren omdat de kosten niet in verhouding staan tot het rendement, of omdat er geen
passende maatregelen mogelijk zijn die de risico’s het hoofd bieden.
3.16 SOORTEN DREIGINGEN
Menselijke dreigingen
Opzettelijk: opzettelijk schade toebrengen aan informatiesystemen.
Voorbeeld: een ontslagen medewerker vernietigd uit boosheid data.
Onopzettelijk: onopzettelijk schade toebrengen aan informatiesystemen.
Voorbeeld 1: iemand drukt op de delete-toets en leg niet goed op de vraag of hij het zeker
weet.
Voorbeeld 2: iemand steekt een USB-stick besmet door een virus in de pc en brengt op die
manier het virus over op een heel netwerk.
Social engineering: maakt gebruik van mensen door ze informatie te ontfutselen. Een social engineer
gaat systematisch en met kennis van zaken te werk.
Voorbeeld 1: voer je in de trein wel eens een gesprek over je werk en weet je zeker dat daar
geen gevoelige informatie in voorkomt?
Voorbeeld 2: als je een telefoontje krijgt van de helpdesk met de vraag waar een bepaald
bestand staat, vraag je dan of het werkelijk de helpdesk is die belt?
Niet-menselijke dreigingen
Niet-menselijke dreigingen: invloeden van buitenaf zoals blikseminslag, brand, overstroming en
stormschade.
Binnen de menselijke en niet-menselijke dreigingen kunnen we een onderverdeling maken in
storingen in de basisinfrastructuur zoals computerapparatuur, programmatuur of gegevensbestanden
en storingen in de fysieke omgeving zoals gebouwen, papieren dossiers, elektrische installaties,
watervoorzieningen, verwarming, ventilatie en koeling.
3.17 SOORTEN SCHADE
Schades als gevolg van het manifest:




Directe schade;
o Bijv. diefstal.
Indirecte schade;
o Bijv. waterschade door bluswerkzaamheden.
Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE);
o De hoeveelheid schade, in geld ingedrukt, die door een incident in een jaar kan
optreden.
Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE).
o Schade van een incident treedt eenmalig op.
3.18 SOORTEN RISICOSTRATEGIEËN
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Meest gebruikelijke strategieën om met risico’s om te gaan:



Risicodragend
o Sommige risico’s accepteren we (bijv. omdat de kosten van de
beveiligingsmaatregelen de mogelijke schade overstijgen).
Risiconeutraal
o Er worden dusdanige beveiligingsmaatregelen genomen dat dreigingen of niet meer
manifest worden of, wanneer de dreiging wel manifest wordt, de schade als gevolg
hiervan geminimaliseerd is.
o De meeste maatregelen die een risiconeutrale organisatie neemt op het gebied van
informatiebeveiliging zijn een combinatie van preventieve, detectieve en repressieve
maatregelen.
Risicomijdend
o Er worden zodanig maatregelen genomen dat de dreigingen zo veel mogelijk worden
geneutraliseerd, zodat de dreigingen niet meer tot een incident leidt.
o Bijv. door nieuwe software in te voeren zodat de fouten in de oude software geen
dreigingen meer vormen.
H4 CONTEXT VAN DE ORGANISATIE
Het informatiebeveiligingsbeleid is het hoofddocument en omvat beleidsdocumenten, procedures en
handreikingen die zich richten op bepaalde aspecten van de informatiebeveiliging en die voorzien in
gedetailleerde beschrijvingen. Deze documenten zijn een belangrijk van het Information Security
Management System (ISMS).
4.1 HET OPZETTEN VAN EEN ISMS
Domeinen vormen de basis van een ISMS, een domein is een groep objecten die onderling een relatie
met elkaar hebben. Als dit voor een organisatie handig is, dan worden vaak afzonderlijke
beleidsdocumenten geschreven voor een domein. Door een afzonderlijk beleidsdocument en
werkinstructie te maken voor het domein gebouwbeveiliging, bereik je de juiste groep medewerkers,
zonder hen lastig te vallen met voor hen overbodige beveiligingseisen.
4.2 HET BEGRIJPEN VAN DE ORGANISATIE EN DE CONTEXT WAARIN ZE WERKT
De organisatie moet kijken naar de externe en interne onderwerpen en invloeden die relevant zijn voor
haar bedrijfsdoelstellingen en die invloed hebben op resultaat van haar ISMS.
4.3 INZICHT VERKRIJGEN IN DE BEHOEFTEN EN VERWACHTINGEN VAN
BELANGHEBBENDEN
Organisaties zijn meer met elkaar verbonden. Informatie wordt tussen verschillende commerciële en
niet-commerciële organisaties uitgewisseld. De eisen die externe partijen hebben kunnen op
wetgeving gericht zijn, maar ook op de door de externe partijen gehanteerde standaarden. De
verplichting om het beveiligingsbeleid van de organisatie waar zaken mee gedaan wordt na te leven,
wordt dan ook steeds vaker in contracten vastgelegd. De organisatie zal daarom onderzoeken:


Welke partijen relevant zijn voor het ISMS;
De eisen die partijen stellen en die relevant zijn voor informatiebeveiliging.
4.4 HET VASTSTELLEN VAN DE SCOPE OP HET ISMS
Bij het vaststellen van de scope (begrenzingen) moet de organisatie rekening houden met haar interne
belangen, maar ook met de belangen van externe partijen waarmee ze zaken doet of waarmee ze
informatie uitwisselt. Het is daarom belangrijk dat de interfaces en afhankelijkheden met betrekking tot
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
de activiteiten die door de organisaties uitgevoerd worden, goed beschreven worden. Dan wordt ook
duidelijk waar de belangen liggen voor de informatiebeveiliging binnen de eigen organisatie. Deze
informatie dient beschikbaar te worden gesteld aan de partners.
4.5 DE PDCA-CYCLUS
Veel organisaties hebben een eigen kwaliteitsmethode in gebruik die al dan niet een afgeleide is van
de PDCA-methode. Om deze reden heeft de ISO in 2013 versie het verplichte gebruik van de PDCAcyclus vervangen door het gebruik van een zelf te kiezen kwaliteitsmethode.
PLAN (ontwerp het ISMS)
Het beleid wordt ontworpen en beschreven. De informatiebeveiligingsdoelstellingen en de relevante
processen en procedures worden gedefinieerd en hiermee worden de risico’s gemanaged. Deze
doelstellingen moeten de bedrijfsprocessen van de organisatie ondersteunen. De
beveiligingsmaatregelen kunnen worden gedefinieerd op basis van de risicoanalyse en kostenbatenanalyse.
In de planfase wordt niet alleen het algemene beveiligingsbeleid beschreven, maar ook de
onderliggende beleidsdocumenten en regelingen.
D) (implementeer het ISMS)
Het beleid en de onderliggende documenten worden geïmplementeerd. Verantwoordelijkheden
worden belegd voor ieder informatiesysteem en/of bedrijfsproces.
CHECK (monitor en controleer het ISMS)
Er wordt gecontroleerd op basis van zelfcontrole door bijvoorbeeld een interne auditor. Waar mogelijk
worden maatregelen genomen om ervoor te zorgen dat het beveiligingsbeleid wordt nageleefd. De
controle op de implementatie van de beveiligingsmaatregelen wordt gerapporteerd aan het
verantwoordelijke management en de Chief Information Security Office (CISO).
ACT (onderhoud het ISMS en stel waar nodig bij)
Aanpassingen worden gemaakt en preventieve maatregelen worden genomen op basis van de
resultaten van de interne audit uit de checkfase. Het ISMS wordt bijgesteld op basis van de
ondervindingen uit de audit.
4.6 BEZIT OF BEHEER
Bezit: daadwerkelijke bezit van informatie.
Beheer: verlies van controle.
4.7 AUTHENTICITEIT
Authenticiteit: de juistheid van de claim van herkomst of naar het eigenaarschap van de informatie.
Voorbeeld: een methode om eigenaar (auteur) van een handgeschreven document vast te
stellen is door de handschriftkenmerken van het document te vergelijken met een monster van
een ander document dat reeds gecontroleerd is.
4.8 BRUIKBAARHEID
Bruikbaarheid: het gemak waarmee een applicatie, product of IT-dienst kan worden gebruikt.
Voorbeeld 1: de omzetting van salarisgegevens van de ene valuta in een ongepaste valuta.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Voorbeeld 2: stel dat iemand data op een schijf versleuteld heeft om onbevoegde toegang of
onopgemerkte wijzigingen te voorkomen. Die ene persoon verloor de decryptiesleutel
waarmee de data weer leesbaar gemaakt kan worden. Dit is een schending van de
bruikbaarheid. De gegevens verliezen dan hun vertrouwelijkheid, ze kunnen niet meer op
ongewenste wijzigingen gecontroleerd worden. De authenticiteit is niet meer aantoonbaar.
4.9 DUE CARE EN DUE DILIGENCE
Due diligence en due care zijn belangrijke zaken geworden bij het (professioneel) gebruik van
computersystemen. Wet- en regelgeving moeten ervoor zorgen dat de benodigde
beveiligingsmaatregelen worden genomen om de privacy te waarborgen.
Due diligence: een organisatie voert actief onderzoek uit naar de risico’s die ze loopt.
Due care: laat zien dat een organisatie haar verantwoordelijkheden serieus neemt en dat ze
noodzakelijke stappen heeft ondernomen om de medewerkers en de bedrijfsmiddelen te beschermen
tegen mogelijke dreigingen (beveiligingsbeleid en beveiligingsprocedures in een organisatie).
Een organisatie die niet aantoonbaar aan due diligence en due care ‘doet’ kan vervolgd worden
wanneer er serieuze beveiligingsincidenten plaatsvinden.
4.10 INFORMATIE
Data: ‘kale opsommingen’, observaties van de werkelijkheid.
Informatie: gestructureerde gegevens geanalyseerd voor een bepaalde context.
Informatieanalyse :geeft een goed beeld van hoe de organisatie met haar informatie omgaat. Hoe
regelt en beheert ze haar informatiestroom?
Informatica: het verwerken van data tot informatie.
Informatica ontwikkelt nieuwe toepassingen voor de informatietechnologie, is geïnteresseerd
in hoe mensen technologie transformeren en hoe technologie mensen transformeert.
Waarde van data: de waarde van data wordt primair door de gebruiker en de systeemeigenaar
bepaald.
Waarde van informatie: de waarde van informatie wordt bepaalde door de waarde die de ontvanger
eraan toekent.
Informatie als productiefactor
De standaard productiefactoren van een organisatie zijn kapitaal, (hand)arbeid en ruwe materialen. In
de informatietechnologie valt informatie ook onder productiefactoren.
Voorbeeld 1: een magazijn dat zijn klant- en voorraadinformatie verloren heeft, kan in principe
niet verder functioneren.
Voorbeeld 2: voor sommige beroepen, bijvoorbeeld een advocaat of accountant, is informatie
de enige vorm van productie die er gemaakt wordt.
Informatiesystemen
Het transformeren en verwerken van data tot informatie vindt plaats via een informatie infrastructuur.
In brede zin betekent een informatiesysteem: de interactie tussen mensen, processen, data en
technologie. De term wordt niet alleen gebruikt om te refereren naar informatie- en
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
communicatietechnologie die een organisatie gebruikt, maar ook naar de wijze waarop de
medewerkers gebruikmaken van die technologie, om de bedrijfsprocessen uit te voeren.
Voorbeelden informatiesystemen: ‘papieren dossiers’ in kasten, bestanden op harde schijven,
databases, printers en mobiele telefoons.
In de context van informatiebeveiliging is een informatiesysteem de combinatie van betekenis van
data, procedures, regels en de mensen die de data gebruiken.
4.11 INFORMATIEMANAGEMENT
Informatiemanagement is een vakgebied dat zich bezighoudt met het managen van de wijze waarop
organisaties zich in hun informatiebehoefte voorzien. Het combineert:
Informatiewetenschap;
Informatietechnologie;
Databasemanagement;
Archiveren en algemeen management.




De focus ligt op informatie als bron, onafhankelijk van de fysieke vorm waarmee die beschikbaar komt.
Enkele belangrijkste onderwerpen waar de aandacht zich op richt zijn:
Classificatie (rubricering) en encryptie;
Het indexeren van onderwerpen;
Het ontwerpen, bijhouden en gebruiken van thesaurussen en gecontroleerde woordenlijsten;
Catalogiseren en indexeren op naam, plaats en gebeurtenissen;
Databasedesign en datastructuren;
Fysieke opslag van boeken en bestanden in papieren en digitale vorm;
Opslag van foto’s en gedigitaliseerde afbeeldingen;
Informatie-audits op de informatievoorziening en -bronnen van de organisatie;
Documenteren van ‘museumstukken’, zowel voor managementdoeleinden als voor
opleidingsdoeleinden.









Informatiebeveiligingsmanagement legt het fundament voor een beveiligingsprogramma dat zorg moet
dragen voor de beveiliging van de eigendommen van een organisatie.
Doordat veel organisaties werken met netwerkkoppelingen aan het interne netwerk of indirect aan
internet is het noodzakelijk om de risico’s voor de organisatie te onderzoeken en hoer hier mee om te
gaan.
Informatiebeveiliging omvat administratieve, technische en fysieke beveiligingsmaatregelen die
noodzakelijk zijn om de beschikbaarheid, exclusiviteit en integriteit van informatie te beschermen. De
beveiligingsmaatregelen worden uitgevoerd door middel van beleid, procedures en handleidingen en
technische maatregelen.
Distributed Computing (client/server-model)
ICT-componenten bevatten:





Werkstations, die bestaan uit een pc met operating system-software en andere software.
Datatransport via een netwerk, bekabeld of draadloos.
Servers, bestaande uit de server hardware, een operating system en software.
Dataopslag (storage), bijvoorbeeld harddisk, e-mail of databases.
Mobiele telefoons. Deze ontwikkelen zich steeds meer tot kleine computers met grote
hoeveelheden verwisselbare opslagcapaciteit en de mogelijkheid om informatie uit te
wisselen via mobiele netwerken en/of bluetooth-verbindingen.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
De trend die distributed computing heet, heeft de effectiviteit van centraal geregelde
beveiligingsmaatregelen nadelig beïnvloed.
Distributed Computing: computersystemen die verspreid zijn over meerdere locaties, die op afstand
benaderbaar zijn en waarbij iedere computer zijn eigen rol in het zo gecreëerde netwerk heeft.
In grote bedrijfssystemen wordt distributed computing gebruikt om op een zo efficiënt mogelijke
manier met de beschikbare rekenkracht en opslag om te gaan. De gebruiker krijgt op zijn pc een
desktop met applicaties beschikbaar. De getoonde informatie in die applicaties kan uit verschillende
computers op verschillende locaties opgehaald worden, zonder dat de gebruiker daar iets van merkt.
4.12 OPERATIONELE PROCESSEN EN INFORMATIE
Door het management bij elkaar te brengen en samen te laten werken aan de gezamenlijke
bedrijfsdoelstellingen wordt eenheid in de organisatie bereikt. Hierdoor kan een krachtige organisatie
ontstaan die van strategisch tot operationeel management de zelfde doelen nastreeft.
Strategisch management:



Concentreert zich op de prestaties van de gehele organisatie.
o Focus ligt op het realiseren van de organisatiedoelstellingen, uitgaande van haar
interne sterkte en zwakheden, en vanuit externe mogelijkheden en dreigingen.
Strategisch management moet balans bereiken tussen de eisen gesteld uit verschillende
bedrijfsfuncties en activiteiten.
o Het dient zorg te dragen voor de juiste balans tussen risico’s over zowel de korte als
de lange termijn.
Gebaseerd op deze uitgangspunten moeten het strategisch managent de langetermijnvisie
van de organisatie vaststellen en de wijze waarop deze doelstellingen gehaald moeten
worden.
Tactisch management:





Houdt zich bezig met de planning en controle van de individuele organisatiefuncties zoals
Marketing, Productie en Personeelszaken, of subfuncties daarbinnen, met als doel het
verbeteren van de doelstelling op de korte tot middellange termijn.
Businessproces: een verzameling van gerelateerde gestructureerde activiteiten en taken die
specifieke service of specifiek product moet opleveren voor een of meer klanten.
o Begint met -> de wens van een klant.
o Eindigt met -> het uitvoeren van de wens.
Een businessproces kan in verschillende subprocessen worden opgesplitst. Subprocessen
hebben ieder hun eigen attributen, maar staan toch ten dienste van het uiteindelijke hogere
bedrijfsdoel.
De analyse van de businessprocessen moeten uitgevoerd worden door ze te vergelijken met
de processen en subprocessen tot op het laagste activiteitsniveau.
Goed ontworpen werkprocessen leveren een meerwaarde voor de klanten op en minder
kosten voor de organisatie.
Operationeel management:


Houdt zich bezig met de dagelijkse operationele aansturing van de organisatie.
Instrueert de medewerker op de werkvloer, houdt toezicht op de tijd benodigd voor de uit te
voeren werkzaamheden en stelt materialen en gereedschappen beschikbaar die het mogelijk
maken de werkzaamheden uit te voeren.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
4.13 INFORMATIEARCHITECTUUR
Informatiebeveiliging is sterk gerelateerd aan informatiearchitectuur. Wanneer een informatiesysteem
wordt ontworpen, is het noodzakelijk om informatiebeveiliging vanaf het allereerst begin mee te
nemen.
Informatiearchitectuur: het fundamentele ontwerp van een informatiesysteem, zoals dat wordt
toegepast in alle componenten, de onderlinge relaties en de relaties met de omgeving, en de principes
die het ontwerp en de ontwikkeling daarvan omvatten.
De informatiearchitectuur beschrijft de inhoudelijke relaties en samenhang tussen toepassingen en
gegevensverzameling onderling. Hiermee worden de relaties met informatie en communicatie als
bedrijfsmiddelen/productiefactoren van een organisatie inzichtelijk. De informatiearchitectuur is
daarmee onderdeel van de informatievoorziening binnen een organisatie.
4.14 DE EVOLUTIE VAN INFORMATIEARCHITECTUUR
Wurman bedacht de term ‘informatiearchitectuur’ en gaf deze de volgende definitie: het structureren
van de patronen in losse stukjes data, waardoor het complexe terug gebracht wordt tot een simpel
gegeven.
1996: in Information Architecture for the World Wide Web: Designing Large-Scale Web Sites
beschrijven Rosenfeld & Morville informatiearchitectuur als volgt:




De combinatie van organiseren, herkenbaar maken van informatie en het ontwerpen van
navigatiestructuren in een informatiesysteem.
Het structureel ontwerpen van een informatiesysteem, met als doel de toegang tot de
inhoud en het uitvoeren van de handelingen op de website op intuïtieve manier plaats
laten vinden.
De kunst van de techniek die nodig is om websites een zodanige structuur te geven dat
gebruikers informatie makkelijk kunnen vinden en beheren.
Een discipline waarbij een gemeenschap van praktisch ingestelde medewerkers erop
gefocust is ontwerp- en architectuurprincipes samen te brengen in een digitaal landschap.
C1 HOORCOLLEGE
1-2-2021
Informatie en gegevens moeten:



Beschikbaar zijn: het document waar je hard aan hebt gewerkt, moet beschikbaar zijn
wanneer je het nodig hebt.
Integer zijn: de informatie, de gegevens moeten kloppen (=integer). Het moet correct zijn en
intact. Geen fouten bevatten. Bijvoorbeeld je banksaldo of je cijfers in Osiris. Je wilt niet dat
een docent daar (per ongeluk of niet) daar wijzigingen in heeft aangebracht die niet oké zijn.
Vertrouwelijk zijn: alleen jij zou toegang moeten hebben tot je whatsappberichten (en de
geadresseerde).
Digitalisering speelt belangrijke rol
Hoeveelheid te beschermen gegevens neemt toe:
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen



Steeds meer processen/ producten gedigitaliseerd
Toegenomen verbondenheid door internet/ smartphones
Nieuwe risico’s en grotere impact bij bestaande risico’s
Informatieveiligheid: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van
informatie.

Informatie is ouder dan ICT.
o Voorbeeld: geheimschrift in tijden van de Romeinen.
o Voorbeeld: het kwijtraken van belangrijke documenten in de trein.
Gegevens (data) vs informatie


Gegevens: ‘kale opsommingen’, observaties van de werkelijkheid.
Informatie: gestructureerde gegevens geanalyseerd voor een bepaalde context.
Cybersecurity: het geheel aan maatregelen om schade door verstoring, uitval of misbruik van ICT te
voorkomen en, indien er toch schade is ontstaan, het herstellen hiervan.


Cybersecurity = digitale gegevens
Informatieveiligheid = digitale gegevens + analoge gegevens
Cybercrime: alle strafbare gedragingen waarbij ICT-systemen van wezenlijk belang zijn in de
uitvoering van een delict.


Cybercrime = “sociale veiligheid” -> misbruik van gegevens om delicten te plegen.
Informatieveiligheid = “sociale veiligheid” + “fysieke veiligheid” -> hoe voorkom je dat
gegevens in de eerste plaats niet in de handen komen van criminelen? En gaat ook over het
onopzettelijk handelen/fouten maken met gegevens.
Privacy: gaat om het onbespied door de overheid en anderen je leven en je identiteit te kunnen
ontwikkelen.
Persoonsgegevens: informatie die een individueel persoon kunnen identificeren, informationele
privacy).


Privacybescherming = beschermen van persoonsgegevens
Informatieveiligheid = beschermen van alle gegevens
Voorbeeld uit de actualiteit
‘Illegale handel in privégegevens miljoenen Nederlanders uit coronasystemen GGD’
Een datalek als gevolg van opzettelijk handelen zonder dat hier sprake is van een hele technische
casus; er was gewoon niet goed nagedacht over het afschermen van gegevens, en wie waar toegang
moet hebben.




