Bij inzageverzoeken, een van de rechten van betrokkenen, speelt informatiebeveiliging (IB) een belangrijke rol. Het gaat om vragen als: hoe weet je met zoveel mogelijk zekerheid dat de betrokkene degene is die hij/zij zegt te zijn? En, wanneer zijn identiteit eenmaal is vastgelegd, hoe kunnen gegevens veilig worden verzonden via het internet? Deze praktische vragen kunnen zomaar tegelijk aan de orde komen in een organisatie en kunnen leiden tot de nodige hoofdbrekens.
Zoals in een eerdere blogpost is aangegeven, moet bij ontvangst van een inzageverzoek allereerst de identiteit van de betrokkene worden vastgesteld. Het is immers cruciaal om te voorkomen dat een dossier naar de verkeerde persoon wordt gestuurd. De identiteit kan makkelijk worden gecontroleerd als de betrokkene ter plekke aanwezig is en een identiteitsdocument toont. In de meeste gevallen zal een inzageverzoek echter online worden gedaan. Er zijn dan verschillende wijzen waarop de persoon zich zou kunnen identificeren, bijvoorbeeld met een kopie van een identiteitsbewijs (met BSN weggestreept). Sterk bewijs dat de persoon degene is die hij zegt te zijn levert dit niet op. Een simpele zoekopdracht op Google levert namelijk al snel talloze (neppe) identiteitsdocumenten op. Ook kunnen identiteitsdocumenten vrij gemakkelijk worden bewerkt. Daarom zijn dus extra waarborgen nodig om met meer zekerheid te kunnen zeggen dat Piet Piet is en niet Henk.
Mogelijkheden hiervoor zijn:
Let overigens wel op dat in de e-mail met het inzageverzoek niet zomaar wordt geklikt op een link of een bijlage met een vermeend paspoort. Het kan namelijk een (spear) phishing mail zijn in de vorm van een inzageverzoek. Anti-phishing oplossingen, zowel client-based als server-based, zijn cruciaal in het bestrijden van phishing. Een organisatie brede IB-training - een inzageverzoek kan immers overal terecht komen – kan ook goede bescherming bieden. Als je twijfelt over een e-mail, meldt het dan altijd aan de IT-afdeling.
Als gegevens over het internet moeten worden verzonden moet dit op een veilige manier gebeuren. Zomaar ‘in the clear’ een e-mail met het volledige dossier van een persoon terugsturen is vragen om problemen.
Enkele oplossingen hiervoor:
Zowel het verifiëren van een identiteit als het veilig verzenden van gegevens over het internet is geen gemakkelijke opgave. Het is goed om al oplossingen hiervoor te hebben bedacht en geïmplementeerd. Al is het maar om te voorkomen dat bij een inzageverzoek snel een team moet worden samengesteld om deze vragen op te pakken, terwijl de termijn voor het afhandelen van het verzoek ondertussen blijft doorlopen.