5 vragen over de privacy en security van een digitale werkomgeving

Datum: 01/10/2017

Een digitale werkomgeving voor onderzoekers. Hoe ziet dat eruit? Hoe zorgt die omgeving ervoor dat onderzoekers hun werk kunnen doen én zich aan de privacywetgeving GDPR en andere eisen voldoen? Harold van Aalderen, Security Officer, beantwoordt vijf vragen over de digitale werkomgeving van RSRCH: het RSRCH platform.

Wat maakt de digitale werkomgeving van RSRCH uniek?

“Het RSRCH platform onderscheidt zich dat het geen kale cloud infrastructuur dienst is, maar een volledig ingerichte werkomgeving met uitgebreide auditing en security maatregelen. Het is een werkomgeving die direct te gebruiken is. Het platform faciliteert de onderzoeker in het voldoen aan privacywetgeving en auditeisen die gesteld worden aan zijn onderzoeksdata. Omdat alle bewerkingen op de data in een audit log worden opgenomen, kan hij eenvoudig voldoen aan de eisen dat onderzoek herleidbaar en reproduceerbaar moet zijn. De audit trail maakt het mogelijk om te laten zien hoe de resultaten tot stand zijn gekomen en wie er een bewerking op de data heeft uitgevoerd.

Voor het verwerken van (medische) persoonsgegevens in onderzoek zijn strenge eisen gesteld in de Wbp en de GDPR. Het RSRCH platform is voorzien van alle veiligheidsmaatregelen die uit deze wetgeving voortvloeien. Dat bespaart de onderzoeker een hoop tijd omdat hij geen energie meer hoeft te steken in het opzetten van een verwerkingssysteem dat aantoonbaar de privacy waarborgt, dit is allemaal al voor hem ingeregeld.”

Welke garanties hebben onderzoekers met het platform van RSRCH?

“Onderzoekers die werken met het platform moeten geautoriseerd zijn. Een niet geautoriseerde gebruiker kan helemaal niets. Autorisatie is vereist om een reproduceerbaar en herleidbaar onderzoeksresultaat te waarborgen. De authenticatie voldoet ook aan de strenge eisen van de privacywetgeving. Autorisatie is eenvoudig te controleren door de onderzoeker en eigenaar van een workspace. Hij kan zelf bepalen wie hij toegang geeft tot de onderzoeksdata en op die manier is het makkelijk om data met andere onderzoekers binnen hetzelfde onderzoek te delen. De onderzoeker hoeft zich geen zorgen te maken dat anderen bij die data kunnen. Ook back-up van de data is geregeld. Daarmee wordt de beschikbaarheid van de data gegarandeerd en is er geen risico dat jaren aan onderzoek verloren gaat door brand of computer falen.

Om ongeautoriseerde toegang te voorkomen, hebben we geavanceerde authenticatiemethoden met meerdere identificatielagen ontwikkeld (multi factor authentication). Zo wordt er gezorgd dat alleen de juiste personen toegang krijgen tot de data.”

Stel, er is toch ongeautoriseerde toegang, een breach of datalek, wat gebeurt er dan?

“Geen enkele beveiliging is 100%, er kan altijd nog iets misgaan. Echter, door de audit trail is het altijd na te gaan welke data door ongeautoriseerde personen is opgevraagd. Door de sterke scheiding tussen verschillende gebruikers zal een mogelijk datalek beperkt blijven tot één of een paar onderzoeken. Op deze manier worden de risico’s van een datalek enorm beperkt. We kunnen niet alleen snel vaststellen welke data mogelijk onthuld is, maar we kunnen ook vaststellen of de data daadwerkelijk is ingezien door een ongeautoriseerde persoon of juist niet. Hierdoor kun je een nauwkeurig en accuraat rapport aan de Autoriteit Persoonsgegevens opstellen en heb je een precies overzicht hoe groot het datalek is geweest.”

Stel dat onderzoekers toegang nodig hebben tot internet, bijvoorbeeld online databronnen. Hoe kijkt security hier tegenaan?

“Voor mij als Security Officer zou ik toegang tot het internet het liefst willen beperken. Maar wij begrijpen heel goed dat onderzoekers graag toegang willen hebben om bijvoorbeeld data te verzamelen uit openbare databronnen. Daarom hebben we het RSRCH platform ingericht om op een gecontroleerde wijze toegang tot het internet te geven aan de virtuele machines. We werken met een whitelist van systemen die bereikbaar zijn. Hierdoor kan de toegang worden beperkt tot alleen vertrouwde systemen waardoor het risico van een computerinbraak enorm wordt beperkt. De onderzoeker is ook in staat om zijn eigen favoriete tools in te zetten voor zijn onderzoek. Ook hier biedt het platform de mogelijkheid om een set van tools beschikbaar te stellen die vooraf zijn getest en veilig bevonden.
Daarnaast beschikt het platform over een ‘airlock’ systeem om op een gecontroleerde en geautoriseerde manier data in of uit het platform te halen. Hierdoor blijft de audit trail intact en voldoet de onderzoeker aan alle eisen die aan goed onderzoek worden gesteld.”

Hoe zie jij de toekomst van de toepassing van ICT op het doen van onderzoek?

“Het is nu al ondenkbaar dat er een onderzoek wordt gedaan zonder gebruik van ICT-hulpmiddelen. Daarnaast is er een sterke behoefte om met onderzoekers uit andere instituten samen te werken, binnen en buiten de landsgrenzen. De uitdaging ligt dan vooral ook om de openheid van wetenschappelijk onderzoek te verenigen met de noodzaak om de ICT-voorziening te beschermen tegen misbruik en de integriteit van de onderzoeksdata te waarborgen. Verschillende risico’s maken een goede informatiebeveiliging van onderzoeksdata noodzakelijk. Zo zou een concurrerende onderzoeker misschien data van andere onderzoekers willen veranderen. Of misschien is een concurrerende onderneming of de overheid wel bezig om hun eigen onderzoeksprogramma te versnellen door ongevraagd data van anderen te gebruiken. Helaas zijn er ook onderzoekers die hun eigen werkelijkheid willen creëren en frauduleus onderzoek doen.

Een andere trend is dat er steeds meer data betrokken wordt in een onderzoek. Doordat hiermee steeds meer data aan elkaar wordt gerelateerd, krijg je dat de data unieker wordt en naar individuelen personen gaat verwijzen. Anders gezegd, meer onderzoekers gaan gebruik maken van persoonsgegevens bij hun onderzoek.

Deze twee trends betekenen dat de behoefte aan een veilige werkomgeving voor onderzoekers steeds groter wordt. Met het RSRCH platform willen ik en mijn collega’s voor beide ontwikkelingen een oplossing bieden. Zodat de onderzoeker zich met zijn collega’s nog meer kan concentreren op zijn onderzoek en zich niet druk hoeft te maken om administratieve regelgeving en ingewikkelde privacywetten.”

Get to know our people

Harold van Aalderen is Security Officer bij onze partner Vancis en is zeer betrokken bij de security- en privacy activiteiten van RSRCH. Hij begon zijn Vancis-carrière bij voormalig moederonderneming SURFsara, een overheidsorganisatie die het Nederlandse onderzoek ondersteunt met ICT. Harold heeft jarenlang ervaring met ICT en informatiebeveiliging voor de onderzoekswereld en wij zijn dan ook erg blij dat hij zijn steentje bijdraagt aan RSRCH.

Hoe ziet u de ICT in uw onderzoeksorganisatie in de toekomst? Wij gaan graag het gesprek met u aan