Gevoelige informatie/ zeer kwetsbaar = Burgerservicenummer
Medische gegevens = ‘bijzondere persoonsgegevens’
Datalek/diefstal door medewerkers
Mogelijke gevolgen:
o Stalking, bedreiging (adresgegevens van BN’ers of van je ex)
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen


o Identiteitsfraude (BSN auto’s kopen, leningen afsluiten)
o Doelgerichte phishing (‘hengelen’)
Onvoldoende maatregelen: medewerkersscreening, VOG, niet opvolgen meldingen
Adequate maatregelen, loggen, toegangscontrole, scheiding, cultuur.
Welke maatregelen waren genomen?



Medewerkersscreening (niet zo best, korte sollicitatiegesprekken)
VOG
Misstanden waren gemeld, maar niemand deed er wat mee (veiligheidscultuur).
Wat zou je kunnen doen?




Loggen: bijhouden wie welke data opvraagt (en waarom)
Betere toegangscontrole/autorisatie
Beter scheiden: Rode Kruis en ANWB geen toegang nodig?
Beter met misstanden omgaan
Voorbeeld: ‘informatie is niet integer’
Informatie is niet beschikbaar; informatie is niet integer; informatie is niet vertrouwelijk
Criminelen doen ook risicomanagement -> welke organisatie kan het zich niet permitteren om stil
te liggen -> welke organisatie is kwetsbaar -> dan gaan we die aanvallen en kunnen we (met de
gevolgen voor de organisatie in het achterhoofd) dit bedrag aan losgeld eisen.
“Cel voor aanpassen temperatuur koelsysteem Plus-markt”


Sprake van boze (ex)werknemer die wraak neemt.
Gegevens worden onbevoegd gewijzigd.
Voorbeeld: ‘informatie is niet beschikbaar, integer’
“Door een brand, het werk van vandalen, is een groot deel van mijn boekhouding verloren gegaan.”

Analoog voorbeeld -> brand is aangestoken (kan in een andere situatie een ongeluk zijn).
Informatieveiligheid, waarom belangrijk?



Voor jou als individu
o Slachtoffer cybercriminaliteit
o Identiteitsfraude
Voor alle organisaties
o MKB, multinationals
o Van autodealer om de hoek tot ASML
Voor ons als samenleving
o Steeds grotere afhankelijkheid van data en de systemen waar ze zijn opgeslagen
o Gegevens onmisbaar voor vitale infrastructuren
o Toenemend gebruik van big data en algoritmen
Informatieveiligheid dus
Informatieveiligheid is het treffen van een optimaal samenhangend pakket van maatregelen op
procesmatig, organisatorisch en technisch gebied, dat er op is gericht de vertrouwelijkheid,
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
integriteit en beschikbaarheid van informatie, en hierdoor de continuïteit van de bedrijfsvoering
te waarborgen.
Optimaal samenhangend pakket


Zorgvuldige gebalanceerde risico-inventarisatie, analyse, evaluatie & beheersing.
Teveel maatregelen = niet goed (want dat gaat ten koste van gebruiksgemak,
toegankelijkheid, geld) maar te weinig maatregelen is ook niet goed (dan ben je de sjaak)
Procesmatig, organisatorisch en technisch gebied



Gedrag
o Mens is zwakste schakel
Organisatie
o Wetgeving, procedures, afspraken
Techniek
o Firewalls, antivirus, cryptografie, etc.
Introductie ISO 27001



Managementsystemen bedrijven de werking van een organisatie: heel algemeen, of op
specifieke aspecten, zoals informatieveiligheid.
ISO 27001: eisen -> kun je een certificaat voor halen
ISO 27002: richtlijnen (best practices -> hoe kan ik dat certificaat halen)
Risicobeheersingsproces


Belangrijk: gebalanceerde aanpak van de risico’s
Hierbij houdt je rekening met het type organisatie (wat voor organisatie ben ik, en welke
bedreigingen spelen er in mijn geval.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
C5
C2 LITERATUUR
H5 INFORMATIEBEVEILIGINGSBELEID
5.1 LEIDERSCHAP EN BETROKKENHEID
De directie geeft door middel van het informatiebeveiligingsbeleid ondersteuning en denkrichting aan
hoe om te gaan met informatiebeveiliging. Bij dit beleid zijn de bedrijfsprocessen leidend, maar moet
ook aansluiten op de wet- en regelgeving.
Het informatiebeveiligingsbeleid dient goedgekeurd te worden door het hoogste bestuur van een
organisatie (Management Team, Raad van Bestuur). Het beleid wordt gepubliceerd zodat alle
medewerkers en alle relevante partijen zoals klanten en leveranciers er kennis van kunnen nemen.
Praktijk: meestal wordt er een verkorte versie van het beleid gedistribueerd waarin de meest
belangrijke bepalingen zijn opgenomen. Het volledige document wordt via bijvoorbeeld intranet
beschikbaar gesteld. Alleen het beschikbaar stellen is niet voldoende. Je mag er niet vanuit gaan
dat alle medewerkers het dan lezen. Er zal een bewustwordingscampagne en goede
communicatie met de medewerkers nodig zijn om bekendheid aan het beleid te geven en om het
belang van de naleving ervan extra onder de aandacht te brengen.
Hiërarchie
Een beleidsdocument bevat altijd een hiërarchische opbouw. De meeste beveiligingsbeleidsdocumenten worden ontwikkeld met het algemene beveiligingsbeleid als basis. Deze
documenten moeten altijd voldoen aan het algemene beveiligingsbeleid van de organisatie en kunnen
dan op nadere onderdelen eisen stellen of maatregelen beschrijven. Zo kunnen er regels gesteld
worden aan een specifiek onderdeel van de organisatie of aan IT-systemen.
Voorbeeld: voorwaarden die gesteld worden aan het gebruik van internet en e-mail, of aan de
voorwaarden waaraan een organisatie moet voldoen om een netwerkverbinding met het
netwerk van een andere organisatie te mogen maken.
De volgende documenten kunnen worden geschreven met het beveiligingsbeleid als basis:


Regelingen. Een regeling is gedetailleerder dan een beleidsdocument. Regelingen over
het algemeen dwingend van aard en niet opvolgen ervan kan tot sancties leiden.
Procedures beschrijven in detail hoe beveiligingsmaatregelen moeten worden genomen
en bevatten soms ook werkinstructies.
o Bijvoorbeeld: clear desk policy -> hierin legt iemand de verplichting vast om alles
Gedownload
door: sjo14 | stanleyording@outlook.com
wat vertrouwelijk
is, bij afwezigheid
van het bureau af te halen en goed op te
Dit
document
is
auteursrechtelijk
beschermd,
het
verspreiden
van ditafsluitbare
document iskasten
strafbaar.
bergen. Na werktijd moet dit soort informatie
in goed
Stuvia - Koop en Verkoop de Beste Samenvattingen
Voorbeeld van een standaard is de NEN-ISO/IEC 27001:2013. Dit is eens standaard over de wijze
waarop we informatiebeveiliging in een organisatie vorm kunnen geven.
Deel I: de NEN-ISO/IEC 27001, beschrijft het managementsysteem (ISMS).
Deel II: de NEN-ISO/IEC 27002:2013, werkt dit managementsysteem uit met praktische
handleidingen.
Een organisatie kan zich laten certificeren voor de NEN-ISO/IEC 27001:2013 en daarmee
aantonen dat ze voldoet aan de kwaliteitscriteria voor informatiebeveiliging. Deze norm is
bruikbaar voor alle organisaties, groot & klein, profit of non-profit.
Evaluatie van het informatiebeveiligingsbeleid
ISO/IEC 27001:2013 zegt dat het beleid op een reguliere basis moet worden gecontroleerd op
actualiteit. In vorige versie was de PDCA-cyclus methode verplicht, dit is echter afgeschaft uit
praktische redenen. Veel organisaties hebben een eigen kwaliteitsmanagementsysteem die ze
hanteren en het is daarom beter om het informatiebeveiligingsbeleid binnen de eigen methode te
borgen.



Een eis blijft wel dat de controle niet alleen op de standaard intervalbasis plaatsvindt maar ook
na belangrijke wijzigingen binnen de organisatie of de IT-omgeving.
Ieder beleidsdocument dient een aangewezen eigenaar te hebben die door het management
is aangewezen en verantwoordelijk is voor de ontwikkeling, evaluatie en het up-to-date
houden van het beleid.
De evaluatie moet rekening houden met het verbeteren van het beleid naar aanleiding van
wijzigen in de organisatie, veranderende organisatiedoelstelling, wet- en regelgeving en
technische wijzigingen.
Het management zal wijzigingen in het beleid altijd moeten goedkeuren voordat deze van kracht
worden.
H6 ORGANISATIE VAN INFORMATIEBEVEILIGING
Organisatorische beveiligingsmaatregelen zijn vaak verbonden met technische maatregelen.
6.1 INFORMATIEBEVEILIGING: ROLLEN EN VERANTWOORDELIJKHEDEN
Het is noodzakelijk om over gedocumenteerd systeem te beschikken waarbij bedrijfsmiddelen en
informatiebeveiligingsprocessen worden geïdentificeerd en beschreven zijn.


Elk bedrijfsmiddel of informatieproces moet toegewezen zijn aan een verantwoordelijke. Deze
persoon moet in staat zijn om de bijbehorende opdracht uit te voeren en ze moeten voldoende
mandaat hebben.
Verder moet het toezicht op de informatiebeveiligingsaspecten en de relaties met leveranciers
worden geïdentificeerd en gedocumenteerd.
De informatiebeveiliger mag niet de algehele verantwoordelijkheid hebben, maar heeft een
adviserende rol op het gebied van het algemene informatiebeveiligingsproces binnen de organisatie.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Afhankelijk van de grootte van de organisatie, kunnen diverse rollen of functies voor de verschillende
taken in de informatiebeveiliging aanwezig zijn. Deze rollen kunnen variëren wat betreft de titel die aan
ze wordt gegeven, maar komen min of meer op het volgende neer:



Chief Information Security Officer (CISO): bevindt zich op het hoogste managementniveau
van de organisatie en ontwikkelt de algemene veiligheidsstrategie voor de gehele organisatie.
Information Security Officer (ISO): ontwikkelt het informatiebeveiligingsbeleid van een
business unit op basis van het organisatiebeleid en zorgt ervoor dat dit beleid wordt
nageleefd.
Information Security Manager (ISM): ontwikkelt het informatiebeveiligingsbeleid binnen de
IT-organisatie en zorgt ervoor dat dit beleid wordt nageleefd.
Een organisatie kan een Information Security Policy Officer of een Data Protection Officer
(functionarisgegevensbescherming) hebben.
Functiescheiding
Taken en verantwoordelijkheden moeten worden gescheiden om de kans op onbevoegde of
onbedoelde veranderingen of het misbruik van de bedrijfsmiddelen van de organisatie te vermijden.
Bij functiescheiding wordt een beoordeling uitgevoerd over de vraag of een persoon besluitvormende,
uitvoerende of controlerende taken heeft. Er wordt ook bepaald of de persoon toegang tot informatie
nodig heeft.
Need-to-know-principe: onnodige toegang vergroot de kans dat informatie opzettelijk gebruikt,
veranderd of vernietigd kan worden.
Voorbeeld: overdacht van grote hoeveelheden geld. Een personeelslid bereidt de transactie
voor en ander machtigt de invoer, en weer een ander controleert of de transactie juist en
rechtmatig is uitgevoerd.
Contact met de autoriteiten
Contacten moeten onderhouden worden met de lokale wetshandhavingsinstanties, hulpverleners en
serviceproviders. Organisaties moeten over procedures beschikken die aangeven wie en wanneer
autoriteiten gaan benaderen in het geval dat er wetten overtreden zijn.
Met betrekking tot de continuïteit van de business is het belangrijk om ook contact te hebben met
andere instanties, zoals hulpdiensten, nutsbedrijven en de brandweer. Verder is contact met
telecommunicatiebedrijven en internetproviders ook een verstandige optie i.v.m. internet- en telefoniegerelateerde problemen.
Contact met belangenorganisaties
Van belang is ook om lidmaatschappen te onderhouden met speciale belangengroepen. Je hebt
daarmee toegang tot kennis en gespecialiseerde instanties die je van advies kunnen voorzien over
bijvoorbeeld beveiligingszaken.
Informatiebeveiliging en projectmanagement
Informatiebeveiliging dient een integraal onderdeel te zijn van elk project binnen de organisatie en
moet worden opgenomen in het projectinitiatiedocument en in alle volgende fasen van het project.
6.2 MOBIELE APPARATEN EN TELENETWERKEN
Het gebruik van mobiele apparatuur neemt toe en heeft groeiende mogelijkheden met betrekking tot
gebruik. Dit brengt ook vele gevolgen met zich mee en daarom is het belangrijk om een
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
veiligheidsbeleid op te stellen. Deze moet technieken bevatten zoals toegangscontrole, beperking van
de installatie van de software, encryptie en back-ups.
Telewerken
Het doel van telenetwerkenbeleid is om ervoor te zorgen dat de voordelen van de telewerken
gehandhaafd blijven zonder onnodig risico voor de informatiemiddelen van de organisatie.
Veel van de bestaande veiligheidsmaatregelen die onzichtbaar zijn ingebouwd in een
kantooromgeving zijn waarschijnlijk niet aanwezig in een locatie voor telewerken, dus moeten ze
worden vervangen door passend beleid en procedures.
Voorbeeld: de behoefte aan formeel telewerkbeleid kan hoger zijn als een werknemer bij
telewerken vanuit huis werkt omdat de verleiding naar informeel gedrag groter is dan het
handhaven van een professionele werkhouding.
De volgende vier punten moeten worden overwogen bij het ontwikkelen van een telewerkbeleid:
1. Autorisatie;
2. Voorzieningen voor apparatuur;
3. Beveiliging van informatie tijdens het telewerken;
4. Het gebruik van telewerkapparatuur.
H7 PERSONEEL EN INFORMATIEBEVEILIGING
Personeel kunnen we beschouwen als kostbare bedrijfsmiddelen vanwege de kennis en vaardigheden
van deze mensen. Al het personeel is verantwoordelijk voor informatiebeveiliging. Deze
verantwoordelijkheid moet duidelijk worden gemaakt in de arbeidsovereenkomst. Het
personeelshandboek moet een gedragscode en de sancties op het niet naleven van deze
gedragsregels en het veroorzaken van incidenten.
De organisatie moet sluitende procedures hebben voor wanneer personeel in dienst en uit dienst
treedt en wanneer iemand van functie verandert. Toegangsrechten moeten regelmatig worden
gecontroleerd.
7.1 VOORAFGAAND AAN HET DIENSTVERBAND
Screening en non-disclosure agreement (NDA)
Voor zogenoemde vertrouwensfuncties kan geheimhouding ook gelden na het dienstverband, alle
medewerkers met een vertrouwensfunctie moeten een geheimhoudingsverklaring (NDA) tekenen. De
manager is verantwoordelijk voor het vaststellen van speciale regels voor specifieke functies.
Ook kan het nodig zijn om een screening of veiligheidsonderzoek te doen. Hoe diep de screening
gedaan kan worden is afhankelijk van het niveau van vertrouwelijkheid die hoort bij de functie.
Screenen is erg kostbaar. De overheid heeft hier eigen organisaties voor. Het bedrijfsleven kan soms
gebruikmaken van zo’n organisatie als het opdrachten uitvoert voor de overheid. Er bestaan private
organisaties die screeningen uitvoeren.
Ingehuurd personeel
De veiligheidseisen die gelden voor het personeel gelden ook voor het personeel dat is ingehuurd.
Deze afspraken met de leverancier, bijvoorbeeld een uitzendbureau, worden schriftelijk vastgelegd,
inclusief de sancties bij overtredingen.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
7.2 TIJDENS HET DIENSTVERBAND
Managementverantwoordelijkheden en bewustwording
Het management moet ervoor zorgen dat al het personeel op de hoogte is van het beleid dat de
organisatie voert ten aanzien van informatiebeveiliging, en welke richtlijnen en regels gelden voordat
medewerkers toegang krijgen tot informatie. Personeel moet een passend bewustzijn bereiken op
basis van hun rol en functie.
Bewustwordingscursus
Een van de meest effectieve maatregelen voor informatiebeveiliging is om de medewerkers een
bewustwordingscursus te laten volgen op het moment dat ze in dienst treden. Deze cursus kan
deel uit maken van de introductie en de interne opleiding. Besteed in de cursus of campagne met
name aandacht aan de bedrijfsregels rondom informatiebeveiliging en de dreigingen die worden
gezien.
Beveiligingsdocumentatie en -informatie dienen voor iedereen in de organisatie beschikbaar te zijn.
Vaak wordt verschillende documentatie gemaakt voor verschillende doelgroepen (gebruikers,
beheerders, ontwikkelaars et cetera.). Documentatie dient periodiek te worden herzien; bij wijzigingen,
maar ook als er nieuwe dreigingen zijn.
Personeel moet zich bewust zijn van het feit dat bedrijfsinformatie niet zomaar publiekelijk beschikbaar
mag zijn. Informatie kan gemakkelijk gedeeld worden in een ontspannen atmosfeer, wat ertoe kan
leiden dat informatie in verkeerde handen valt. Social engineering maakt gebruik van mensen door ze
informatie te ontfutselen, bijvoorbeeld een wachtwoord, de naam van een medewerker of
bedrijfsgeheimen. De social engineer maakt gebruik van zwakheden in de mens om zijn doel te
bereiken. Vaak zijn we ons hier niet van bewust en we weten dan ook niet dat er een social engineer
actief is.
7.3 BEËNDIGING EN VERANDERING VAN DE FUNCTIE
Bij een ontslag van een medewerker dienen zijn/haar rechten ingetrokken te worden. Bij een
verandering van functie worden in eerste instantie de rechten ook ingetrokken, maar direct daarop
worden nieuwe rechten verleend, die passen bij de nieuwe functie van de medewerker. In beide
gevallen wordt de medewerker er op gewezen dat kennis opgedaan in de oude functie onder de
vertrouwelijkheidseisen van die functie blijven vallen.
H8 ASSET MANAGEMENT
8.1 VERANTWOORDELIJKHEID VOOR BEDRIJFSEIGENDOMMEN
Bedrijfseigendommen zijn belangrijk voor een organisatie. Ze kosten veel geld en hebben een
bepaalde waarde. Bedrijfseigendommen bevatten:





Informatie in de vorm van documenten, databases, contracten, systemdocumentatie,
procedures, handleidingen, systeem logbestanden, plannen, handboeken.
Computerprogramma’s zoals besturingssystemen, gebruikerssoftware en ontwerpsoftware.
Hardware zoals servers, pc’s, tablets, smartphones, netwerkcomponenten en bekabeling.
Opslagmedia zoals cd-roms, harde schijven, USB-sticks enz.
Gebouwen, fabrieken, werkplaatsen en de daarin aanwezige apparatuur.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen


Mensen en de kennis die mensen van het bedrijfsproces hebben.
Niet-tastbare zaken zoals het imago van het bedrijf.
Aan ieder bedrijfseigendom dient een eigenaar toegewezen te worden, en die eigenaar wordt in een
centrale database vastgelegd.
Een goede en complete registratie van alle bedrijfseigendommen is belangrijk om een risicoanalyse uit
te kunnen voeren. Daarnaast is deze registratie ook belangrijk voor de verzekering, de financiële
waardebepaling van de organisatie en wettelijke eisen. Het is verstandig tweemaal per jaar te
controleren of de database met bedrijfseigendommen nog actueel is en dit te rapporteren aan het
management.
De vast te leggen informatie omvat:





Het type bedrijfseigendom;
Eigenaar;
Locatie;
Classificatie;
Huidige waarde;




Initiële aanschafkosten;
Leeftijd;
Verwachte vervangingsdatum;
Verwachte vervangingskosten.
Deze informatie is tevens belangrijk bij een eventueel herstel na een groot incident zoals een brand,
waarbij alle eigendommen vervangen moeten worden door nieuwe.
De eigenaar die verantwoordelijk is voor de bedrijfsprocessen, subprocessen en andere
bedrijfsactiviteiten, draagt zorg voor alle aspecten met betrekking tot de bedrijfseigendommen. Dit
houdt onder meer in dat hij de verantwoordelijkheid draagt voor informatie- en fysieke beveiliging,
productie en ontwikkeling.
8.2 MANAGEN VAN BEDRIJFSEIGENDOMMEN
De organisatie moet risicobeoordelingen ten aanzien van informatiebeveiliging met geplande
tussenpozen uitvoeren, of, als significante veranderingen worden voorgesteld of zich voordoen,
rekening houden met de criteria die zijn vastgesteld tijdens de risicoanalyse van de ISO/IEC
27001:2013.
De organisatie moet gedocumenteerde informatie van de resultaten van de risicobeoordelingen van
informatiebeveiliging bewaren. De management control op de ICT beheersprocessen en de wijze
waarop deze beveiligd zijn, kan op verschillende manieren worden uitgevoerd. Er zijn diverse
frameworks en standaards beschikbaar die helpen bij het uitoefenen van deze controle, bijvoorbeeld
COBIT, ISO/IEC 20000 en ITIL.
De basiselementen (die kunnen helpen bij de controle op de beheersprocessen) bij elk van de
hierboven genoemde methoden:



