CBS scherpt eisen voor remote access tot CBS-data aan

23-07-2021 | door: Redactie

CBS scherpt eisen voor remote access tot CBS-data aan

Het CBS scherpt de eisen voor toegang tot CBS-bestanden via remote access aan. Het nieuwe beleid treedt op 1 augustus 2021 in werking.

Uit onderzoek door onafhankelijke wetenschappelijke experts op verzoek van het CBS blijkt dat de remote access-voorziening voldoet aan de huidige veiligheids- en privacyeisen. Om ook de komende jaren veilig gesteld te worden is echter blijvende aandacht nodig voor beveiliging en privacy.

Het CBS verzamelt administratieve data over burgers en bedrijven die in beheer zijn bij overheidsinstellingen. Op basis hiervan produceert de organisatie officiële overheidsstatistieken. Om dit mogelijk te maken beschikt het CBS over een unieke bij wet geregelde toestemming. Data die het CBS verzamelt worden zo snel mogelijk van individuele identiteitskenmerken ontdaan. En op een streng beveiligde manier bewaard.

Microdata

Ruben Dood, directeur beleidsstatistiek en microdataservices bij het CBS, zegt: "Het CBS gebruikt deze zogenoemde microdata zelf voor het maken van zijn openbare statistieken, maar ook wetenschappelijke onderzoekers van Nederlandse universiteiten en kennisinstituten kunnen – onder strikte voorwaarden – toegang krijgen tot deze privacygevoelige microdata in een beveiligde omgeving via remote access. Op dit moment verrichten bijna 200 externe partijen onderzoek met deze data."

Op basis van de wet op het CBS kan de organisatie toegang bieden tot microdata voor statistische of wetenschappelijke onderzoeksdoeleinden. Door toegang tot de data te verlenen wil het CBS het maatschappelijk nut van CBS-data zo groot mogelijk maken. De toegang is hierbij zo ingericht dat geautoriseerde externe onderzoekers de microdata alleen binnen de beveiligde omgeving van het CBS kunnen raadplegen. Zij maken hierbij gebruik van de zogenoemde remote access-faciliteit, zodat het CBS controle houdt over gebruiksdoeleinden, privacy en beveiliging.

Dood: "In de afgelopen jaren is het aantal gebruikers van deze microdata behoorlijk gegroeid. Bovendien zijn de technologische mogelijkheden om beveiligingsmaatregelen te omzeilen steeds geavanceerder. Ook is de Algemene Verordening Gegevensbescherming (AVG) van kracht die eisen stelt aan de bescherming van persoonsgegevens. Dat zijn de redenen waarom het CBS een onafhankelijke onderzoekscommissie heeft gevraagd om helderheid te verschaffen over mogelijke risico’s."

Onderzoek

Een onderzoekscommissie onder voorzitterschap van Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden leverde in 2020 een eindrapport op over de toegang tot CBS-data via remote access. Dood: "Er zijn twee belangrijke conclusies. Allereerst blijkt dat de microdataservices niet meer weg te denken zijn in de dagelijkse praktijk van de wetenschappelijke wereld. Ten tweede heeft de commissie geconcludeerd dat het CBS de huidige IT-processen en privacybescherming op orde heeft. Maar met het oog op de toekomst heeft de commissie een aantal aanbevelingen gedaan. Op basis daarvan konden wij een interne discussie bij het CBS voeren over de afwegingen die we moeten maken naar soorten risico’s die zich bij remote access kunnen voordoen bij gebruikers, processen, procedures, data en IT."

Erik Bruinsma, directeur strategie en bestuursadvisering bij het CBS: "Het kernpunt van de wijziging is dat statistisch en wetenschappelijk onderzoek centraal staat en dat instellingen daarom moeten voldoen aan wetenschappelijke normen, waarvan openbaarmaking van de onderzoeksresultaten één van de belangrijkste is."

CBS-wet en AVG

Bruinsma wijst erop dat niet alleen de aanbevelingen van de onderzoekscommissie uitgangspunt voor de discussie over remote access bij het CBS waren. Bruinsma: "We hebben ook gekeken naar de CBS-wet en de Europese privacywet (AVG) en gekozen voor een betere aansluiting van ons beleid bij die wetten. Dat heeft geleid tot enkele aanscherpingen in het beleid. Zo zijn de voorwaarden voor organisaties die gebruik maken van de toegang tot microdata explicieter en transparanter gemaakt om het belang van privacy van burgers en bedrijven te benadrukken. Dat betekent dat toegang tot onze databestanden voortaan alleen mogelijk is voor universiteiten, kennisinstellingen en organisaties uit landen die eenzelfde niveau van privacybescherming kennen als de AVG. Organisaties uit landen die niet een dergelijk niveau van privacybescherming hebben, mogen hun huidige machtiging uitdienen maar komen dus niet meer voor een nieuwe machtiging in aanmerking."

Bruinsma benadrukt hierbij het van belang van de juiste balans tussen privacy en informatiebeveiliging enerzijds, en het maatschappelijk en wetenschappelijk nut anderzijds. "Het CBS zal dit steeds voor ogen houden", aldus Bruinsma.

Het nieuwe beleid gaat op 1 augustus 2021 in. Meer informatie is hier beschikbaar.

Terug naar nieuws overzicht
Security