Afspraken over hoe om te gaan met bedrijfsmiddelen;
Afspraken (processen) over hoe veranderingen tot stand komen;
Afspraken over wie veranderingen kan initiëren en uitvoeren, en hoe deze veranderingen
zullen worden getest.
Valkuil bij vaststellen methoden: methoden worden vaak bureaucratisch geïnterpreteerd. De afspraken
worden dan verheven tot een doel op zich, i.p.v. zich te concentreren op het echte doel, namelijk het
verbeteren/continueren van de informatiebeveiliging.
COBIT: Control Objectives for Information and related Technology -> is een methode om een ITomgeving op een gestructureerde manier op te zetten en te beoordelen.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
ITIL: Information Technology Infrastructure Library -> is ontwikkeld als referentiekader voor het
opzetten van managementprocessen binnen een IT-organisatie.
8.3 AFSPRAKEN OVER DE OMGANG MET BEDRIJFSMIDDELEN
Het doel van het documenteren hoe we moeten omgaan met bedrijfsmiddelen is om fouten te
voorkomen die kunnen ontstaan door verkeerd gebruik. Onjuist gebruik kan leiden tot onnodige
schade.
Voorbeeld: het is niet toegestaan om papier dat metalen voorwerpen bevat (papierclips,
nietjes) in een papierversnipperaar te doen. Hierdoor kan onnodige schade ontstaan aan de
papierversnipperaar en dat brengt kosten met zich mee. Kosten hebben uiteindelijk invloed op
de economische waarde van het bedrijf.
Hoe complexer de omgeving, des te belangrijker wordt het om duidelijke instructies en aanwijzingen te
geven voor het onderhoud en beheer van de bedrijfseigendommen.
8.4 HET GEBRUIK VAN BEDRIJFSMIDDELEN
Het gebruik van bedrijfsmiddelen is onderworpen aan bepaalde regels. Deze regels kunnen in een
handleiding worden opgenomen en kunnen, bijvoorbeeld, instructies bevatten over hoe je zowel
binnen als buiten de organisatie mobiele apparatuur mag gebruiken. De uitvoering van een dergelijke
regeling valt binnen de werkingssfeer van organisatorische maatregelen.
8.5 INFORMATIECLASSIFICATIE
Classificeren: het indelen van informatie naar gevoeligheid.
Rubricering: de classificatie die aan informatie wordt toegekend, zoals geheim, confidentieel en
personeelsvertrouwelijk. Rubricering geeft aan welke vorm van beveiligen noodzakelijk is.
Binnen de overheid worden rubriceringen gebruikt die te vinden zijn in het document VIR-BI
(Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie). Deze
rubriceringen zijn: Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim
Geheim, Staatsgeheim Zeer Geheim.
We kunnen er voor kiezen om alle niet-geclassificeerde informatie niet te voorzien van een
rubricering. Deze informatie is openbaar.
Merking: een indeling naar onderwerp of een indeling naar een groep personen met bepaalde
bevoegdheden (kring van gerechtigden).
Eigenaar: degene die verantwoordelijk is voor een bedrijfsmiddel.
De eigenaar stelt vast wie toegang heeft tot welke gekenmerkte bedrijfsmiddelen. De
rubricering van een bedrijfsmiddel bepaalt ook hoe deze fysiek opgeslagen mag worden.
Hiervoor worden bedrijfspanden soms in compartimenten ingedeeld, met per compartiment
verschillende beveiligingseisen en toenemende beveiliging.
8.6 OMGANG MET MEDIA
Media verwijst naar iets waarop gegevens kunnen worden opgenomen: papier, cd’s, dvd’s, USBsticks, harde schijven, back-up tapes, tablets, mobiele telefoons etc.
Het doel van het hebben van richtlijnen voor het omgaan met media is om te voorkomen dat
waardevolle informatie niet in verkeerde handen valt en ook om de volgende gevolgen te voorkomen:
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
onbevoegde openbaarmaking, wijziging, vernietiging of vernietiging van activa of een onderbreking
van de bedrijfsactiviteiten.
De wijze waarop het medium moeten worden behandeld is vaak gekoppeld aan de classificatie van de
informatie die erop aanwezig is. Deze wijze wordt dan ook vaak in een procedure vastgelegd. Als de
bewaartermijn is verstreken, worden bestanden met gevoelige informatie vaak vernietigd door een
gecertificeerd bedrijf.
8.7 BYOD
BYOD: Bring Your Own Device
Voor een organisatie die werkt met BYOD, om goed na te denken over de consequenties die dit voor
de bedrijfsinformatie met zich mee brengt en om een duidelijk beleid op te stellen voer wat wel en niet
toegestaan is met bedrijfsinformatie op een privé mediadrager.
8.8 IN DE PRAKTIJK
Een aantal belangrijke punten:
Media en data moeten op een veilige manier worden verwijderd als het niet langer nodig is.
Systeemdocumentatie en handleidingen moeten op een veilige plaats worden bewaard en
regelmatig worden bijgewerkt.
Het transport van media, dat natuurlijk goed is verpakt, moet geburen door een erkende
koerier die zorg kan dragen voor de juiste fysieke condities wat betreft luchtvochtigheid,
temperatuur en bescherming tegen elektromagnetische straling.



H9 TOEGANGSCONTROLE
9.1 EISEN VANUIT DE BEDRIJFSVOERING VOOR TOEGANGSCONTROLE
Het beleid voor toegangscontrole moet opgesteld, gedocumenteerd en beoordeeld worden op basis
van eisen uit de bedrijfsvoering en informatiebeveiliging. Dit betekend dat logische toegangscontrole
ook gericht is op het voorkomen dat ongeautoriseerde personen logisch toegang krijgen tot zaken die
van waarde zijn voor de organisatie.
Binnen organisaties met een strik compliance-beleid, worden autorisaties doorgaans toegewezen door
de manager die ook verantwoordelijk is voor het desbetreffende bedrijfsmiddel. Het is ook mogelijk dat
in bepaalde gevallen individuele gebruikers toegang kunnen verlenen tot bedrijfsmiddelen zoals
informatie en toepassingen van andere gebruikers.
Een autorisatie omvat een set van permissies.
Deze kan zeer eenvoudig zijn, bijvoorbeeld het recht om een bepaald bestand te lezen of een
veld in een database te wijzigen.
Deze kan zeer complex zijn, bijvoorbeeld de permissies die nodig zijn om betalingen via de
bank te maken aan leveranciers gebaseerd op facturen.
o Permissie 1: het recht om facturen van leveranciers in te zien.
o Permissie 2: het recht om betalingen uit te voeren op basis van die facturen.


Voorbeelden van toegangstypen waar rekening mee gehouden moet worden bij het definiëren
van toegangscontroles:




Toegang tot netwerken en netwerkdiensten;
Toegang tot bedrijfsapplicaties;
Toegang tot IT-middelen;
Toegang tot informatie.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
9.2 BEHEER VAN GEBRUIKERSTOEGANG
Beheer van gebruikerstoegang omvat die activiteiten die nodig zijn om te voorkomen dat
bedrijfsmiddelen toegankelijk zijn voor ongeautoriseerde gebruikers om zeker te stellen dat deze
toegankelijk zijn voor geautoriseerde gebruikers. Om dit te bereiken, is het nodig om de volgende
activiteiten uit te voeren:





Registreren en verwijderen van gebruikers;
Toekennen van toegang aan gebruikers;
Beheer van toegangsrechten met extra privileges;
Beheer van vertrouwelijke authenticatie informatie van gebruikers;
Verwijderen of aanpassen van toegangsrechten.
Het toekennen van toegang aan geautoriseerde gebruikers omvat een aantal stappen, waaronder het
identificeren van een gebruiker, het authentiseren van deze gebruiker en het toekennen van
gebruikerstoegang tot bedrijfsmiddelen.
1. Identificatie: een persoon biedt een token aan, bijv. een rekeningnummer of gebruikersnaam.
2. Authenticatie: controle of gebruikersnaam bestaat. Indien deze bestaat wordt gevraagd om
een wachtwoord. Het systeem controleert of het wachtwoord is geregistreerd bij de
opgegeven gebruikersnaam.
Wanneer beide controles een positief resultaat opleveren is een gebruiker geauthentiseerd.
9.3 VERANTWOORDELIJKHEDEN VAN GEBRUIKERS
Om toegangscontrole te laten werken is het belangrijk dat gebruikers weten welke
verantwoordelijkheden zij hebben voor het veilig houden van informatie en middelen. Om dit te
bereiken dienen gebruikers op verantwoorde wijze om te gaan met hun authenticatiemiddelen ->
betekend bijv. dat van gebruikers geëist wordt dat zij hun wachtwoord niet delen met anderen.
In sommige organisaties wordt gebruikgemaakt van fysieke tokens die gebruikt worden om van buiten
in te loggen op het bedrijfsnetwerk. Het wordt op deze manier mogelijk gemaakt dat op een
gecontroleerde manier buiten het bedrijfspand toegang te krijgen tot bedrijfsapplicaties en informatie.
Gebruikers moeten zich dan bewust zijn, dat zij geacht worden zorg te dragen voor zo’n token zodat
deze niet verloren wordt. Bij verlies of diefstal van zo’n token moet de gebruiker dit melden aan de
verantwoordelijke voor de beveiliging van de organisatie.
9.4 TOEGANG TOT SYSTEMEN EN TOEPASSINGEN
Bij het opzetten van een toegangscontrole systeem dient rekening gehouden te worden met wie
toegang tot informatie of systemen nodig heeft. Het beperken van toegang heeft altijd een afweging
(beide leiden tot ongewenste effecten):


Te strikte beperkingen op de toegang, leidt tot hinder voor gebruikers in het uitvoeren van hun
werkzaamheden.
Te losse beperkingen betekent dat de kans dat ongeautoriseerde personen toegang krijgen
tot systemen en informatie die zij niet nodig hebben voor het uitvoeren van hun taken.
Het doel van veilige aanmeldprocedures is om gebruikers in te laten loggen zonder dat er voor een
aanvaller bruikbare informatie toegankelijk is.
Voorbeeld 1: het niet standaard tonen van de gebruikersnaam.
Voorbeeld 2: bij een verkeerde invoer niet expliciet melden of de gebruikersnaam of het
wachtwoord fout was, maar alleen dat het aanmelden mislukt is.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Om de gebruikers te helpen verdachte omstandigheden, zoals misbruik van hun account te detecteren
kan een bericht getoond worden bij succesvol inloggen wat de laatste keer was dat er ingelogd is. Ook
kan getoond worden wanner er pogingen gedaan zijn om in te loggen maar die niet succesvol waren.
Om wachtwoorden geheim te houden kan gebruikgemaakt worden van wachtwoordmanagementsystemen. Een goed wachtwoordmanagementsysteem helpt een gebruiker bij echt
geheim houden van zijn of haar wachtwoorden.
Om toegangscontrolesystemen veilig te houden is het beperken van het gebruik van hulpmiddelen
met extra of bijzonder privileges, zoals wachtwoordtesters en hulpmiddelen die allen door beheerders
van het systeem gebruikt hoeven te worden om het systeem in bedrijf te houden.
Om toepassingen en het systeem te behoeden voor ongeautoriseerde en ongewenste veranderingen
is het ook aan te raden om strikte toegangscontrole uit te oefenen op broncode en daaraan
gerelateerde informatie, zoals high-level ontwerpen, systeemeisen, specificaties en testplannen. Een
andere reden is het beschermen van intellectueel eigendom die ingezet is om de toepassing te
ontwikkelen.
Vormen van logische toegangscontrole
Er zijn verschillende manieren waarop de toegangscontrole in een geautomatiseerd systeem
geïmplementeerd kan worden. Het is de verantwoordelijkheid van de eigenaar van het informatiesysteem om te bepalen hoe toegang wordt verleend tot het informatiesysteem. Wanneer het type
toegangscontrole is bepaald, wordt deze geïmplementeerd door de systeemontwerper of
systeembeheerder.
Discretionary Access Control (DAC)
De eigenaren en gebruikers van een bedrijfsmiddel kunnen bepalen welke toegang is toegestaan
onafhankelijk van het beleid of richtlijnen, naar hun eigen inzicht dus.
Voorbeeld 1: toegang geven aan anderen tot de eigen home directory op een server.
Voorbeeld 2: het verzenden van informatie aan personen die zelf geen directe toegang
hebben tot die informatie.
Voordeel van DAC is dat het vanuit een gebruikersperspectief zeer flexibel is.
Nadeel van DAC is dat deze vorm van toegangscontrole is niet bruikbaar in omgevingen waar de
compliance-eisen zeer strikt zijn. Dit is helemaal het geval wanneer diegene die toegang verleent niet
de eigenaar van het bedrijfsmiddel is.
Om te voldoen aan de compliance-eisen moet een organisatie in staat zijn om aantoonbaar te maken
dat informatie conform een beleid wordt verwerkt. Dit zou zorg moeten zijn van een eigenaar van een
bedrijfsmiddel omdat daarmee zeker is dat een geautomatiseerd systeem werkt volgens dit beleid. Om
ervoor te zorgen dat alle besluiten in lijn zijn met het organisatiebeleid, moeten alle gebruikers in staat
zijn om deze besluiten te toetsen aan het beleid en dit beleid vervolgens goed uitvoeren.
Mandatory Access Control (MAC)
Permissies worden afgeleid van een policy. Eigenaren en gebruikers kunnen alleen toegang aan
anderen toekennen voor zover dat past binnen de grenzen van de statements in de policy. Dit type
policy wordt normaal centraal beheerd. Een MAC policy bevat beschrijvingen van subjecten, zoals
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
personen, systemen of applicaties en objecten zoals informatie samen met andere applicaties of
systemen.
Bij het toepassen van de MAC kan ook gebruik gemaakt worden van attributen zoals ‘screening
niveau van de medewerker’ of ‘de aanroepende service’ (subject) en ‘classificatie van de informatie in
het informatiesysteem’ (object). In een MAC-gebaseerd systeem wordt toegang verleend of geweigerd
op basis van het vergelijken van attributen die aan een object zijn toegekend.
Een gebruiker waarvan de screening niet hoog genoeg is voor de classificatie die aan de
informatie is toegekend, wordt de toegang tot die informatie geweigerd.
In een MAC-gebaseerd systeem zijn individuele gebruikers niet in staat om security policies te
omzeilen, wat in een DAC-gebaseerd systeem wel kan. Normaliter worden de MAC policies voor een
MAC-systeem beheerd door een systeembeheerder.
Voorbeeld binnen een bedrijfsomgeving: de toegang tot een server waar gebruikers hun
bestanden opslaan. De directories (object) waar een gebruiker (subject) toegang toe kan
krijgen wordt centraal bepaald.
Een MAC policy kan dan zijn dat een subject alleen toegang krijgt tot die projectdirectories als de
gebruiker ook projectmedewerker is. Het is voor de gebruiker niet mogelijk om deze policy zonder de
hulp van een systeembeheerder te veranderen. Binnen een MAC-systeem zou een
projectmedewerker niet in staat zijn om niet-projectleden toegang te verlenen tot een
systeemdirectory.
Role Based Access Control (RBAC)
RBAC heeft grote overeenkomsten met MAC. Het grote verschil is dat autorisaties niet gebaseerd zijn
op het vergelijken van attributen, hier wordt toegang verleend gebaseerd op de rol van een subject,
doorgaans de rol(len) van een persoon binnen de organisatie.
Een van de redenen om te werken op basis van RBAC en rollen is dat organisaties meer personen
dan rollen hebben. Omdat het beheren van alle autorisaties voor alle gebruikers geld kost, is het
mogelijk om geld te besparen wanneer het aantal gebruikers of aantal variaties in autorisaties beperkt
kan worden.
Binnen RBAC wordt binnen een project aan een gebruiker een rol toegekend. Op basis van deze rol
worden vervolgens autorisaties toegewezen. Bijvoorbeeld toegang tot bepaalde subdirectory’s van
een project.
Zoals MAC, wordt RBAC centraal gecontroleerd op informatiesysteemniveau, buiten bereik van
reguliere gebruikers. RBAC limiteert het aantal variaties in het aantal verschillende autorisaties in het
systeem. Er zijn vaak minder rollen binnen een organisatie dan gebruikers van een informatiesysteem.
Claim Based Access Control (CBAC)
CBAC is een relatief nieuw en flexibelere vorm van toegangscontrole. Met CBAC bepaalt de eigenaar
van de informatie of het systeem een set van claims die gecontroleerd moeten worden voordat
toegang verleend kan worden.
Voorbeeld 1 claim: de gebruiker werkt voor organisatie X.
Voorbeeld 2 claim: de gebruiker heeft rol van projectleider.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Bij deze 2e claim valt gemakkelijk te zien dat RBAC kan worden geïmplementeerd met CBAC als
basis. Het voordeel van CBAC is dat het flexibeler is doordat deze niet is gelimiteerd tot claims die
zich beperken tot een rol.
Attribute Based Access Control (ABAC)
Bij ABAC wordt door middel van een beschrijftaal (XACML) precies beschreven wat is toegestaan en
wat niet. Deze toegangsregels worden centraal beheerd.
Bewaking op toegangscontroles
In aanvulling op toegangscontroles is het belangrijk om te monitoren wie toegang heeft tot wat en of
autorisaties worden mislukt.
Voorbeeld: de toegang die een logistiek medewerker zou kunnen hebben tot het
betalingssysteem van de organisatie.
Het bewaken van toegang tot bepaalde logische gebieden kan voor verschillende doeleinden
uitgevoerd worden. Bijv. om de risico’s van diefstal van identiteiten of geld te voorkomen Ook het
voldoen aan wettelijke kaders zoals privacy regelingen kan een reden zijn. Er kan geëist worden om
aan te tonen dat alleen geautoriseerde personen toegang hebben tot bepaalde informatie. Dit
onderschrijft dat het toekennen van en toe zien op autorisaties niet alleen een zaak is van de techniek
maar ook de bedrijfsbelangen.
H10 CRYPTOGRAFIE
10.1 CRYPTOGRAFISCHE BEVEILIGINGSMAATREGELEN
De term cryptografie is afkomstig van het Grieks en is een combinatie van de woorden kryptós, dat
‘verborgen betekend’, en gráfo dat ‘schrijven’ betekent. Onderzoek naar cryptografische algoritmen
wordt aangeduid met cryptoanalyse en wordt niet alleen gebruikt om nieuwe algoritmen te ontwikkelen
maar ook om bestaande algoritmen te kraken.
Belangrijkste reden om cryptografie te gebruiken is om informatie vertrouwelijk te houden. Er bestaan
verschillende cryptografische systemen. Afhankelijk van de ‘sterkte’ van een cryptografisch systeem
kan het worden gebruikt voor andere doeleinden.
Voorbeelden waar cryptografie voor gebruikt kan worden: data-integriteit, data-authenticiteit,
authenticiteitmechanismen en de onweerlegbaarheid van informatie.
Onweerlegbaarheid
Doel van onweerlegbaarheid is om bewijs te verkrijgen over het wel of niet voordoen van een
gebeurtenis of activiteit. Techniek is noodzakelijk om dit mogelijk te maken, maar de kracht ligt ook in
organisatorische aspecten zoals sleutelmanagement.
Cryptografiebeleid
Cryptografie is een maatregel die een organisatie in kan zetten, wanneer bijvoorbeeld de
vertrouwelijkheid van informatie van belang is. Het gebruik van cryptografie moet zorgvuldig
overwogen worden en vastgelegd in een beleidsdocument. Zo’n beleidsdocument moet op zijn minst
de volgende onderwerpen bevatten:



Voor welke doeleinde past een organisatie cryptografie toe?
Welke cryptografische systemen gebruikt een organisatie en in welke toepassingen?
Controle op en beheer van sleutels.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen


Back-up
Controle
Sleutelmanagement
Goed sleutelmanagement is de kern voor het behoud van vertrouwelijkheid. Aangezien het verlies van
de sleutel hetzelfde betekent als het verlies van de gegevens zelf, is sleutelmanagement een
belangrijk element om de beschikbaarheid van informatie te waarborgen.
Wanneer cryptografie wordt toegepast om informatie te beveiligingen die is opgeslagen op apparatuur,
is het grootste risico dat dezelfde sleutel voor alle of voor een groot deel van de apparatuur van een
organisatie hetzelfde is.
10.2 SOORTEN CRYPTOGRAFISCHE SYSTEMEN
Een kenmerk van een goed cryptografisch systeem is dat het algoritme zelf openbaar is. De
Nederlander Kerckhoffs stelde dat de veiligheid van een cryptografisch systeem niet afhangt van de
vertrouwelijkheid van het coderingsalgortime, maar op het geheim houden van de sleutel. Deze sleutel
moet zodanig van kwaliteit zijn, dat je met de kennis van het algoritme niet in staat ben de sleutel te
breken.
Over het algemeen zijn er drie vormen van cryptografische algoritmen:
1. Symmetrische
2. Asymmetrische
3. Eenrichtingsvercijfering.
Symmetrisch cryptografisch systeem
In een symmetrisch systeem is het essentieel dat de sleutel beschermd wordt. Dezelfde sleutel wordt
door zowel de verzender als ontvanger gebruikt. De sleutel moet worden uitgewisseld tussen de
verzender en de ontvanger. Dat maakt dit systeem ook kwetsbaar, vooral wanneer de sleutel niet
goed geheim gehouden wordt door de verzender of de ontvanger. Het risico van compromittatie van
de sleutel neemt toe met het aantal partijen dat onderling berichten uitwisselt op basis van dezelfde
gedeelde sleutel.
Asymmetrisch cryptografisch systeem
Een asymmetrisch cryptografisch systeem biedt een oplossing voor de kwetsbaarheid die delen van
een geheime sleutel met zich meebrengt. De eigenschap van dit systeem is dat verschillende sleutels
gebruikt worden voor het vercijferen en ontcijferen van informatie. Het is niet langer nodig dat de
verzender en de ontvanger dezelfde sleutel delen. Het algoritme werkt op basis van sleutelparen,
namelijk een private en publieke sleutel.
Asymmetrische systemen kunnen op twee manieren gebruikt worden.
1. Door het ondertekenen van berichten met de private sleutel.
 Op basis van de publieke sleutel die voor iedereen beschikbaar is, is vervolgens vast
te stellen dat het bericht is getekend door de eigenaar van de private sleutel die
behoort bij de corresponderende publieke sleutel.
2. Met behulp van de publieke sleutel een bericht ontcijferen.
 Dit garandeert dat het bericht alleen te lezen is door diegene die in bezit is van de
private sleutel die bij die publieke sleutel hoort. Er is maar één houder van de private
sleutel.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Voorbeeld: digitale handtekeningen worden gemaakt met behulp van asymmetrische cryptografie. Een
digitale handtekening bestaat uit twee algoritmes. Een om vast te stellen dat informatie niet veranderd
is door anderen nadat deze was ondertekend. Dit is daarmee de methode om de integriteit van een
bericht vast te stellen. Het tweede algoritme stelt de identiteit van de zender vast, die de handtekening
heeft gezet, en dient om de onweerlegbaarheid te verzekeren.
Public Key Infrastructure (PKI)
PKI is wel gebaseerd op publieke sleutel cryptografie, maar bevat veel meer elementen dan alleen de
cryptografie. Een eigenschap van een PKI is dat door afspraken, procedures en een
organisatiestructuur het garanties biedt over de persoon of het systeem waar een bepaalde publieke
sleutel aan verbonden is. Een PKI wordt vaak beheerd door een onafhankelijke en vertrouwde
autoriteit.
De sterkte van de PKI hangt af van niet-technische aspecten. Een PKI waar gebruikers aan een
geheime sleutel kunnen komen door deze aan te vragen via e-mail, bijvoorbeeld via Gmail, is
uiteraard minder betrouwbaar dan een PKI waar gebruikers zich in persoon moeten identificeren op
basis van hun paspoort bij een bureau voordat ze de geheime sleutel krijgen.
Onweerlegbaarheid is de zekerheid dat iemand iets niet kan ontkennen gedaan te hebben. Over het
algemeen verwijst onweerlegbaarheid naar de mogelijkheid om zeker te stellen dat een partij van een
contract of communicatie-uiting de authenticiteit van hun digitale handtekening niet kan ontkennen.
Op internet wordt een digitale handtekening niet alleen gebruikt om te garanderen dat een bericht of
document elektronisch ondertekend is door een bepaald persoon, maar ook om te voorkomen dat
deze persoon later kan ontkennen dat hij degene was die het document getekend heeft. Een PKI is
een oplossing die onweerlegbaarheid kan garanderen.
One-way encryptie (hash-functie)
Een hash-functie is een niet-omkeerbare berekening. Door deze eigenschap wordt dit type algoritme
vooral toegepast om vast te stellen of een dataset niet veranderd is. Een bericht wordt omgezet in een
numerieke waarde, ‘hash-waarde’ genoemd, op basis van een vast algoritme. Op basis van dit
algoritme kan de ontvanger zelf ook de hash-waarde berekenen en deze waarden vergelijken.
Wanneer de twee hash-waarden overeenkomen, dan moet het bericht wel onveranderd zijn.
Hash-waarden kunnen ook gebruikt worden om vast te stellen dat twee tekstdelen, bijvoorbeeld
wachtwoorden, hetzelfde zijn zonder de originele tekst te kennen. Wanneer een gebruiker een
wachtwoord invoert, berekent het informatiesysteem de hash-waarde en slaat deze op. Op deze
manier kan zelfs een persoon met de hoogste rechten op een informatiesysteem niet het wachtwoord
van andere gebruikers achterhalen. Later wanneer een gebruiker zijn wachtwoord aanbiedt voor
authenticatie, berekent het systeem opnieuw de hash-waarde en vergelijk deze met de eerder
opgeslagen waarde. Wanneer de hash-waarden overeenkomen, dan moet de gebruiker het goede
wachtwoord invoeren en krijgt hij toegang. Deze methode wordt gebruikt om de integriteit van stukken
tekst vast te stellen, het biedt geen vertrouwelijkheid.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
C2 HOORCOLLEGE
8-2-2021
BIV-principes

Beschikbaarheid
o Tijdigheid: beschikbaar op moment dat het nodig is.
o Continuïteit: informatie voortdurend beschikbaar en dat men kan doorwerken tijdens
een fout of storing.
o Robuustheid: voldoende capaciteit in systeem, zodat het systeem niet overbelast
raakt wanneer alle geautoriseerde gebruikers er gelijktijdig mee werken + bij kleine
verstoringen is het systeem goed genoeg om die verstoringen op te vangen.
o Maatregelen:
 Hoe zijn back-ups geregeld?
 Waar worden de back-ups opgeslagen?
 Is dit off-sight?
 Wat is het beleid en is deze gemaakt op wet- en regelgeving?
 Bestaan er noodprocedures?
 Wat doen we bij een d-dos aanval?

Integriteit
o Compleet, correct en ongeschonden.
o Verkeert in de gewenste staat.
o Vrij van opzettelijke/onopzettelijke gebruikersfouten.
o Bestaat zonder geautoriseerde/onbedoelde wijzigingen
o Maatregelen:
 Antivirus
 Toegangscontrole en autorisatie
 Versleuteling & hashing (cryptografie)
 Logging & gegevensvaliditatie

Vertrouwelijkheid
o Duidelijk wie bij welke informatie mag komen.
o Toegang tot informatie wordt beperkt tot een bepaalde groep gerechtigden.
o Informatie komt niet vrij op onbewuste/bewust wijze of door fouten in het systeem.
o Maatregelen:
 Encryptie
 Toegangscontrole
 Organisatorische maatregelen en beleid; waaronder screening.
BIV = CIA



Beschikbaarheid: Availability
Integriteit: Integrity
Vertrouwelijkheid: Confidentiality
Aanvullend jargon


Authenticatie (authentication)
o Proces van verificatie op echtheid
o Bijv. paspoort-controle door Marechaussee
Autorisatie (authorisation)
o Proces van verlenen van rechten/toegang
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Bijv. als paspoort okay is en echtheid persoon is vastgesteld, mag deze door het
poortje naar de gate.
Onweerlegbaarheid (non-repudiation)
o De status dat achteraf niet meer te ontkennen valt dat het zo is.
o Bijv. transactie -> je kunt er op rekenen dat als je betaald hebt, je op je bankaccount
kunt zien dat je betaald hebt.
o

Informatiebeveiliging



De risico’s waar informatiebeveiliging tegen moet beschermen kent een grote diversiteit in
achtergronden, bijv.:
o Fraude;
o Sabotage;
o Brand;
o Spionage;
o Vandalisme;
o Overstroming.
... dus moedwillige en niet-moedwillige ‘oorzaken’.
... maar ook: menselijke en niet-menselijke ‘oorzaken’.
Maatregelen – algemeen







Dreigingen reduceren
Preventieve maatregelen (voorkomen, onmogelijk maken)
Detectie
Repressieve maatregelen (onderdrukken, tegengaan)
Correctieve/herstelmaatregelen
Verzekeringen
Acceptatie (restrisico’s)



ISO 27001 (doelstelling, eisen, beheersmaatregel)
ISO 27002 (uitwerking ISO 27001, implementatierichtlijn)
Voldoende gedaan voor een bedrijf wanneer je ISO hebt toegepast binnen bedrijf.
ISO
Risico’s in een organisatie





Mobiele apparaten en telewerken
Ingehuurd/tijdelijk personeel
Omgang met USB-stick
Diefstal van laptops
BYOD
Asset management (bedrijfseigendommen)






Informatie (en hun opslagmedia)
Software
Hardware
Apparatuur
Mensen en kennis
Imago en reputatie
Registratie en classificatie
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen





Voor risicoanalyse
Verzekering
Wettelijke eisen
Eventueel herstel na een incident
En: reguliere controle op actualiteit
Management



Afspraken over hoe om te gaan met assets
Afspraken over hoe veranderingen tot stand komen
Afspraken over wie veranderingen kan initiëren en uitvoeren
Informatieclassificatie
ISO:


Bewerkstelligen dat informatie een passend beschermingsniveau krijgt dat in
overeenstemming is met het belang ervan voor de organisatie.
Informatie behoort tot worden geclassificeerd met betrekking tot wettelijke eisen, waarde,
belang en gevoeligheid voor onbevoegde bekendmaking (vertrouwelijkheid) of wijziging
(integriteit/authenticiteit)
Informatieclassificatie



Classificeren = indelen van informatie naar gevoeligheid
Rubricering = classificatie die aan informatie wordt toegekend (door overheid), bijv. geheim,
confidentieel/personeelsvertrouwelijk
Merking/labelling
Veiligheid vs Kosten

Hoe meer veiligheid, extra investeren, hoe hoger de kosten.
Levels of Security Requirements
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Security Requirement Profile
Security Use Case -> acties die kunnen worden ondernomen ten aanzien van het ‘level’.
Classification of Security Use Cases
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Examples: from requirements to measures (maatregelen)
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
C3 LITERATUUR: PRIVACY EN DE AVG
DIT MOET JE WETEN OVER DE NIEUWE PRIVACYWET
Vanaf 2018 kunnen bedrijven en overheden beboet worden als ze zich niet houden aan de
privacywet (AVG).
Waar staan de afkortingen voor?



AVG: Algemene Verordening Gegevensbescherming
De AVG legt vast hoe bedrijven en andere organisaties moeten omgaan met de
persoonsgegevens van ruim 500 miljoen EU-burgers. In het Engels heet de AVG de
GDPR. Dit staat voor General Data Protection Regulation.
De AVG vervangt de Richtlijn bescherming persoonsgegevens uit 1995.
Zal er veel veranderen?




De data die overheden, bedrijven en andere organisaties verwerken komen allang
niet meer alleen uit eigen land, maar van over de hele wereld. Daarom is het handig
dat de AVG in alle 28 EU-landen geldt.
De facto wereldregulering
o Instanties die goederen of diensten aanbieden aan inwoners van de EU,
krijgen óók te maken met de AVG. Denk aan Amerikaanse of Aziatische
bedrijven als Google, Facebook of AliExpress. Om die reden wordt de wet ook
wel ‘de facto wereldregulering’ genoemd.
Bedrijven leggen voortaan beter vast hoe ze gevoelige data verwerken en geven daar
meer openheid over.
Burgers krijgen zo meer inzicht in wat er met hun gegevens gebeurt
Functionaris gegevensbescherming


Deze dient te beschikken over ruime kennis van databescherming en werkt
onafhankelijk. Hij of zij houdt nauw contact met de toezichthouder die de privacy van
burgers monitort. In Nederland is dat de Autoriteit Persoonsgegevens.
Bedrijven moeten in twee gevallen zo’n privacyfunctionaris aanwijzen.
1. Ten eerste als ze de data van hun klanten ‘grootschalig’ en ‘systematisch’ in
de gaten houden – Facebook is hier een perfect voorbeeld van.
2. Ten tweede als ze ‘bijzondere categorieën’ persoonsgegevens verwerken. Dit
zijn bijvoorbeeld etniciteit, politieke of religieuze overtuiging, seksuele
geaardheid en medische gegevens.
Boete na overtreding AVG


Een organisatie die zich niet houdt aan de AVG kan rekenen op een boete van
maximaal 10 miljoen euro of 2 procent van de jaaromzet - het ligt eraan welke optie
een hogere boete oplevert.
Schaadt een organisatie de rechten van burgers, dan verdubbelt de boete naar 20
miljoen euro, dan wel een inname van 4 procent van de jaaropbrengst.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Dit kan gebeuren als een gebruiker niet de optie krijgt om zijn gegevens te
rectificeren, op te vragen of de toestemming om deze te vergaren in te
trekken.
‘Onder de oude privacyregels konden toezichthouders slechts lage boetes
opleggen. Daardoor waren er voor organisaties weinig prikkels om de wet na te
leven. Nu hebben toezichthouders een stok achter de deur.’
o

Is de wet controversieel?
De AVG is tot stand gekomen in de ‘trialoog’ tussen de Europese Commissie, het Europees
Parlement en de Europese Raad. De verschillende organen waren het niet altijd eens en de
uiteindelijke versie kwam er pas na vier jaar onderhandelen.
Voorbeeld van onderhandelingen: het onderscheid tussen de
‘verwerkingsverantwoordelijke’ – die het laatste woord heeft over wat er met je
persoonlijke gegevens gebeurt – en de ‘dataverwerkers’, die onder diens leiding met
jouw gegevens werken.
Probleem: de onderscheiding tussen deze twee rollen is ‘geforceerd en sluit niet maar aan bij
de realiteit’. De nieuwe wet gaat uit van duidelijke verhoudingen tussen controleurs en
verwerkers, maar die rolverdeling is zelden goed te overzien: ‘Organisaties besteden veel
dingen uit, zoals dataopslag in de cloud, big-data-analyse en beveiliging.’
Het gaat er vooral om dat in overeenkomsten duidelijk wordt wie wat doet en wie
waarvoor verantwoordelijk is.
Zijn overheden en bedrijven er klaar voor?



Overheden en bedrijven hebben twee jaar de tijd gehad om zich voor te bereiden op
de AVG. Uit onderzoek blijkt dat zeven op de tien mkb-bedrijven nog niet de
benodigde maatregelen hebben getroffen.
Niet alle organisaties die onder de nieuwe wet vallen hebben een privacyfunctionaris
in dienst genomen.
Daarnaast was er destijds sprake van een groeiende AVG-industrie: ‘Bedrijven en
advocatenkantoren die goed geld gaan verdienen met het adviseren van andere
bedrijven over de AVG.’
Wat merk jij van de nieuwe wet?




Als jouw gegevens bij bedrijven binnen of buiten de EU belanden, krijg je namelijk
veel meer rechten.
Je hebt recht om een verzoek in te dienen als je er achter wil komen wat een
organisatie over mij weet.
Dankzij de AVG moet een instantie jou vertellen of ze data van jou verzamelt - en zo
ja, waar, hoelang en waarom die worden bewaard.
Recht op overdraagbaarheid van gegevens -> ‘Als je op een dag besluit dat je liever
een andere dienstaanbieder wilt, is het handig als je je gegevens kunt downloaden of
overzetten.’
o Dit recht gaat alleen over de gegevens die consumenten zelf hebben
aangeleverd, en dus niet om afgeleide data. Terwijl dat nu juist is waar het
doorgaans om gaat - die data vertegenwoordigen de grootste waarde.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen


Het recht op vergetelheid treedt in werking op het moment dat je vindt dat jouw
persoonsgegevens verouderd of niet meer relevant zijn, of als je je toestemming
intrekt om die te mogen verzamelen. Hiervoor kun je een schriftelijk verzoek indienen.
De verplichting om het binnen hengelen van data te beperken, en deze zo goed
mogelijk te beschermen. Dat laatste wordt ‘privacy by default’ genoemd.
Hoe wordt de AVG gehandhaafd?
Hoe effectief de wet in Nederland zal zijn, hangt af van de Autoriteit Persoonsgegevens. De
toezichthouder heeft beperkte capaciteit, dus zal ze prioriteiten moeten stellen.
Voordat de Autoriteit Persoonsgegevens bij de constatering of melding van een overtreding
boetes uitdeelt, volgt ze een zogenoemde ‘escalatieladder’. Eerst vraagt de waakhond hoe
een organisatie data precies verwerkt. Daarna volgen instructies om dat proces te
verbeteren. Gaat het dan nog steeds fout, dan zal de Autoriteit de organisatie berispen. Bij
herhaling zet het orgaan de gegevensverwerking bij de betreffende organisatie stil. Pas op
het allerlaatste moment volgt een boete.
Angst voor boetes heeft instanties binnen én buiten de EU niettemin aan het werk gezet. De
meeste bedrijven werken nu met zelf ontwikkelde checklists. De kosten om alleen al op
technologisch vlak aan de AVG te voldoen, kunnen voor grote organisaties in de
honderdduizenden euro’s lopen.
De wet is soepeler voor instanties met minder dan 250 werknemers. Zij hebben niet altijd de
middelen om zich snel om te scholen. Maar je kunt een privacyfunctionaris parttime
aanstellen of op freelancebasis. Extra administratie en kosten kun je zo beperkt houden.
Het grootste voordeel van de AVG dat nu ook midden- en kleinbedrijven zich bewust zijn van
privacywetgeving. ‘Kleine internetwinkels of advertentiehandelaars werkten allang met heel
veel data, maar de naleving van privacywetgeving was ver ondermaats.’
Geldt de AVG ook voor de geheime diensten?
De AVG geldt niet voor de geheime diensten want de wet gaat niet over ‘activiteiten
aangaande nationale veiligheid’. De verzameling van data door de geheime diensten wordt
door een aparte wet geregeld: de Wiv.
Bedrijven waarmee inlichtingendiensten samenwerken, kunnen wél onder de AVG vallen,
Zoals telecombedrijven die gegevens verzamelen in het kader van hun dienstverlening, en
deze vrijwillig of op bevel doorgeven aan inlichtingen- en veiligheidsdiensten of de politie.
Voor het versterken van hun informatiepositie zijn geheime diensten in belangrijke mate
afhankelijk van wat private partijen aan hen kunnen leveren. Sommige bedrijven beperken
de hoeveelheid persoonsgegevens die ze verzamelen vanwege de AVG. Data die er niet
meer zijn, liggen ook niet meer op de plank voor de diensten.
Betekent dit dat Facebook en Google aan banden worden gelegd?
Het sociale netwerk vraagt gebruikers nu expliciet om toestemming om doelgerichte
advertenties en gezichtsherkenning in te mogen zetten.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Facebook:
Het is bekend dat Facebook ook gegevens binnenharkt van internetters die niet aan het
platform zijn verbonden. Zuckerberg kondigde begin deze maand aan dat gebruikers
voortaan kunnen weigeren dat door Facebook verzamelde data tot hen kunnen worden
herleid. Voor internetters die geen account hebben op Facebook - maar van wie wel degelijk
gegevens worden verzameld - bestaat deze zogeheten ‘opt-out’ niet.
Google:
De zoekmachine heeft zijn gebruikers een e-mail gestuurd, waarin ze de veranderingen
uitlegt. Het bedrijf heeft de nieuwe voorwaarden geschreven in - voor techbedrijven
- opvallend heldere taal en maakte uitlegvideo’s.
Al sinds 2011 biedt Google de mogelijkheid om data op te vragen, maar met de AVG in het
achterhoofd belooft het bedrijf dat gebruikers in de nabije toekomst gegevens kunnen
inwinnen van meer Googlediensten. Aan een optie om deze data om de zoveel tijd
automatisch op te vragen, zegt Google nog te werken.
Bedrijven die apps maken voor Googles mobiele besturingssysteem Android, zitten wel met
een probleem. Veel gratis apps zetten in op advertenties als verdienmodel, maar het is voor
hen onzeker of dit nog mag onder de AVG. Google heeft beloofd een nieuwe versie van zijn
software uit te brengen die voldoet aan de nieuwe wet, maar deze is nog altijd niet af. Om
boetes te omzeilen, overwegen sommige ontwikkelaars voorlopig te stoppen met
advertenties.
Uitgevers van onder meer krantenwebsites zijn evenmin blij met Googles aanpak. Het bedrijf
eist dat zij namens Google toestemming vragen aan hun klanten om gegevens te
verzamelen. De zoekgigant wordt zo ‘verwerkingsverantwoordelijk’ voor die data, terwijl
uitgevers juist hoopten dat zij dankzij de AVG meer controle zouden krijgen over hun
klantprofielen.
DEZE BEVOLGEN PROFESSOR HELPT JE DOORGRONDEN WAT PRIVACY IS
De theorie van Helen Nissenbaum privacy als contextuele integriteit, biedt handvatten om
het gedrag van dataverzamelaars als Google en de National Security Agency te beoordelen.
Het is een verfijnd intellectueel instrument waarmee antwoord kan worden gevonden op de
vraag waarom wij een bepaalde context als zeer bedreigend voor onze privacy ervaren en
een andere juist helemaal niet.
Weapons of the weak
Samen met hackers en informatici bouwt de hoogleraar technologieën die zij de weapons of
the weak noemt. Technologieën die door burgers kunnen worden ingezet als
verzetsmiddelen tegen de tyranny van technologiebedrijven die hun data verzamelen en
verkopen.
Nissenbaum, de filosoof
Een dominante denkwijze was – en is – het recht op privacy te zien als een recht op controle
over informatie: mijn persoonlijke gegevens zijn van mij en ik bepaal wat ermee gebeurt. En
als ik die controle kwijtraak, is mijn privacy geschonden.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Daarmee hangt een ander idee samen, namelijk dat het recht op privacy
ook geheimhouding betekent; ik bepaal wie er toegang heeft tot mijn gegevens.
De informatiestroom is niet gepast
Privacy wordt op deze manier gereduceerd tot een individuele aangelegenheid. Ik bepaal
wat er met mijn gegevens gebeurt. Maar privacy gaat óók over de anderen. Veel informatie
die jij deelt heeft ook betrekking op anderen.
Voorbeeld: Target, de winkelketen die aan de hand van het koopgedrag van een
vrouw kon voorspellen dat zij zwanger is. Dat wist het bedrijf omdat andere vrouwen
bereid waren hun aankopen te laten analyseren.
Dit sociale karakter vormt de kern van Nissenbaums theorie van de contextafhankelijkheid
van privacy, nader uitgewerkt in haar boek Privacy in Context (2010). De centrale stelling is
dat mensen een privacyschending kunnen ervaren bij partijen die informatie verzamelen,
analyseren of verspreiden omdat die bepaalde normen over de informatiestroom
breken, niet omdat mensen het gevoel hebben dat ze de controle kwijtraken of de
geheimhouding wordt geschonden.
Nissenbaum ontleedt deze ‘gepaste informatiestroom’ als volgt: binnen iedere context
stroomt er informatie van een zender naar een ontvanger. Deze stroom heeft een
onderwerp, is van een bepaald type en wordt onder bepaalde voorwaarden geuit. Als een
van deze ‘normen’ verandert – de ontvanger van de informatie, de soort informatie of de
voorwaarden – dan is de informatiestroom niet meer gepast. Dat verklaart waarom de zender
(jij) het gedrag van de ontvanger (de arts) als een privacyschending kan ervaren.
Belangrijk bij contextuele integriteit is dat het doel van een bepaalde context sociaal
geconstrueerd is. Die doelen stellen ons in staat om te evalueren of bepaalde
informatiestromen acceptabel zijn.
Een nieuwe sociale integriteit

Nissenbaums theorie verklaart ook waarom online technologieën als
privacybedreigend kunnen worden gezien – van Facebook en Google tot online
advertentiebedrijven en trackers. Die technologieën zorgen er namelijk voor dat de
normen van contexten veranderen – wie welke informatie ontvangt en onder welke
voorwaarden. Informatie die wij afstaan om een product te kopen, wordt doorverkocht
aan andere partijen; goede vrienden posten vertrouwelijke foto’s van ons op
Facebook; beelden van onze huizen zijn via Google Street View door wildvreemden
te bekijken. Dat zet de integriteit van verschillende contexten onder druk.
We weten nog niet goed raad met deze nieuwe disruptieve technologieën. Een veelgehoord
argument is dat de nieuwe technologie zo anders is dat zij onze verwachtingen van privacy
verandert. Dat wij, met andere woorden, minder privacy verwachten.
En de uitdaging met online privacy is dus niet, zegt Nissenbaum, dat er een heel nieuwe
context ontstaat, maar dat het internet het verzamelen, de analyse en verspreiding van
informatie verandert en daardoor de contextuele integriteit van ons sociale leven bedreigt.
Nissenbaum, de activist
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Nissenbaum bouwt al een paar jaar samen met informatici en hackers systemen die als doel
hebben digitale dataverzamelaars een rad voor de ogen te draaien.

Obfuscation: het zaaien van verwarring.
TrackMeNot

TrackMeNot trekt een rookgordijn op voor zoekmachines als Google en Yahoo. Via
de extensie worden er tijdens online zoekacties neppe zoektermen naar de servers
van de zoekmachines gestuurd – samen met de wel ingevoerde. De zoeker krijgt
alleen het antwoord op zijn vraag, maar de zoekmachine kan de echte zoekterm niet
registreren.
Ad Nauseam



Ad Nauseam is een extensie die simpelweg op iedere advertentie klikt die
voorbijkomt, om zo zand in de ogen te strooien van online advertentiebedrijven en de
gebruiker te beschermen tegen die bedrijven die profielen van hen opstellen.
Nissenbaum benadrukt dat obfuscation niet alleen een vorm van praktisch verzet is,
maar ook een manier voor gebruikers om hun onvrede te uiten.
Obfuscation is meer een strategie voor de korte termijn. Er is zo’n grote
machtsdisbalans. Wij, de gebruikers, hebben nauwelijks onderhandelingsruimte.
Toezichthouders zijn niet machtig genoeg, wetgeving komt traag op gang.
Door obfuscation kunnen we proberen de balans weer iets te herstellen.
C3 HOORCOLLEGE
15-2-2021
Privacy als grondrecht
Waarom is privacy belangrijk?

Mensenrecht (jezelf vrij kunnen ontwikkelen zonder onnodige bemoeienis)
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen


Essentieel voor vrije democratie
Zowel integriteit lichaam als relationele privacy (brief geheim) als bescherming
persoonlijke levenssfeer als informationele privacy.
Actueel voorbeeld:
“In Myanmar zijn tien duizenden dit weekeinde de straat op gegaan om te demonstreren
tegen de militaire coup van vorige week maandag. De generaals hebben het internet
platgelegd in de hoop mensen bij protesten weg te houden. De angst is groot dat de
militairen alsnog met geweld ingrijpen.”

Schenden van de privacy gebeurd door de regering in Myanmar.
Artikel 13: briefgeheim
1. Het briefgeheim is onschendbaar, behalve, in de gevallen bij de wet bepaald, op last
van de rechter.
2. Het telefoon- en telegraafgeheim is onschendbaar, behalve, in de gevallen bij de wet
bepaald, door of met machtiging van hen die daartoe bij de wet zijn aangewezen.
Privacy wordt al lang als belangrijk gezien, bijvoorbeeld als het gaat om briefgeheim. Door
alle technologische ontwikkelingen neemt het wel grotere proporties aan (denk aan social
media en alles wat je deelt met je smartphone).
Artikel 8 EVRM (hoef je niet te leren, maar wel snappen!)
Recht op eerbiediging van privéleven, familie en gezinsleven.
1. Een ieder heeft recht op respect van zijn privéleven, zijn familie- en gezinsleven, zijn
woning en zijn correspondentie.
2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit
recht, dan zover bij de wet is voorzien en in een democratische samenleving
noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid
of het economische welzijn van het land, het voorkomen van wanordelijkheden en
strafbare feiten, de bescherming van de gezondheid of de goede zeden voor de
bescherming van de rechten en vrijheden van anderen.
Handvest van de Grondrechten van de Europese Unie
Artikel 7 Eerbiediging van het privéleven en het familie- en gezinsleven.
Een ieder heeft recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven,
zijn woning en zijn communicatie.
Artikel 8 bescherming persoonsgegevens
1. Een ieder heeft recht op bescherming van de hem betreffende persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met
toestemming van de betrokkene of op basis van een andere gerechtvaardigde
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem
verzamelde gegevens en op rectificatie daarvan.
Persoonsgegevens
Belangrijke definities AVG (artikel 4)

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare
natuurlijke persoon (“de betrokkene”).
Als het gaat om persoonsgegevens moet je dus beseffen dat de risico’s waarschijnlijk groter
zijn, en zul je dit dus mee moeten nemen in je risicoanalyse.
Voorbeelden: collegekaart, telefoon, rekeningnummer, IP-adres, kentekenplaat, afbeelding
van iemand, de stem van een docent
AVG is niet van toepassing op:


Gegevens van overleden personen (overweging 27);
o Hebben deze gegevens echt eveneens betrekking op nog levende, natuurlijke
personen en kunnen zij mede bepalend zijn voor de wijze waarop deze in het
maatschappelijke verkeer worden beoordeeld of behandeld, dan zijn zij mijns
inziens wel weer een persoonsgegeven.
Gegevens van rechtspersonen (overweging 14)
Artikel 9 bijzondere persoonsgegevens


Het verwerken van bijzondere persoonsgegevens is verboden, tenzij er een
uitzondering op van toepassing is (art. 9 AVG). Bijzondere persoonsgegevens zijn
extra gevoelig, omdat de basis van deze gegevens mensen gestigmatiseerd of
gediscrimineerd kunnen worden (bijzondere gegevens gaan over fundamentele
vrijheden en grondrechten).
Bijzondere persoonsgegevens zijn persoonsgegevens over:
a) Ras of etnische afkomst;
b) Politieke opvattingen;
c) Religieuze of levensbeschouwelijke overtuigingen;
d) Lidmaatschap van een vakbond;
e) Genetische gegevens;
f) Biometrische gegevens met het oog op de unieke identificatie van een persoon;
g) Gegevens over gezondheid
h) Seksueel gedrag of seksuele gerichtheid
Artikel 10 persoonsgegevens betreffende strafrechtelijke veroordeling en strafbare feiten

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of
daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid
1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is
toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende
waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende
registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder
toezicht van de overheid.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Fair information principles
12 Fair information principles
1. Rechtmatig (artikel 6 AVG)
2. Verantwoordelijk
3. Behoorlijk
4. Doelspecificatie
5. Doelbinding
6. Dataminimalisatie
7. Correctheid
8. Up-to-date
9. Opslagbeperking
10. Technologische veiligheid
11. Organisatorische veiligheid
12. Transparantie
Rechtmatig
1. Berust de gegevensverwerking op een van de zes grondslagen van de AVG.
2. Wanneer er bijzondere gegevens worden verwerkt, is de verwerking gebaseerd op een
van de uitzonderingen van de AVG.
3. Het eventueel verstrekken aan landen buiten de Europese Unie.
4. Voldoet de gegevensverwerking aan andere wetgeving.
5. Gebruik de verantwoordelijke geen gegevens die hij van anderen heeft verkregen en
daarvan weet dat zij die onrechtmatig hebben verkregen.
6 Gebruikt de verantwoordelijke geen gegevens die hij heeft gekregen van anderen als zij
die weliswaar mochten verzamelen, maar de verantwoordelijke niet (bijv. omdat andere
organisaties ruimere wettelijke bevoegdheden hebben).

1.
2.
3.
4.
5.
De verwerking van persoonsgegevens is rechtmatig als er voldaan is aan een van de
volgende criteria (kern snappen, niet uit het hoofd leren, bij tentamen de goede
verwerkingsachtergrond selecteren):
Er is toestemming van de betrokkene;
De verwerking is noodzakelijk voor de uitvoering van een overeenkomst (bijv.
verzekeringsovereenkomst;
De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting (bijv. in
het kader van wettelijke schuldhulpverlening of belasting inning);
De verwerking is noodzakelijk om de vitale belangen van de betrokkene of andere
natuurlijke personen te beschermen (zaak van leven of dood, bijv. bij dringende
medische hulp);
De verwerking is noodzakelijk ter vervulling va een taak van algemeen belang op
openbaar gezag (bijv. de uitvoering van de bijstand door gemeenten in het kader van
de Participatiewet);
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen
en de verantwoordelijke of van een derde (bijv. voorkomen van fraude en direct
marketing).
Rechtmatig Art. 9 lid 2 uitzonderingen (niet uit hoofd leren! Wel goed om te beseffen dat er
uitzonderingen zijn)
a) uitdrukkelijke toestemming
b) noodzakelijk voor uitvoering verplichtingen verwerkingsverantwoordelijke
c) bescherming vitale belangen betrokkene
d) stichting of vereniging zonder winstoogmerk op politiek, vakbond, levensbeschouwelijk en
religieus
e) kennelijk openbaar gemaakt door betrokkene
f) instelling onderbouwing uitoefening rechtsvordering
g) redenen van algemeen zwaarwegend belang
h) preventieve of arbeidsgeneeskunde
i) algemeen belang volksgezondheid
j) archivering, statisch historisch of wetenschappelijk onderzoek
Verantwoordelijk
Verantwoordelijk: als je persoonsgegevens verwerkt moet je goed nadenken over hoe je hier
verantwoordelijk mee moet omgaan, en wie dat doet in je organisatie (en dat je in sommige
gevallen een Functionaris Gegevensbescherming moet aanstellen).
Behoorlijk
Behoorlijk: de gegevens moeten behoorlijk (eerlijk) zijn.
Doelspecificatie
Doelspecificatie: de gegevensverwerking moet een specifiek doel dienen.


Voor het beginnen met de verwerking van persoonsgegevens is een doel
afgesproken. Het is niet toegestaan om na het verzamelen van persoonsgegevens te
bekijken welke gegevens waardevol kunnen zijn en voor welke doeleinden ze zouden
kunnen worden gebruikt.
Het doel is uitdrukkelijk vastgelegd, zodat achteraf eenvoudig kan worden
gecontroleerd of het oorspronkelijke doel inderdaad gerespecteerd is.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Doelbinding
Doelbinding: in principe mogen de gegevens alleen voor een welbepaalde, uitdrukkelijke
omschreven en gerechtvaardigde doel verwerkt worden. Al verzamelde gegevens gebruiken
voor nieuwe toepassingen ...
Dataminimalisatie
Dataminimalisatie: uitgangspunt van dit principe is dat je zo min mogelijk persoonsgegevens
verzameld door het bereiken van het specifieke doel.

Doel specifiek genoeg?
o Om de klantbeleving te verbeteren?
o Voor wekelijkse mails over aanbiedingen die voor u interessant zouden
kunnen zijn?
o Voor marketingsdoeleinden?
Correctheid
Correctheid: de gegevens die worden verzameld moeten correct (juist) zijn en zo nodig
worden geactualiseerd.
Up-to-date
Up-to-date: wanneer gegevens voor een langere tijd worden bewaard, dan moet ervoor
worden gezorgd dat de gegevens up-to-date blijven.
Opslagbeperking
Opslagbeperking: wanneer persoonsgegevens die zijn verzameld niet langer nodig zijn, dan
moeten deze in principe verwijderd of volledig ge...
Technologische veiligheid
Technologische veiligheid: bij het opslaan van gegevens moeten technische maatregelen
getroffen worden.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Organisatorische veiligheid
Organisatorische veiligheid: bij het opslaan van gegevens moeten organisatorisch
maatregelen getroffen worden.
Transparantie
Transparantie: de gegevensverwerkingsprocessen moeten transparant zijn.
Rechten en plichten
Rechten van de betrokkene









Transparantie (art. 12);
Recht op informatie (art. 13 en 14);
Recht van inzage (art. 15);
Recht op rectificatie (art. 16);
Recht op gegevenswisseling (recht op vergetelheid) (art. 17);
Recht op beperking van de verwerking (art. 18);
Recht op overdraagbaarheid van gegevens (art. 20);
Recht van bezwaar (art. 21);
Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming
(art. 22).
AVG datalekken


Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt
de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien
mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen.
Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico
inhoudt voor de rechten en vrijheden van natuurlijke personen dan ook aan
betrokkenen melden.
Boetes onder Wbp (wet bescherming persoonsgegevens)
Voordat de AVG er was waren de boetes ‘kinderspel’ maar onder de AVG kunnen ze
oplopen tot in de miljoenen!
C7
C5 CYBERSECURITY BEELD NEDERLAND & THE HUMAN FACTOR

Je kent de meest recente uitgave van het Cyber Security Beeld Nederland en kunt
voorbeelden geven van de daarin besproken kernproblematieken, dreigingen, belangen en
weerbaarheid. Je kent het jargon uit de begrippenlijst van deze publicatie en kan dat
toepassen in je beantwoording van contextuele vragen.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
HET SUCCES VAN SOCIAL ENGINEERING (BULLEE, MONTOYA, JUNGER & HARTEL)
Social engineering: aanvalstechniek waarin misleiding en bedrog worden gebruikt om doelwitten
actief te laten meewerken aan hun eigen slachtofferschap.
Gevaar social engineering-aanvallen -> het lijkt op het eerste oog legitiem en ongevaarlijk, zodat het
doelwit zich er niet van bewust is slachtoffer te zijn.
Social engineering uitgelegd met een script
De Problem Analysis Triangle (PAT), een element uit de RAT, beschouwt drie belangrijke elementen:
1. Aanvallers
2. Doelwitten/slachtoffers
3. Locaties
Een misdaad vindt plaats wanneer een gemotiveerde aanvaller en een passend doelwit samenkomen
op eenzelfde tijd en plaats met het gebrek aan effectieve controleurs.
Vanuit een psychologisch perspectief vier facetten onderscheiden:
1. De aanvaller gebruikt misleiding door imitatie.
2. De aanvaller maakt gebruik van overtuigingsprincipes om het verhaal geloofwaardiger te
maken.
3. Er ontstaat een denkfout bij het doelwit.
4. Het doelwit is zich niet bewust van gepaste verdedigingstechnieken.
Misleiding door imitatie
Misleiding: ontstaat wanneer communicatoren de informatie in hun berichten aanpassen om een
betekenis over te brengen die afwijkt van de waarheid zoals zij die kennen.
Veel voorkomende doelwitten om te worden geïmiteerd zijn systeemadministrators,
helpdeskmedewerkers of CEO’s. Aanvallers kiezen voor deze specifieke rollen, omdat mensen die rol
vertrouwen. Dit draagt bij aan de kans dat het doelwit de aanvaller vertrouwt.
Overtuigingsprincipes
Wanneer een persoon doelwit is, kan de aanvaller sociale beïnvloeding gebruiken om de kansen in
haar/zijn voordeel te krijgen. Zes overtuigingsprincipes om de kans op succes van de aanvaller te
vergroten:
1.
2.
3.
4.
5.
6.
Autoriteit: mensen luisteren naar autoritaire figuren.
Conformiteit: groepsdruk, het imiteren van gedrag van anderen
Wederkerigheid: de onderlinge bereidheid om een gift te beantwoorden met een tegengift.
Vasthoudendheid: blijven vasthouden aan een belofte of overeenkomst
Schaarste: ontstaat wanneer een product, dienst of informatie beperkt beschikbaarheid heeft.
Sympathie mensen hebben de tendens om anderen met dezelfde interesses, attitudes en
overtuigingen aardiger te vinden.
Cognitieve fouten en heuristieken
De duale systeemtheorie, ook wel bekend als Systeem 1 en Systeem 2, verklaart de denkfout.

Systeem 1: automatisch systeem dat snel , onbewust en met weinig moeite redeneert op
basis van heuristieken.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen

Systeem 2: gecontroleerd systeem dat bewust en relatief langzaam redeneert.
Aangezien mensen niet voldoende cognitieve capaciteit hebben om alle sensorische input te
verwerken, worden beslissingen vaak gemaakt aan de hand van vuistregels (i.e. heuristieken); dit
gebeurt in Systeem 1. Heuristieken werken goed in de meeste situaties, totdat een heuristiek faalt en
er een denkfout ontstaat.
Verdediging tegen social engineering
Maak mensen bewust van het bestaan van social engineering en wat ze moeten doen om zich er
tegen te weren.
Experimenten
1. Face-to-face (f2f)
 Medewerkers in hun kantoor zijn door de aanvaller bezocht met de vraag om hun
kantoorsleutel te overhandigen.
 Deel van de proefpersonen ontving een interventie:
o Flyer met uitleg over social engineering
o Sleutelhanger met de tekst: ‘don’t give me to a stranger’
o Poster met expliciete opmerking om niet je pin, sleutel of wachtwoorden te
delen.
 Onderzoek bevestigd dat het informeren van medewerkers kan leiden tot
gedragsverandering. Kennis over social engineering-aanvallen helpt om, via het
gedrag van de medewerker, de veiligheid van de organisatie te verhogen.
2. Telefoon
 Medewerker via de telefoon overtuigen om van een onbetrouwbare bron software te
downloaden en installeren.
 1/3 van de doelwitten ontving twee weken voor het experiment een interventie en
deze bestond uit twee delen:
o Flyer met uitleg over telefoonfraude
o Pashouder met de tekst ‘Beware of scams. Verify all requests. Report all
incidents’
 Auditief gepresenteerde stimuli wordt beter herinnerd dan visueel gepresenteerde
stimuli.
 Dit onderzoek suggereert dat een interventie alleen op korte termijn een effect heeft
op het reduceren van het aantal slachtoffers.
3. E-mail
 Phishingmail is naar medewerkers verstuurd met het verzoek om hun gebruikersnaam
en wachtwoord te valideren op een onbetrouwbare, externe website.
 Er waren drie karakteristieken waaraan kon worden herkend dat de e-mail nep was:
1) de URL’s in het bericht verwezen niet naar de organisatie,
2) de afsluiting van de e-mail was van een fictief persoon, die geen medewerker is
van de universiteit,
3) ‘IT-Helpdesk’ was genoemd als afdeling in plaats van ‘ICTS’.
 In het e-mailexperiment is gekeken naar het effect van personalisatie in de aanhef en
de demografie van de ontvangers. De resultaten laten zien dat het effect van een
phishingmail groter is bij een gepersonaliseerde e-mail. Daarnaast heeft de groep
jonge medewerkers die tevens kort in dienst is het meeste baat bij een interventie.
Implicaties voor de praktijk:

Bewustwording van de gevaren, kenmerken en tegenmaatregelen van social
engineering reduceert de kans op slachtofferschap.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen



Bewustwordingsinterventie heeft invloed voor een beperkte tijd.
Er is een groot verschil gevonden tussen wat mensen zeggen en wat zij daad‐
werkelijk doen. Wees daarom voorzichtig met het uitrollen van
bewustwordingscampagnes. Wanneer mensen niet beseffen dat ze gevaar lopen,
zullen ze ook moeilijker tegenmaatregelen accepteren.
Geef kwetsbare groepen meer aandacht. Een eenvoudige manier om de
kwetsbaarheid te verminderen is om deze groep een training te geven.
HC C5 – CYBER SECURITY BEELD NEDERLAND (2020)
1-3-2021
NCSC draagt bij aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse
samenleving in het digitale domein, en daarmee aan een veilige, open en stabiele
informatiesamenleving door het leveren van inzicht en het bieden van handelingsperspectief.
Cyber Security beeld Nederland



Opgesteld door NCTC en Nationaal Cyber Security Centrum (NCSC), in samenwerking met
verschillende partners.
Het document geeft inzicht in het huidige dreigingsbeeld op het beid van Cybersecurity in
Nederland en wordt bijgehouden sinds 2011.
o Overzicht van dreigingen: wat speelt er mondiaal en wat zien we daarvan in NL?
o Is Nederland bestand tegen deze dreigingen?
o Welke ontwikkelingen zijn er te duiden?
Belangrijk onderdeel is de dreigingsmatrix
Cybersecuritybeeld Nederland 2020
Cyberincidenten kunnen onze maatschappij verlammen



Cyberincidenten kunnen onze maatschappij in het hart raken en gedurende korte of langere
tijd verlammen. Nederland is afhankelijk van digitale diensten, processen en systemen. Deze
raken steeds nauwer verweven met fysieke processen, activiteiten en apparaten en ze maken
deel uit van een groter geheel, de mondiale digitale ruimte.
Digitale ruimte biedt veel kansen maar ook veel gevaren -> kwetsbaar voor menselijk en
technisch falen en voor kwaadwillenden.
Digitale weerbaarheid niet overal op orde -> vergroten van de digitale weerbaarheid is het
belangrijkste instrument om digitale risico’s te beheersen.
DIGITALE RISICO’S ONVERMINDERD GROOT
Een digitaal risico is de kans dat een cyberincident zich voordoet en de impact daarvan op belangen,
beide in relatie tot het actuele niveau van digitale weerbaarheid. De digitale risico’s voor Nederland
zijn onverminderd groot en niet fundamenteel veranderd.

Risico’s: (voorbereidingen voor) sabotage en spionage door statelijke actoren, (grootschalige)
uitval van digitale diensten, processen of systemen, cyberaanvallen & ransomware.
DIGITALE DREIGING PERMANENT
Met digitale dreiging wordt een cyberincident bedoeld dat zich kan voordoen of een combinatie van
gelijktijdige of opeenvolgende cyberincidenten.

Cyberaanval door uitval door bijvoorbeeld technisch of menselijk falen.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
DIGITALE VEILIGHEID RANDVOORWAARDE VOOR FUNCTIONEREN MAATSCHAPPIJ
Digitale veiligheid gaat om het ongestoord kunnen functioneren van digitale diensten, processen en
onderliggende systemen. In het bijzonder: digitale veiligheid van vitale processen en voor de
(mondiale) digitale ruimte, hét digitale fundament van onze maatschappij.
De digitale ruimte en vitale processen zijn nauw met elkaar verweven. Zo geven enkele vitale
processen de digitale ruimte mede vorm, waaronder 'Internet en datadiensten’.
De digitale ruimte is de complexe omgeving die het resultaat is van de interactie tussen mensen,
software en diensten op het internet, ondersteund door wereldwijd gedistribueerde fysieke informatieen communicatietechnologie (ICT) -apparaten en verbonden netwerken. De digitale ruimte wordt ook
wel omschreven als het ‘digitale domein’ of ‘cyberspace’.
DIGITALE WEERBAARHEID NOG NIET OVERAL OP ORDE
Digitale weerbaarheid: het vermogen om digitale risico’s in voldoende mate te kunnen beheersen.

Organisaties blijken dagelijks in staat cyberincidenten te voorkomen of de impact daarvan te
verkleinen.
Digitale veiligheid nog niet over al op orde

Digitale diensten en processen zijn onderling verweven. Systemen bestaan uit vele
componenten van hard- en software en zijn verbonden met allerlei andere systemen. Er zijn
onveilige producten en diensten in de markt. ‘Gebruikers’ gedragen zich in de digitale ruimte
(onbewust) niet veilig -> introduceert potentiële kwetsbaarheden die niet alleen de
gelegenheid beiden voor cyberaanvallen, maar ook kunnen leiden tot uitval.
De toezichthouders op aanbieders van vitale processen schetsen een divers beeld. Ook blijkt
informatiebeveiliging van ministeries en sommige rijksorganisaties nog niet op orde te zijn
DIGITALE RISICO’S STAAN NIET LOS VAN ANDERE RISICO’S
Digitale risico’s van een land, sector of partij zijn met elkaar en met andersoortige risico’s verbonden.
Digitale diensten, processen en systemen maken onderdeel uit van een groter geheel, de mondiale
digitale ruimte.
Grootschalige digitale uitval zou de maatschappij nu nog meer schade berokkenen dan zonder
pandemie. Ook geopolitieke ontwikkelingen, zoals een handelsembargo, beïnvloeden digitale risico’s.
VERGROTING WEERBAARHEID BELANGRIJKSTE INSTRUMENT OM DIGITALE
RISICO’S TE BEHEERSEN
Vergroting van digitale weerbaarheid blijft het belangrijkste instrument om digitale risico’s in voldoende
mate te kunnen beheersen.


Zowel de kans dat cyberincidenten zich voordoen, als de impact ervan, kunnen zo worden
verkleind.
Digitale weerbaarheid kan vergroot worden met technische, procedurele of organisatorische
maatregelen. Andere manieren zijn bijvoorbeeld wetgeving, subsidieverlening, scholing om
gebruikers te bekwamen in veilig gedrag, voorlichtings- en bewustwordingscampagnes,
samenwerking tussen partijen en normerende kaders voor digitalisering van diensten en
processen en het ontwerp van systemen.
Er zijn diverse redenen waardoor veiligheid van de digitale ruimte niet vanzelf tot stand komt:
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen


Individuele partijen hebben lang niet altijd ‘prikkels’ om bij te dragen aan de veiligheid van het
geheel. Zo kunnen kwetsbare plekken ontstaan.
De mogelijkheden voor de Nederlandse overheid en Nederlandse partijen om mondiaal
digitale veiligheid te bewerkstelligen zijn logischerwijze beperkt.
Het vergroten van digitale weerbaarheid is zeker niet alleen een opgave voor technische experts. Het
is ook, of wellicht vooral, een vraagstuk van governance en/of risicomanagement voor bestuurders
van organisaties en (groepen van) landen.
DOEL EN HOOFDVRAGEN
Het Cybersecuritybeeld Nederland 2020 biedt inzicht in de digitale dreiging en de belangen die
daardoor kunnen worden aangetast. Het gaat ook in over de weerbaarheid tegen de digitale dreiging
en op de digitale risico’s. Het accent ligt daarbij op de nationale veiligheid.
Hoofdvragen van het CSBN 2020:





Wat is in de periode 1 januari 2019 t/m februari 2020 opgevallen over: a) cyberincidenten, b)
de weerbaarheid daartegen en c) de belangen die daardoor zijn of kunnen worden aangetast?
Welke bredere ontwikkelingen hebben naar verwachting de komende jaren invloed op digitale
veiligheid?
Welke digitale dreigingen kunnen de nationale veiligheid aantasten, van wie of wat gaan die
uit en waartegen zijn die gericht?
Welke belangen kunnen worden aangetast wanneer cyberincidenten zich voordoen, wat kan
de impact daarvan zijn en in hoeverre houden partijen daar in hun belangenafweging rekening
mee?
Wat is de mate van weerbaarheid van Nederland tegen die digitale dreigingen?
Sleutelbegrippen
Dreiging: een cyberincident dat zich kan voordoen of een combinatie van gelijktijdige of
opeenvolgende cyberincidenten. In het CSBN gaat het primair om dreigingen die nationale
veiligheidsbelangen kunnen aantasten.
Belang: waarden, verworvenheden, materiële en immateriële zaken waaraan schade kan ontstaan als
een cyberincident zich voordoet en het gewicht dat de maatschappij of een partij aan de verdediging
ervan toekent. In het CSBN ligt het accent op nationale veiligheidsbelangen.
Weerbaarheid: het vermogen om cyberincidenten te voorkomen en wanneer cyberincidenten zich
hebben voorgedaan deze te ontdekken, schade te beperken en herstel eenvoudiger te maken.
Digitale risico(‘s): de kans dat een cyberincident zich voordoet en de impact daarvan, beide in relatie
tot het niveau van de actuele weerbaarheid.
Cyberincident: alle gebeurtenissen of activiteiten die de beschikbaarheid, integriteit of
vertrouwelijkheid aantasten van informatie- en procesbesturingssystemen, daardoor verwerkte en
opgeslagen informatie en daarvan afhankelijke diensten en processen. Het kan daarbij gaan om zowel
een cyberaanval, een moedwillige activiteit van een cyberactor, als uitval door bijvoorbeeld technisch
of menselijk falen.
Digitale ruimte: de digitale ruimte is de complexe omgeving die het resultaat is van de interactie tussen
mensen, software en diensten op het internet, ondersteund door wereldwijd gedistribueerde fysieke
informatie- en communicatietechnologie (ICT) -apparaten en verbonden netwerken. De digitale ruimte
wordt ook wel omschreven als het ‘digitale domein’ of ‘cyberspace’.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Cybersecurity: het geheel aan maatregelen om schade door verstoring, uitval of misbruik van ICT te
voorkomen en, indien er toch schade is ontstaan, het herstellen hiervan.
JAARBEELD
De inzet van ransomware door criminele afpersers en het actieve misbruik van kwetsbaarheden door
statelijke en criminele actoren op. Actoren zijn nog steeds op zoek naar zwakke schakels in de
leveranciersketen als opstap naar interessante doelwitten.
Cyberaanvallen door vooral statelijke en criminele actoren







Spanningen tussen mogendheden kregen vervolg in de digitale ruimte -> cyberaanval kan
grote politieke, militaire en economische schade aanrichten.
AIVD en MIVD: digitale spionage onderkend tegen Nederland
AIVD en MIVD: digitale sabotage een van de grootste cyberdreigingen
Informatie-operaties door statelijke actoren -> hybride conflicten
Cyberaanvallen vormen aantrekkelijk verdienmodel voor criminelen
Mogelijke nieuwe vormen van samenwerking topsegment cybercriminelen
Statelijke actor combineert spionage en cybercrime
Modi operandi en ingezette middelen grotendeels gelijk gebleven



Inzet van ransomware als middel voor afpersing
Generieke malware gebruikt voor de inzet van ransomware-aanvallen
Misbruik van legitieme middelen en generieke diensten (e-maildienstverlening)
Actoren spelen in op actualiteit


Actief misbruik van diverse kwetsbaarheden
Actoren spelen in op Covid-19 pandemie
Het wijzigen van DNS-instellingen als aanvalstechniek


DNS is het netwerkprotocol dat op internet gebruikt wordt om domeinnamen naar IP-adressen
te vertalen en omgekeerd.
Door DNS-instellingen van organisaties te wijzigen, bijvoorbeeld via het hacken van een
registrar, kan inkomend netwerkverkeer tijdelijk omgeleid en onderschept worden. Dit kan
onder andere worden gebruikt voor spionagedoeleinden. Cyberaanvallen op DNS kunnen
aanzienlijke impact hebben op de integriteit van het internet.
Toename van phising via sms


Incidenten laten zien dat criminelen ook een nieuwe vorm gebruiken, namelijk phishing via
sms (smishing) of via WhatsApp. Ook spelen zij in op een toenemend gebruik van apps voor
een betaalverzoek tussen particulieren via een berichtenapp.
Niet uit te sluiten valt dat deze techniek breder wordt ingezet dan alleen voor fraude,
bijvoorbeeld voor overname van accounts als opstap voor een grotere aanval. Ook andere
actoren zouden deze techniek kunnen inzetten.
Misbruik Nederlandse ICT-infrastructuur

De Nederlandse ICT-infrastructuur wordt ook door statelijke actoren misbruikt bij
cyberaanvallen op andere landen. Nederland is hiervoor aantrekkelijk doordat de digitale
infrastructuur van hoge kwaliteit is en ICT-capaciteit relatief simpel kan worden gehuurd. Deze
vorm van misbruik kan het internationale imago van Nederland schaden en slecht zijn voor
bondgenootschappelijke belangen en de integriteit van de Nederlandse ICT-infrastructuur.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Grotere DDos-aanvallen

Het Centraal Plan Bureau (CPB) stelt dat DDoS-aanvallen een risico voor Nederland blijven
en dat de potentiële financiële gevolgen aanzienlijk kunnen zijn
Uiteenlopende doelwitten van actoren


Leveranciersketen misbruikt door gecompromitteerde ICT-producten
Uiteenlopende sectoren en organisaties doelwit, waaronder vitale
Diverse kwetsbaarheden met potentieel grote gevolgen



Kwetsbaarheden hardware met (potentieel) grote gevolgen bekend gemaakt
Nederlandse organisaties maandenlang kwetsbaar via VPN-servers
Kwetsbaarheden door ketenafhankelijkheid
Uitval met doorwerking in digitale en fysieke ketens



Onbereikbaarheid 112 illustreert ketenafhankelijkheid
Keteneffecten van storingen via of bij grote technologiebedrijven
Storingen bij Nederlandse organisaties illustreren afhankelijkheid ICT
Diverse aspecten van weerbaarheid





Perceptie van drempels door privacywetgeving
Kritiek op reactie overheid richting bedrijfsleven (overheid is zelf ook kwetsbaar)
Nederland onvoldoende voorbereid op digitale incidenten volgens WRR
Opsporingsonderzoeken
Preventieve samenwerkingsverbanden
Belangenafwegingen en zorgen afhankelijkheid buitenlandse partijen


Voorbeelden van afwegingen digitale veiligheid en andere belangen:
o Cybersecurity is een ingewikkelde afweging tussen een optimaal dienstverlenende en
een veilige overheid.
o Onderwijsinstellingen zien een dilemma tussen open toegankelijke onderwijs- en
kennisinstellingen aan de ene kant en digitale veiligheid aan de andere kant.
Nog steeds zorgen over de afhankelijkheid van buitenlandse partijen
VOORUITBLIK




Voortschrijdende digitalisering zal zowel de dreiging als de weerbaarheid beïnvloeden en het
belang van digitale veiligheid vergroten.
Oplopende geopolitieke spanningen zullen de digitale dreiging van statelijke actoren
verhogen.
Technieken en technologieën waar al langer over geschreven en gesproken wordt, zoals
kunstmatige intelligentie, zullen de komende jaren verder geïmplementeerd worden. Dit heeft
zowel positieve als negatieve consequenties voor digitale veiligheid.
Digitale veiligheid zal de komende jaren ook beïnvloed worden door de wisselwerking tussen
technologie en andere ontwikkelingen -> verdere transitie naar een datagedreven economie,
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen

met bijkomende zorgen rond privacy en digitale veiligheid, het belang van digitale veiligheid
doen toenemen.
Door de COVID-19 pandemie is het gebruik van digitale diensten en de digitale ruimte verder
toegenomen.
Thema’s CSBN 2019 nog relevant


Toepassing kunstmatige intelligentie
Dreiging vanuit statelijke actoren vergroot
Digitale veiligheid beïnvloed door verdere implementatie technologie






Voorbeeld: kunstmatige intelligentie
Onze samenleving zal steeds meer worden vormgegeven door het beleid van grote
commerciële technologie- en sociale media bedrijven -> positieve als negatieve gevolgen.
Verspreiding autonome systemen vergroot digitale kwetsbaarheid (bijv. zelfrijdende auto’s/
internet of things producten)
Slimme algoritmes hebben positief en negatief effect op digitale veiligheid
Ontstaan van grote, gekoppelde netwerken uitdaging voor weerbaarheid
Afhankelijkheid van buitenlandse technologie maakt kwetsbaarheid
Digitale veiligheid beïnvloed door ontwikkelingen


Geopolitieke spanningen werken door op mondiale ICT-markt
o Door oplopende geopolitieke spanningen en het ontstane wantrouwen in hard- en
software, producenten en dienstverleners zal het aantal vertrouwde producten en
leveranciers per land of regio mogelijk afnemen.
Maatschappelijke ontwikkelingen vergroten belang digitale veiligheid
o De verdere transformatie naar een datagedreven economie, met alle bijkomende
zorgen rond privacy en digitale veiligheid.
o COVID-19 pandemie -> dankzij digitalisering kunnen commerciële, educatieve en
sociale activiteiten die anders volledig stil zouden vallen, deels toch doorgaan. De
keerzijde van de huidige situatie, waarin veel thuis gewerkt wordt, privé-activiteiten
zich ook primair thuis afspelen en veel dienstverlening digitaal verloopt, is dat de
digitale ruimte zwaarder dan ooit belast wordt.
DREIGING
Vooral spionage, (voorbereidingen voor) sabotage en uitval van digitale diensten, processen en
systemen vormen een dreiging voor de nationale veiligheid. De dreiging is vooral afkomstig van
statelijke actoren wat betreft moedwillige kwaadaardige activiteiten (cyberaanvallen). Ook is er
dreiging van cybercriminelen, onder meer criminele afpersers.
Incidenten die staan beschreven bij het ‘jaarbeeld’ kunnen mogelijk door ontwikkelen naar dreigingen.
BELANG
Digitale veiligheid randvoorwaarde voor functioneren maatschappij
Digitale veiligheid ontstaat niet uit zichzelf


Invloed Nederland op (mondiale) digitale veiligheid beperkt
Prikkels niet (altijd) toereikend voor bijdrage aan bredere digitale veiligheid
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Wanneer een webhoster bijvoorbeeld relatief weinig aandacht zou besteden aan
veiligheid, valt zijn prijs waarschijnlijk lager uit dan concurrenten die wel veel
investeren.
Cyberincidenten kunnen zich op grote schaal, gelijktijdig of opeenvolgend voordoen.
Risico’s voor gehele digitale ruimte en doorwerking lastig te doorgronden
Gevolgen al dan niet openbaar maken kwetsbaarheden niet altijd te overzien
o



Digitale risico’s lijken te worden onderschat
De digitale weerbaarheid is nog niet overal op orde, terwijl digitale risico’s al jaren groot zijn.


Cyberincidenten: grote gevolgen, maar lastig te agenderen
Onvolledig beeld voor investeringen in digitale veiligheid
o Een eerste reden voor het onvolledige beeld is dat er meerdere adviezen en
richtlijnen circuleren over het optimale niveau van investeringen en over noodzakelijke
maatregelen.
o Een tweede reden is dat informatie ontbreekt over de omvang van digitale risico’s en
de financiële gevolgen doordat organisaties: 1) niet iedere aanval opmerken, 2) niet
iedere aanval publiek bekend willen maken en 3) niet altijd kunnen inschatten wat de
gevolgen van een aanval op de lange termijn zijn.
o Een derde reden is dat een deel van de gevolgen van inadequate cyberveiligheid bij
derden kan neerslaan, de eerder genoemde externe effecten. Ook wetenschappelijke
– vooral economische – literatuur wijst op een ‘informatieprobleem’ voor het nemen
van beslissingen over cybersecurity.
WEERBAARHEID
Onvoldoende weerbaarheid vanwege ontbreken basismaatregelen
Het is complex voor organisaties (en burgers) zich te wapenen tegen phishing, ook de afgelopen
rapportageperiode weer de meest gebruikte (eerste stap voor) aanvalsmethodes. Er bestaan
basismaatregelen om de schade te beperken:



Organisaties voeren campagnes uit onder werknemers om het bewustzijn van de gevaren van
phishing te verhogen.
De overheid startte een bewustwordingscampagne.
De inzet van security keys wordt (nog) niet beschouwd als een basismaatregel, het laat wel
zien dat het mogelijk is om de slagingskans van phishing zeer sterk te reduceren.
Organisaties beschermen zich niet (altijd) tijdig tegen kwetsbaarheden

Organisaties slagen er niet altijd in om beveiligingsupdates tijdig te installeren. Bij veel
geslaagde cyberaanvallen is gebruik gemaakt van een kwetsbaarheid die al jaren bekend is
en waarvoor ook al jaren een update beschikbaar is
Snelle detectie kan gevolgen beperken, maar over het algemeen duurt het lang

Het vroegtijdig detecteren van aanvallen is een basismaatregel. Des te eerder, des te beter.
Ook wanneer de aanvaller op minder snel succes uit is, bijvoorbeeld voor spionage, kan
snelle detectie de schade beperken.
Ontbrekende maatregelen maken geslaagde aanvallen mogelijk

Criminelen worden steeds geavanceerder in hun aanpak en statelijke actoren zetten
geavanceerde aanvalscapaciteiten breder in. Hoewel bescherming hiertegen complexer is
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
dan tegen eenvoudige aanvalsmethoden, helpen basismaatregelen ook hier wel degelijk.
Omdat die niet altijd worden getroffen, zijn organisaties extra kwetsbaar.
Basisniveau weerbaarheid niet gehaald om diverse redenen

Wel geven zij aan dat bewustwording in organisaties is toegenomen en dat dit heeft geleid tot
een toename van genomen maatregelen. Ook zien zij een verbetering op het gebied van
investeringen in cybersecurity door verschillende organisaties
Digitale weerbaarheid is weerbarstige opgave
Het ingewikkeld om de digitale weerbaarheid van een organisatie te verhogen vanwege het feiten dat
digitale diensten, processen en systemen zijn met elkaar en met fysieke processen, activiteiten en
apparaten verweven.
Negatieve effecten verwevenheid, complexiteit en connectiviteit

Aanvallers zijn zich goed bewust van de mogelijkheden van bijvoorbeeld compromittering van
de leveranciersketen, generieke diensten en veel gebruikte producten.
Onveilige producten en diensten achilleshiel digitale veiligheid

Onveiligheid ontstaat door digitale onveilige producten, het niet beschikbaar stellen van
beveiligingsupdates door leveranciers, het niet eenvoudig kunnen installeren van updates.
Compleet en scherp beeld weerbaarheid vitale processen ontbreekt (nog)


Een compleet en scherp beeld van de digitale weerbaarheid van vitale processen en
bijbehorende systemen ontbreekt (nog). Het verkrijgen van een compleet inzicht, inclusief de
mate waarin maatregelen effectief en efficiënt zijn, is complex
Basismaatregelen in relatie tot autorisaties en het doorvoeren van beveiligingsupdates lijken
niet bij alle organisaties de aandacht te krijgen die ze verdienen.
Informatiebeveiliging ministeries en rijksorganisaties niet op orde
DREIGINGSSCENARIO’S



Scenario 1a: grootschalige aanval met ransomware via de leveranciersketen
Scenario 1b: belang van basismaatregelen om impact van ransomware te beperken
Scenario 1c: probleem opgelost! Of toch niet…?
DREIGINGSMATRIX CSBN 2019
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
INFORMATIEVEILIGHEID – THE HUMAN FACTOR
E-mail blijft een populair middel voor het uitvoeren van digitale aanvallen (phising)



Ruim 90% van de malwarebesmetting vindt plaats via de mail
Dit vanwege:
o Automatische (makkelijke) handelingen
o Zwakke wachtwoorden
“Spearphishing is een variant van phishing die zich richt op één persoon of beperkte groep
mensen, die specifiek wordt uitgekozen op basis van hun toegangspositie, om een zo groot
mogelijk effect te sorteren zonder al te veel op te vallen.”
Dat die menselijke zwakheden bestaan, is onvermijdelijk. En het uitbuiten ervan is al zo oud als de
mensheid, immers, oplichterij is van alle tijden. Het grote verschil met de huidige tijd is vooral dat het
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
met zoveel gemak plaats kan vinden en op zo’n grote schaal tegelijk. Dát is wat door de digitale
wereld wordt mogelijk gemaakt.
Waarom aandacht besteden aan The Human Factor bij informatieveiligheid?
1. Inzicht in mens als faalfactor, waar en waarom gaat het mis in de informatieveiligheid?
2. Hoe zou je mensen/doelgroepen kunnen beïnvloeden om zich veiliger te gedragen?
Social Engineering = digitale oplichterij waarbij misbruik wordt gemaakt van de psychologische
zwakheden van de mens
Outside-in threats: dreigingen die van buitenaf komen die een bedreiging vormen voor de
informatieveiligheid






Ransomware
Phising/spear phising
Impersonation/ CEO spoofing
Tailgaiting
Shoulder surfing
Baiting (usb-stick)
Top 10 technieken gebruikt bij Social Engineers:
1. Pretexting: vals motief waarbij informatie van het slachtoffer gebruikt wordt om meer
informatie te verkrijgen.
2. Phising: d.m.v. het versturen van bulk mails achter wachtwoorden, gebruikersnamen,
creditcard informatie te komen.
3. Water-Holing: de crimineel verzameld informatie over een website -> test de kwetsbaarheden
van de website -> over tijd raken medewerkers van de website besmet en kan de crimineel in
het beveiligingssysteem van website.
4. Quid Pro Quo: ‘iets voor iets’ -> slachtoffer denkt dat hij profiteert van de IT installatie door
een ‘crimineel’, terwijl achter het rug om van de slachtoffer malware wordt geïnstalleerd ->
wordt gehackt.
5. Honeytrap: een list dat een man online chat met een aantrekkelijke vrouw.
6. Diversion Theft: professionele criminelen die d.m.v. oplichterij -> Het doel is om het bedrijf te
misleiden om de levering ergens anders te doen dan de beoogde locatie
7. Spear Phising: een variant van phishing die zich richt op één persoon of beperkte groep
mensen, die specifiek wordt uitgekozen op basis van hun toegangspositie, om een zo groot
mogelijk effect te sorteren zonder al te veel op te vallen
8. Baiting: een slachtoffer actie laten ondernemen waardoor hij/zij besmet raakt met een virus
(bijv. door een USB-stick achter te laten met een interessante label)
9. Tailgating: een tailgater wacht tot een geautoriseerd persoon inlogt en volgt deze persoon
direct.
10. Rogue: security software die doet alsof het malware verwijderd maar stiekem wordt juist de
computer overgenomen.
Red Flags Social Engineering







Vreemd e-mail adres
Mail is ook verzonden naar andere e-mail adressen die je niet kent
Hyperlinks
Als er wordt aangegeven op een bepaalde link te drukken
Vreemd onderwerp
Datum en tijd -> midden in de nacht of ’s avonds is een gekke tijd om mail te ontvangen
Was je op de hoogte dat je deze mail zou ontvangen?
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Inside-out threats: dreigingen van binnenuit die een bedreiging vormen voor de informatieveiligheid







Computers niet vergrendeld
Papieren bij de printer
Contracten op bureau
Niet aansprekend van onbekenden
Bestanden naar prive-email
Gesprekken in openbaar
Vertrouwelijke papieren in prullenbak (fysiek of digitaal) -> dumpster diving
Fasen van social engineering aanval
Bewust gedrag: Theory of planned behavior



Attitude: wat vind ik er zelf van?
Subjectieve norm: hoe is het gedrag van anderen ten aanzien van het onderwerp dat aan de
orde is.
Perceived behavioral control: ben ik in staat het gedrag te vertonen?
Cognitieve dissonantie theorie
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen

Emoties en attitudes
o Angst wordt veel gebruikt – ook in security awareness
o Effectiever als opgevolgd door relevante informatie
o Teveel angst -> mensen haken af
Gedachtengoed van Kahneman


Twee routes als wij als mensen informatieprikkels moeten verwerken:
o ‘langzame route’: is de bewuste, afgewogen, gemotiveerde wijze van het verwerken
van de informatieprikkel, doorgaans leidend tot een bewuste respons (gedrag).
Wanneer de aangeboden informatieprikkels betrekking hebben op iets wat geleerd
moet worden, of iets waarin de verwerker overtuigd moet worden, dan is bij déze
route de kans het grootst dat een blijvende/langdurige gedragsverandering de
uitkomst is
o ‘snelle route’: Bij de ‘snelle route’ neemt ons brein een aantal ‘shortcuts’ juist om het
snel te kunnen verwerken. Het toepassen van de ‘snelle route’ is doorgaans iets wat
je ‘automatisch’ doet, het is geen bewuste keuze, je hebt het al gedaan voordat je het
door hebt. Wanneer déze route aan de orde is, zal er over het algemeen géén sprake
25 zijn van een blijvende of langdurige gedragsverandering. De verwerking van de
informatieprikkel is oppervlakkig, er ‘blijft weinig hangen’. Maar er zijn wel factoren die
dat dan toch nog kunnen beïnvloeden.
 De zogenaamde ‘perifere cues’. Dat zijn factoren die meer contextueel aan de
informatieprikkel zijn (dus niet per se de informatieprikkel zélf), en door hun
aanwezigheid (of juist afwezigheid), invloed hebben op het verwerkingsproces
in ons brein, en de uiteindelijke gedragsverandering.
Voorbeelden perifere cue:
o Het aantal keren dat een boodschap herhaalt wordt, het medium dat gebruikt wordt
om de boodschap te communiceren, de aanwezigheid van zaken die afleiden, of
zoals in de sheet te zien is, lengte van de boodschap of expertise van de
boodschapper
De Pavlov-reactie -> conditioneren/assertief leren

Door herhaaldelijke blootstelling aan een boodschap waarin een neutraal object (de
‘conditioned stimulus’) wordt geassocieerd met een stimulus die een emotionele of fysieke
respons oplevert (de ‘unconditioned stimulus’), bijvoorbeeld een geur, een geluid, of de
afbeelding van iets dierbaars of aaibaars, zal na verloop van tijd het neutrale object
geassocieerd worden met de eigenschappen die van de erbij aangeboden stimulus.
Nudging
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen

Nudging: het efficiënt en goedkoop beïnvloeden van het keuzegedrag van mensen, het geven
van een duwtje in de ‘goede’ richting
Principes van Cialdini
1)
2)
3)
4)
5)
6)
7)
C2
Wederkerigheid
Commitment en consistentie
Sociale bevestiging en bewijskracht
Sympathie
Autoriteit
Schaarste
Eenheid
C6 BIG DATA EN MAATSCHAPPELIJKE EFFECTEN DIGITALISERING
OPWAARDEREN BORGEN VAN PUBLIEKE WAARDEN IN DE DIGITALE
SAMENLEVING (H2 DE NIEUWE DIGITALE GOLF)
Digitaliseren: informatie omzetten in digitale vorm.
Met het omzetten van informatie in digitale vorm krijgt informatie andere eigenschappen. Er zijn
nieuwe dingen mogelijk. Door digitalisering valt informatie makkelijker te transporteren, manipuleren
en integreren.
Objecten van digitalisering
Digitalisering dringt door tot ieder aspect van ons leven: technologie nestelt zich in ons (bijvoorbeeld
via hersenimplantaten), tussen ons (via sociale media als Facebook), weet steeds meer over ons (via
big data en technieken als emotieherkenning), en weet zich steeds beter te gedragen als ons (robots
en software vertonen intelligent gedrag en kunnen emoties nabootsen).
De verwevenheid van ICT met andere technologieën maakt duidelijk dat allerlei verschillende
aspecten uit ons leven digitaliseren. Drie ‘werelden’:
1. de materiële wereld (zoals het productieproces, de openbare ruimte en ons huis);
2. de biologische wereld (zoals het menselijk lichaam, het brein en ons gedrag);
3. de socio-culturele wereld (zoals communicatie, culturele producten en organisaties)
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Materiële wereld

Productieproces
o Eind jaren zeventig: mechanische robotarmen
o Jaren tachtig & negentig: ICT drong door als middel om het productieproces te
optimaliseren en verspilling van bijvoorbeeld materiaalgebruik tegen te gaan.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
o
o
o
o
o
o
o
Inzet ICT ging gelijk met globalisering van de economie
Gehele keten optimaliseren door productietaken in deeltaken op te knippen -> leidde
tot specialisering (outsourcing) en verplaatsing (offshoring)
Maatwerk mogelijk -> producten zelf ontwerpen en online bestellen (Nike)
Sinds 2000 is het productie- en dienstenproces met nieuwe digitale middelen steeds
nauwkeuriger te volgen -> dataverzameling en technieken voor monitoring en analyse
staat centraal
 D.m.v. Big Data steeds meer informatie beschikbaar over alle onderdelen van
de waardeketen, waardoor die nog efficiënter te organiseren is.
De mogelijkheden tot dataverzameling, monitoring en analyse komen samen in
toekomstbeelden -> ‘slim’ of Internet of Things.
 Een Internet of Everything: slimme energienetwerken, smart mobility (onder
andere de zelfsturende auto), digitale oliewinning, robotmijnbouw, smart
farming en slimme steden.
Inzet van nieuwe generatie robots -> capaciteiten nemen toe, dankzij betere
zichtsystemen, navigatiesystemen en vorderingen in de kunstmatige intelligentie .
Geavanceerde 3D-scanningstechnologieën maken het mogelijk om fysieke objecten
om te zetten in eindeloos reproduceerbare digitale 3D-modellen.

Leefomgeving en openbare ruimte
o Eind van de jaren negentig introduceren gemeenten en bedrijven
beveiligingscamera’s in openbare ruimtes en bedrijventerreinen.
o In Nederland was Ede in 1997 de eerste gemeente die camera’s plaatste.
o In de jaren daarna volgen camera’s ons wegennet, het openbaar vervoer en private
ruimtes zoals winkels en bedrijven. Tegelijk met camera’s doet ook andere digitale
apparatuur zijn intrede in de openbare ruimte, zoals navigatie-apparaten, de ovchipkaart en digitale stationspoortjes.
o Door middel van smartphones, mobiel internet en sociale media raken de fysieke en
virtuele wereld steeds nauwer met elkaar verweven.
o Deze verwevenheid krijgt een nieuwe dimensie met de introductie van technieken als
virtual reality en augmented reality.
o Door allerlei sensoren kunnen overheden, bedrijven en bewoners gedetailleerd inzicht
krijgen in processen in de stad -> ‘de slimme stad’

Huis
o
o
Via het Internet of Things krijgen allerlei huishoudelijke apparaten een internetadres.
Ze worden ‘aan het net’ gehangen en krijgen sensoren, rekenkracht en
communicatiemogelijkheden
Het begrip Internet of Things stamt uit begin 2000, toen elektronicafabrikant LG een
koelkast presenteerde die zijn inhoud zelf inventariseerde en automatisch contact
zocht met de supermarkt om nieuwe voorraden te bestellen
Let op! Twee centrale technologieën die naar verwachting een belangrijke rol gaan spelen bij
het vormgeven van de digitale samenleving de komende jaren:


Ontwikkelingen in robotica: robots kunnen steeds complexere taken uitvoeren. Ze krijgen
beter zicht (3D-beeld), kunnen beter navigeren en zich bewegen, en slimmer interacteren met
mensen. Robots zijn nu te vinden in fabriekshallen, maar de verwachting is dat sociale robots
een rol zullen gaan spelen in kantoren, schoolgebouwen, ziekenhuizen, restaurants en de
thuisomgeving.
Internet of Things / slimme omgevingen: objecten worden in toenemende mate uitgerust
met een internetverbinding, sensoren, rekenkracht en communicatiemogelijkheden. Zo
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
verzamelt het object gegevens over zijn omgeving, die het kan delen met andere objecten
(machine 2 machine communicatie) om processen aan te sturen, of in de cloud analyseert om
informatie of diensten ‘op maat’ aan te bieden.
Biologische wereld

Het menselijk lichaam
o Digitalisering van het lichaam begon decennia geleden met de inzet van medische
apparatuur die het lichaam ‘digitaal’ kunnen uitlezen (röntgenbeelden, CT-scans).
o Human Genome Project: project startte in 1990 en bracht de structuur van het
menselijk DNA in kaart.
o In de gezondheidszorg wordt bij het vinden van een oorzaak bij een ziektebeeld
gebruik gemaakt van Next Generation Sequencing om goedkoop en snel DNA af te
lezen.
o De huidige generatie smartphones en apps bieden hulp aan mensen om zelf hun
bloeddruk, glucose, hartslagvariabiliteit en stressreacties te monitoren.

Het brein
o Wetenschappers werken met behulp van deep brain stimulation (DBS) aan
breinimplantaten om bijvoorbeeld de trillingen van Parkinsonpatiënten te verminderen.
o Wetenschappers werken ook aan andere toepassingen van DBS, bijvoorbeeld om
depressie te verhelpen.
o In het consumentendomein komen brain-computer interfaces op de markt waarmee
gebruikers zelf hun hersengolven kunnen analyseren en hun cognitieve vermogens
proberen te verbeteren.
o Do-it-yourself neuro-enhancers proberen met elektrische golven hun eigen
breincapaciteit te vergroten of trainen hun concentratie met feedback over patronen in
hun hersengolven.
o Gezichts- en emotieherkenning zijn onderdeel van een reeks nieuwe
identificatiemogelijkheden op basis van het menselijk lichaam, naast bekende
methoden als de vingerafdruk en de irisscan.

Het menselijke gedrag
o Uit ons digitale surfgedrag valt allerlei informatie af te leiden. Dit komt door de
combinatie van grote hoeveelheden digitale, persoonlijke gegevens en slimme
software om die gegevens te analyseren.
o Na het herkennen en het analyseren van menselijk gedrag, is het beïnvloeden van
gedrag een volgende stap -> het onopgemerkt personaliseren van zoekgedrag door
zoekmachines als Google is een voorbeeld van subtiele beïnvloeding.
o Nudging: technologische gedragsverandering waarbij gebruikers worden aangezet tot
gedragsverandering.
Let op! Twee centrale technologieën die naar verwachting een belangrijke rol gaan spelen bij
het vormgeven van de digitale samenleving de komende jaren:


Multimodale biometrie: Biometrie is een manier om mensen uniek te identificeren, met
behulp van verschillende identifiers van het menselijk lichaam: vingerafdruk, iris, stemgeluid,
gezicht, oorschelpen, hartritme of looppatroon. De toekomstverwachting is dat door het
combineren van deze verschillende modaliteiten, het identificeren van mensen makkelijker
wordt. De technologie kent ook andere toepassingen, bijvoorbeeld als beveiliging.
Persuasieve technologie: heeft als doel om het menselijk gedrag te beïnvloeden en te
veranderen. De methoden voor beïnvloeding worden steeds subtieler
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Socio-culturele wereld

De digitalisering van communicatie en cultuur
o De komst van sociale media en andere online diensten eind de jaren negentig en na
de eeuwwisseling hebben grote impact op onze manier van communiceren
o We vergroeien met onze smartphone, die dé verbinding vormt tussen het fysieke en
virtuele leven - het onderscheid tussen offline en online leven is niet meer te maken;
ze zijn één geworden.
o Recente ontwikkelingen in virtual reality en augmented reality dragen ook bij aan deze
versmelting.
 Via virtual reality (VR) kunnen gebruikers virtuele ervaringen ‘echter’ of beter
voelen.
 Via augmented reality (AR) kunnen gebruikers real-time extra informatie
krijgen.
o Ook culturele producten en diensten digitaliseren: muziek, boeken, films en spellen
zijn geheel digitaal te maken, te distribueren, te beluisteren, te lezen, te bekijken en te
spelen. Slimme aanbevelingstechnologie, gebruikmakend van big data en inzichten
uit de kunstmatige intelligentie, helpt mensen bij het maken van een keuze uit het
enorme aanbod.

De digitalisering van organisatiemodellen
o Organisatiemodellen veranderen doordat interactie tussen organisaties en
consumenten steeds meer digitaal plaatsvindt.
o Ook de overheid hanteert sinds een paar jaar als uitgangspunt ‘digitaal als het kan,
persoonlijk als het moet’.
o Vanaf de eeuwwisseling ontstonden er digitale organisatiemodellen die een centrale
rol speelden in het organiseren en faciliteren van transacties in de economie en
maatschappij.
 Zo ging er een innovatieve impuls uit van appstores doordat
softwareontwikkeling via dit platform toegankelijk werd voor kleine
onafhankelijke spelers.
o Blockchaintechnologie: deze technologie maakt het mogelijk om zogenaamde
autonome organisaties te ontwikkelen: organisaties die volledig uit bits en bytes
bestaan. De technologie kan een set van afspraken en taken automatiseren en zo de
functie van een bepaalde organisatie overnemen.
Let op! Twee centrale technologieën die naar verwachting een belangrijke rol gaan spelen bij
het vormgeven van de digitale samenleving de komende jaren:


De verdere ontwikkeling van sociale media, onder andere via technieken als virtual
reality en augmented reality: via sociale media en onze smartphone versmelten het virtuele
en fysieke leven. Een volgende stap voor deze versmelting is het toepassen van virtual reality
en augmented reality.
Digitale platformen incl. blockchaintechnologie: Digitale organisatiemodellen vormen een
steeds belangrijkere rol in het organiseren en faciliteren van transacties in de economie en
maatschappij. Overal ontstaan nieuwe digitale platformen die verstorend werken voor ‘oude’
organisatiemodellen.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Digitale wereld

Big data en algoritmen
o De data zijn bijvoorbeeld afkomstig van camera’s, smartphones, tablets en andere
draagbare apparaten, of van browsers en sociale netwerken.
o Elke dag uploaden gebruikers bijvoorbeeld meer dan tien miljoen nieuwe foto’s naar
Facebook. Andere databronnen zijn clouddiensten, en de toenemende toepassing
van sensoren in producten en machines, die non-stop in verbinding staan met het
internet.
o Die almaar uitdijende digitale wereld betekent ook dat we steeds afhankelijker zijn van
slimme algoritmen (software) om informatie te halen uit alle bits en bytes.
Dataverzamelingen en data-analyses worden steeds complexer van aard

Kunstmatige intelligentie
o Dataminingtechnieken (data analytics) en kunstmatige intelligentie (met name
technieken als deep learning) profiteren enorm van de grote hoeveelheden gegevens
die de afgelopen jaren beschikbaar zijn gekomen.
o De data vormen trainingsbestanden voor zelflerende software: hoe meer data de
software krijgt, hoe slimmer die wordt.
Let op! Twee centrale technologieën die naar verwachting een belangrijke rol gaan spelen bij
het vormgeven van de digitale samenleving de komende jaren:


Big data en algoritmen: om informatie (verbanden en patronen) te halen uit de groeiende
digitale wereld, zijn algoritmen steeds belangrijker.
Kunstmatige intelligentie: kunstmatige intelligentie – het geven van een vorm van
intelligentie aan een systeem – ondersteunt allerlei technologische toepassingen (bijvoorbeeld
in de robotica, taalverwerking of slimme omgevingen), en vindt haar weg in steeds meer
softwaretoepassingen.
De vier werelden bijeen: een nieuwe fase in de digitale samenleving
Er ontstaan door de verknoping van de vier werelden continue feedback-loops tussen de fysieke en
digitale wereld die op allerlei terreinen zichtbaar zijn: het productieproces, de omgeving, het lichaam,
en ons gedrag.
Het is recent steeds makkelijker geworden om op steeds gedetailleerder niveau, real-time in te
interveniëren in de fysieke wereld. Daarmee lijken ze een nieuwe fase in de ontwikkeling van de
digitale samenleving in te luiden; een fase waarin een cybernetische loop ontstaat tussen de fysieke
en de digitale wereld.


Dat betekent dat processen in de fysieke wereld worden gemeten, die hieruit voortkomende
data wordt geanalyseerd, en er vervolgens real-time op gedetailleerd niveau wordt
ingegrepen.
Het effect van de interventie kan vervolgens weer worden gemeten, geanalyseerd en worden
bijgesteld om weer een volgende cyclus van de cybernetische loop te doorlopen.
We zien daarmee een terugkeer van het zogenaamde ‘cybernetische denken’ dat in de jaren ’50 en
’60 in de belangstelling stond. De basisgedachte van de cybernetica is dat biologische, sociale en
cognitieve processen begrepen kunnen worden in termen van informatieprocessen en -systemen, en
dus ook digitaal zijn te programmeren en aan te sturen.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Digitale sturing biedt kansen: van goedkoper of duurzamer produceren, tot het vroegtijdig opsporen of
voorkomen van ziektes. Maar het leidt ook tot zorgen, bijvoorbeeld over het manipuleren van
menselijk gedrag en over wat ons mens maakt.
C6 HC BIG DATA EN MAATSCHAPPELIJKE EFFECTEN DIGITALISERING
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Materiële wereld

Internet of things:
o Brandmelder
o Luidspreker
o Babyfoon
o Beveiligingscamera
o Lampen
o Tandborstel
o Thermostaat
Biologisch




Digitalisering begon met aflezen van röntgen en CT-scans
Emotie herkenning
Gezichtsherkenning
Persuasieve technology
o Simpel voorbeeld: de piep als je je gordel niet om hebt
o Technologie past argumenten toe waar de ontvanger gevoelig voor is
Sociaal-culturele wereld



Sociaal verkeer speelt zich meer online af
o Bijkomend voordeel: minder jeugdcriminaliteit
VR en augmented reality
Organisatie modellen veranderen
Gezichtsherkenning




Veelplegers bij de rode winkel
Vrienden automatisch herkenning op foto’s
Voorkomt identiteitsfraude
Stuk veiliger dan een pincode
Geschiedenis predictive policing



Voor het eerst toegepast in Los Angeles
Ook eerste onderzoeken zijn daar gedaan
Predpol is als commercieel bedrijf verbonden aan meer dan 100 politiekorpsen (maar daar
kom je in de VS ook wel snel aan
Werkt het?


Ja! Sommige onderzoeken uit de VS, GB en Amsterdam zeggen van wel: de systemen
redelijk nauwkeurig in staat zijn om criminaliteit te voorspellen en de criminaliteit zou hiermee
kunnen dalen.
Nee! Sommige studies meten geen significante effecten op trends in criminaliteitscijfers en
anderen wijzen erop dat het überhaupt lastig is om een criminaliteitsdaling toe te schrijven aan
predictive policing.
Criminaliteits Anticipatie Systeem (CAS)
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen




Deelt kaart op in rastervakken van 125 bij 125 meter.
Theorie van “near repeats” een vergelijkbaar misdrijf zal binnen korte tijd in dezelfde buurt
plaatsvinden.
Cellen worden ingekleurd geel, oranje, rood: Rood zijn gebieden met een hoog risico.
Input is o.a.:
o Afstand tot woning verdachte
o Afstand tot snelwegoprit
o Bedrijven, horeca etc.
o Sociaal economische gegevens
o Historische data m.b.t. criminaliteit
o Wat is er in dat raster de afgelopen 2 jaar is gebeurt?
Ervaringen met CAS in de praktijk



Agenten op straat:
o (I) twijfelen over de effectiviteit en betrouwbaarheid;
o (II) contextgebonden kennis belangrijker vinden;
o (III) politiewerk ruimer zien dan criminaliteitsbestrijding en als gevolg daarvan;
o (IV) zelf prioriteiten stellen.
Specifiek Nederlands probleem: Agenten geven geen inzicht in hun dagelijkse activiteiten.
Conclusie: CAS kan worden ingezet als onderdeel van het proces binnen de politie. Niet
alleen de gegevens zijn belangrijk maar vooral ook hetgeen de agenten ermee doen.
PREDICTIVE POLICING: POLITIEWERK AAN DE HAND VAN VOORSPELLINGEN
De Nederlandse politie heeft dankzij de omvorming tot Nationale Politie toegang tot alle landelijke,
regionale en lokale databronnen met betrekking tot criminaliteit en is daarmee een
‘informatieorganisatie’ geworden.
Door verbeterende analysetechnieken, visualisatietools en computerkracht kan zij deze ‘Big Data’
inzetten om criminaliteit te voorspellen en op basis daarvan op te treden.
Predictive policing: politiewerk doen aan de hand van voorspellingen



Reden: Politie beschikt over veel digitale gegevens over misdaden uit het verleden, die met
verfijnde algoritmen en diepe analyse een goudmijn vormen voor het voorspellen van
criminaliteit.
Gevolg: Politie kan aanwezig zijn op plaatsen waar de kans op een volgend incident het
grootst is.
De hoeveelheid beschikbare data blijft exponentieel groeien als gevolg van
databasekoppelingen met veiligheidspartners en ontstaan van het ‘Internet of Things’, waarbij
alles en iedereen aan het internet gekoppeld is (‘Big Data’).
Criminologie:



Routine activity theory: criminelen zullen toeslaan op die locatie waar de virtuele cirkels rond
criminelen en geschikte slachtoffers elkaar overlappen.
o Steeds dezelfde gebieden worden getroffen, als er geen maatregelen worden
genomen.
Rational choice theory: criminelen kiezen een locatie waar de afweging tussen risico
(pakkans) en buit zo gunstig mogelijk is.
Crime pattern theory: criminelen zullen nooit te dichtbij hun eigen huis toeslaan, maar altijd in
een buurt die ze kennen, vlakbij huis, werk, sportschool of op de weg daarnaartoe.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen

Blended theory: combinatie van de vorige drie, een crimineel zal toeslaan op een locatie langs
zijn ‘activiteitenroutes’, maar niet te dicht bij huis en daar waar de afweging tussen buit en
pakkans positief is.
Predictive policing: theorieën worden vaak niet gebruikt en er wordt vooral uitgegaan van ‘near
repeats’.

Near repeats: in de buurt van een incident zal vaak nog een incident volgen zolang er niets
verandert.
De Nationale Politie kan door predictive policing en Big Data met elkaar te combineren een invulling
geven aan ‘’meer doen met minder middelen’. Het huidige informatiegestuurd optreden van de politie
(intelligence-led policing) professionaliseert en ontwikkelt zich door naar predictive policing, waarbij
niet alleen gehandeld en gestuurd wordt op basis van informatie uit het verleden, maar ook
gehandeld, gestuurd én geanticipeerd wordt op basis van voorspellingen.
Criminaliteits Anticipatie Systeem (CAS)



Oorsprong van CAS ligt bij politie Amsterdam.
Diverse politiekorpsen gebruiken CAS voor het voorspellen van high impact crimes
(woninginbraak, straatroof en overvallen).
Een gebied wordt ingedeeld in vakken van 125 bij 125 meter. Resultaat is dat de vakjes op de
kaart indicatief worden ingekleurd, een heat map, waarin hoge scores een warme kleur
krijgen.
Betrouwbaarheid



Andere softwarepakketten kijken naar near repeats en naar tijdsaspecten (spatiotemporele
analyse) en trends, zoals verplaatsing, seizoenen, weekdagen of weekend en specifieke
tijdsstippen.
o Ook wordt gekeken naar kenmerken als omgevingsfactoren, weersvoorspellingen,
afstanden tot vluchtwegen (aantrekkende werking) en locaties van politiebureaus
(afstotende werking).
Betrouwbaarheid voorspellingen: afhankelijk van de voorspelbaarheid van de criminelen.
o Veelvoorkomende criminaliteit valt goed te voorspellen.
o Grote veranderingen in gedrag (de modus operandi) of omgeving (nieuwe ‘markten’)
zonder directe aanleiding zijn eerder uitzondering dan regel.
Betrouwbaarheid en validiteit is afhankelijk van:
1. De hoeveelheid incidenten binnen een vakje op de kaart.
- Het gemiddelde van een groep zegt meer dan van een individu.
2. De hoeveelheid informatie die het herbergt.
- Informatie -> databronnen, kennis en expertise over gedrag.
- Bijv. modellen die uitgaan van near repeats zullen beter werken dan modellen die
dergelijke kennis niet meenemen.
- Het gaat met name om de kwaliteit van bronnen en minder van de hoeveelheid
bronnen die door data-experts en analisten aan het systeem worden toegevoegd.
Voorspelkracht en effectiviteit



Voorspellingen geven enkel een kans aan en geen vaststaand feit.
Meer gerichter blauw op straat is de theorie achter predictive policing.
Politie in Noordrijn-Westfalen kritische over de effecten van predictive policing, omdat de
positieve cijfers en gemeten effecten veelal worden geleverd door softwareleveranciers of
politiekorpsen die baat hebben bij het presenteren van gunstige cijfers.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen

Predictive policing richt zich nu nog vooral op veelvoorkomende delicten waar een klein aantal
mensen een rol in speelt. Maar op termijn, als de politie beschikt over meer informatie en
betere databronnen, valt te verwachten dat het systeem ook andere delicten kan voorspellen,
zoals liquidaties in de onderwereld of een radicaliseringsproces.
Risico’s


Voordeel predictive policing: politie kan hiermee efficiënter en effectiever op de juiste plaats
ingezet worden.
Nadelen/risico’s predictive policing:
1.Politie kan te veel focussen op algoritmen en via deze weg (onschuldige) mensen
oppakken.
2.Systeem wordt te complex en niet meer door mensen begrepen.
 Human in the loop by design is de essentie van het principe want de mens is
de belangrijkste schakel in de toepassing van predictive policing.
 Het systeem doet de basiszaken, de mens bepaalt wat er mee gebeurt.
3.Nadeel menselijke factor: de data in systemen geven een fout beeld en algoritmen
kunnen dus foute voorspellingen doen.
4.Leveranciers die geven geen transparantie in hoe de systemen en hun algoritmen
werken omdat hun concurrentiepositie dan gevaar loopt.
5.Predictive policing-systemen slaan informatie plat tot vakjes en cirkeltjes op een kaart,
terwijl academici al honderden jaren onderzoek doen naar waarom mensen crimineel
worden en hoe ze zich dan gedragen.
6.Privacy: Enerzijds omdat voorspellend politiewerk inbreuk kan maken op de
persoonlijke leefomgeving van mensen. Anderzijds zijn er veel gegevens bekend die
ertoe doen en voorspellingen beter maken, maar die niet gebruikt of gekoppeld mogen
worden om redenen van privacy.
7.De valkuil om vooral te blijven werken aan technologische ontwikkelingen en betere
computervoorspellingen, terwijl het veel belangrijker is om na te denken over de vraag
hoe de politie effectief aan de slag kan gaan met enigszins betrouwbare voorspelingen.
Prescriptive policing
Om inzicht te krijgen in het voorkomen van misdrijven zal de politie het effect van een voorspelling en
de daaropvolgende inzet moeten gaan meten. Op deze manier leert de politie welke inzet het beste
werkt in welke situatie. Politiewerk verschuift daarmee van predictive policing naar effect-led policing.
Als die kennis over de effectiviteit van interventies wordt toegevoegd aan het systeem, verschuift het
politiewerk van effect-led policing naar prescriptive policing.
Prescriptive policing: het systeem kan dan niet alleen voorspellingen doen, maar op basis van data
uit het verleden ook adviseren over welke politie-inzet in de gegeven situatie het meest effectief zal
zijn.

Prescriptive policing werkt alleen als het is toegespitst op een specifiek gebied. Als het
systeem kan bepalen waarom iets op sommige plaatsen wel werkt en op andere plaatsen niet,
dan kan dat geëxtrapoleerd worden naar andere gebieden.
Human in de loop by design
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Er is een juridisch argument om ‘human in de loop by design’ toe te passen: de Wet bescherming
persoonsgegevens stelt in artikel 42 lid 1 dat ‘niemand kan worden onderworpen aan een besluit
waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft, indien dat
besluit alleen wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens
bestemd om een beeld te krijgen van bepaalde aspecten van zijn persoonlijkheid’.
Implementatie
Het doel van predictive en prescriptive policing is misdrijven voorkomen door agenten effectief
preventief in te zetten.








Dat vergt een cultuuromslag, waarbij het voorkomen van slachtoffers voortaan centraal staat.
Het ‘reactief en op heterdaad oppakken’ verandert in ‘proactief voorkomen’.
Deze omslag vraagt om sterk intern leiderschap en sturing.
De politie wordt niet meer beloond voor haar inzet, maar voor het effect dat zij bereikt.
De implementatie gaat niet alleen over de organisatiecultuur, maar ook over politiemensen,
hun competenties en hun samenwerking met de voorspellende software.
Daarnaast gaat het over processen, taken, besluitvorming en manier van leidinggeven.
Tijdens de implementatie zal veel aandacht uitgaan naar de juiste informatiebronnen en
integriteit van data.
Tot slot speelt techniek een rol in de implementatie, waarbij de ICT-architectuur ingericht moet
worden op deze nieuwe werkwijze, de juiste software geselecteerd en aangeschaft moet
worden en agenten op straat de juiste tools krijgen aangereikt.
Alles hangt met elkaar samen. Daarom vraagt de implementatie om een integrale benadering van
doel, mens en organisatie, proces, informatie en techniek. Daarbij onderscheiden we vier
implementatieniveaus: intelligence-led policing (informatiegestuurd optreden), predictive policing
(voorspellen), effect-led policing (effectmeting) en prescriptive policing (contextgestuurde adviezen).
Deze vier niveaus hebben we in dit artikel toegelicht.
C6
C7 INFORMATIEVEILIGHEID CYBERCRIME
15-3-2021
Wat is Cybercrime?

“Cybercriminaliteit omvat alle strafbare gedragingen waarbij ICT-systemen van wezenlijk
belang zijn in de uitvoering van het delict.”
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Strafbaarstelling cybercrime




Iets is pas een misdaad zodra dit strafbaar is gesteld (strafrechtelijk).
Bij innovatieve vormen van criminaliteit kan er een ‘gap’ zijn tussen de opkomst van daden en
hun strafbaarstelling.
Veel uitingen van cybercrime passen onder bestaande strafwetten (soms met kleine
aanpassingen).
Rol wetgevende macht om de ontwikkelingen in de misdaad bij te houden en waar mogelijk
voor te zijn.
Cybercrime in brede & enge zin


In brede zin:
o Gedigitaliseerde criminaliteit
o Computer-assisted: voorheen analoog, maar nu hoofdzakelijk digitaal.
 O.a. CEO-fraude
o Computer-enabled: kan alleen fysiek bestaan, maar wordt ondersteunt door ICT.
 O.a. drugshandel
In enge zin:
o Computer focussed
o ICT doelwit, met behulp van ICT
 O.a. hacking, DDos-aanvallen, ransomware
 CSBN beperkt zich tot deze vorm
Vormen cybercrime: wat is er allemaal?


In enge zin:
o Hacken
o Computervredebreuk
o Ethisch hacken
o Malware
o Ransomeware
o Banking walware
o Botnets
o DDos-aanvallen
In brede zin:
o Internetoplichting
o Online drugshandel
o Witwassen en virtuele valuta
o Online zedendelicten
o Kinderpornografie
o Sexting
o Grooming
o Sextortion
o Wraakporno
Hacken (computervredebreuk)


Het opzettelijk (tegen willens en wetens) en wederrechtelijke (in strijd met de wet)
binnendringen in een geautomatiseerd werk.
Doel o.a. gegevens overnemen of publiceren.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen


Kan op verschillende manieren, namelijk:
1. Door misbruik te maken van kwetsbaarheden in de computersoftware.
2. Via een slimme list (bijv. meekijken bij inloggen).
3. Met op internet aangeboden inloggegevens van een account.
4. D.m.v. computerkracht om een wachtwoord te kraken (brute force attack).
Strafbaar gesteld onder 138 ab Wetboek van Strafrechten.
Actueel voorbeeld:
“100 miljoen dollar aan cryptomunten gestolen van beroemdheden”
“Cyberaanval op Uva HvA: ‘Toegang derden tot ICT-systemen’”
Ethisch hacken




Computersystemen en netwerksystemen testen op hun veiligheid, zonder toestemming van
de eigenaar.
Doel niet een strafbaar feit te plegen, maar zwakte in de beveiliging aantonen.
Kan wel besloten worden tot overgaan tot vervolging.
Rechter kijkt of hack proportioneel (er is niet vaker computervredebreuk gepleegd en er zijn
niet meer gegevens overgenomen dan nodig was om het doel te bereiken) en subsidiair
(waren er minder vergaande manieren voorhanden om hetzelfde doel te bereiken?) was.
Malware & Ransomware






Kwaadaardige software, o.a. virussen, wormen en Trojaanse paarden.
Software die een computer “infecteert”
Vereist een handeling van de gebruiker, bijv. het openen van een bijlage in een mail.
Ransomware (op afstand versleutelen) meest populair vorm malware onder cybercriminelen
volgens Europol (iOCTA, 2017).
Alleen tegen betaling worden gegevens weer vrijgegeven
Strafbaarstelling onder afpersing, gegevensaantasting en soms ook oplichting.
Actueel voorbeeld:
“Universiteit Maastricht kampt met ransomware-aanval”
DDos-aanvallen




Heel veel computers bezoeken tegelijkertijd een andere computer (server of website) met
overbelasting als gevolg.
Populair onder tieners (gaming en examens) maar ook bij doorgewinterde cybercriminelen
voor afpersing.
DDos-aanvallen online te koop, met enkele muisklikken grote impact.
Strafbaar onder artikel 138b Strafrecht: “het opzettelijk en wederrechtelijk toegang tot het
gebruik van een computer belemmeren door daaraan gegevens toe te zenden.”
Actueel voorbeeld:
“DDos-aanval op website PvdA en Europarlementariër Kati Piri”
Internetoplichting


CBS in veiligheidsmonitor 2019: ‘koop en verkoopfraude’ bij 5,7 per 100 inwoners (dus bijna
6%)
Delict oplichting, art. 326 Sr
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen


Afrikaanse prins en neppe betaalverzoeken
Niet leveren goed of dienst (marktplaats) geen oplichting, maar civielrechtelijk.
Witwassen en virtuele valuta





Cryptocurrencys worden gebruikt voor misdruiven om
1) illegale goederen en diensten te verkopen
2) geld wit te wassen
Cryptocurrency worden door de overheid niet erkend als echt geld.
Strikt genomen gebruikt niet anoniem maar identiteit moeilijk achterhaalbaar.
Cryptocurrencys worden virtueel opgeslagen.
Strafbaarstelling veelal onder ‘opzetwitwassen’ art. 420 bis. Sr.
Wraakporno






Online plaatsen van seksuele afbeeldingen of video’s met het doel om ‘wraak’ te nemen op
een persoon.
Motieven zijn o.a. mogelijk vernederen slachtoffer, versterken vriendschappen tussen daders,
reguleren van seksueel gedrag onderling, vergroten eigen populariteit/aanzien.
Soms worden afbeeldingen ook verkregen door hacking.
Ook gefingeerde pornografie, deepfakes.
Het Wetboek van Strafrecht stelt misbruik van seksueel beeldmateriaal, zoals wraakporno,
strafbaar. Daders kunnen een gevangenisstraf van maximaal twee jaar krijgen. Gaat om:
o Zonder toestemming seksueel beeldmateriaal van iemand anders maken;
o Het in bezit hebben van die beelden en de verspreiding ervan’
o Seksueel beeldmateriaal van iemand anders openbaar maken in de wetenschap dat
dit nadelig voor die persoon kan zijn.
De wetgeving over wraakporno is op 1 januari 2020 in werking getreden.
Actueel voorbeeld:
“Jongen (14) uit Enschede pleegt zelfmoord na naaktfoto op social media”
“Pornhub neemt stappen om beelden van verkrachting en kinderporno tegen te gaan”
Cybercrime in Nederland
Hacken maakte in 2019 de meeste slachtoffers. Ruim 1 op de 20 Nederlanders van 15 jaar of ouder
heeft hiermee te maken gehad. En ook cyberpesten en online koop- en verkoopfraude raakten meer
dan 4 procent van de bevolking. In totaal rapporteerde 13 procent van de 15-plussers afgelopen jaar
slachtoffer te zijn geweest van cybercrime.
Bestrijden Cybercrime Nederland, volgens Rijksoverheid



Huidige kabinet heeft 26€ miljoen beschikbaar tegen cybercrime, o.a. voor onderzoek
cybercrime.
Werven nieuw personeel bij politie voor cybercriminaliteit, ook forensische opsporing
(sporenonderzoek) in de digitale wereld.
Verruimen bevoegdheden politie en justitie, o.a.
o Helers van (digitale) gegevens arresteren;
o Op afstand onderzoek laten doen in computers van criminelen of hierin
binnendringen.
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Gegevens overnemen of ontoegankelijk maken (bijv. kinderporno of e-mailberichten
met informatie over misdrijven.
Dit staat in de wet Computercriminaliteit III
Straffen van Cybercriminelen in Nederland:
o Computergegevens vernielen? Gevangenisstraf max. 2 jaar
o Computersystemen ontoegankelijk maken? Gevangenisstraf max. 2 jaar
o Strafbare feiten plegen met een botnet (overname computer)? Gevangenisstraf max.
3 jaar
o Bij ernstige schade of aanval op vitale infrastructuur? Gevangenisstraf van 5 jaar
Dit is vastgelegd in de Wet voor de implementatie van een Europese richtlijn over aanvallen
op informatiesystemen.
Organisaties in vitale sectoren moeten melding maken bij ICT-inbreuken:
o Elektriciteit
o Gas
o Drinkwater
o Telecom
o Keren en beheren oppervlaktewater
o Transport (mainports Rotterdam en Schiphol)
o Financiën
o (Rijks)overheid
Dit staat in de wet beveiliging netwerk- en informatiesystemen
Als door ICT-inbreuk de beschikbaarheid of betrouwbaarheid producten of diensten in gevaar
brengt, dan melden bij Nationaal Cyber Security Centrum (NCSC)
o






Dader- en slachtofferschap Cybercrime

Wie plegen eigenlijk cybercrimes & wie zijn de beoogde slachtoffers?
o Novice (NV): hacker met weinig kennis/skills, gedreven door spanning en ego
o Cyber Punks (CP): hacker met relatief veel kennis, gedreven door media aandacht
en geld
o Internals (IN): ook wel insiders, ex-werknemers gedreven door een verlangen naar
wraak op een oud-werkgever
o Petty Thief (PT): daders voor wie hacken een nieuw werkterrein is geworden,
gedreven door geld, hebzucht en ook door wraak
o Old Guards (OG): de oude generatie hackers, deze hebben geen kwade intenties,
maar zijn veelal opzoek naar een intellectuele uitdaging (nieuwsgierigheid)
o Virus Writers (VW): hackers met een hoge mate van vaardigheid, veelal gemotiveerd
door wraakgevoelens
o Professional Criminals (PC): de professionele variant op de petty thief, hackers met
cybercrime als vak
o Information Warriors (IW): voormalige intelligent agents die nog bezig zijn met
spionage en zich bezighouden met het stelen van staatgeheimen, veelal bewogen
door financele- en wraakmotieven
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Stuvia - Koop en Verkoop de Beste Samenvattingen
Political Activist (PA): hackers
die zich inzetten voor een
politiek doeleinde, 29
waarschijnlijk gedreven door
ideologische motieven en
opzoek naar
bekendheid/aandacht
Vier motieven:
1. Wraak
2. Geld
3. Roem
4. Nieuwsgierigheid
o

Actoren bij cybercrime
De actoren bij cybercrime hebben diverse motieven, maar zijn ook divers. Van de buurjongen op zijn
zolderkamer tot staten die zich hierin mengen. Dus niet alleen kleine spelers houden zich bezig met
cybercrime, ook echt grote spelers.
“In 2019 bleek een staatsgelieerde hackersgroep zich bezig te houden met zowel spionage als
financieel gemotiveerde operaties. Criminelen gebruiken vaak dezelfde (openbare) middelen als
statelijke actoren en vice versa. In het verleden hebben staatsgelieerde actoren uit een ander land
zich ook met financieel gemotiveerde aanvallen bezig gehouden.” – CSB Nederland 2020
Slachtofferschap cybercrime



Net zo divers als daderschap en cybercrime zelf
Slachtoffers zijn soms zeer kleine spelers maar ook grote organisaties (multinationals) en
overheden
Schade kan vele vormen aannemen, financieel maar ook bijvoorbeeld emotioneel en zich
uitbreiden naar het fysieke domein
Gedownload door: sjo14 | stanleyording@outlook.com
Dit document is auteursrechtelijk beschermd, het verspreiden van dit document is strafbaar.
Powered by TCPDF (www.tcpdf.org)