Figuur 4: Grafische weergave van de mate van getroffen beheersmaatregelen per risico per organisatie.
6. Reflectie en aanbevelingen voor vervolgonderzoek
6.2 Aanbevelingen voor vervolgonderzoek
De volgende aanbevelingen voor vervolgonderzoek kunnen worden gedaan:
• Bij een groter aantal organisaties eenzelfde analyse uitvoeren zodat een meer statistische onderbouwing kan worden gemaakt van de resultaten van het onderzoek;
• Het uitvoeren van een onderzoek op verschillende momenten binnen het dataminingproject; • Het uitvoeren van een echte privacy-audit naar de getroffen maatregelen ten aanzien van de
beheersing van de privacyaspecten bij de toepassing van datamining.
• Het uitvoeren van een vergelijkbaar onderzoek naar de overige kwaliteitsaspecten om te bezien welke maatregelen er getroffen kunnen worden op het gebied van bijvoorbeeld effectiviteit en efficiëntie.
Literatuurlijst
Adviescommissie Informatiestromen Veiligheid: Data voor Daadkracht. Gegevensbestanden voor veiligheid: observaties en analyse. Den Haag: Deltahage (april 2007)
Ayres, I. Braithwaite, J.: Responsive Regulation; transcending the deregulation debate. Oxford University Press (1992)
Belastingdienst: Eenvoudig Aanspreekbaar Belastingdienst 2015 (2011) Belastingdienst: Eindrapportage Programma iBelastingdienst (2013)
Belastingdienst/Centrum voor Kennis en Communicatie: Scenario's iBelastingdienst (2013)
Boekhoorn, V., Dirkx, M., Hunneman, M., Schaffers, A., Schoevaars, M. (2014): Kennisagenda 2014, Kennis uit gegevens. http://www.kennisagenda-belastingdienst.nl/kennis-uit-gegevens.php
Broeders, D., Cuijpers, C., Prins, J. (2011): De staat van informatie, Verkenning 25. Wetenschappelijke Raad voor het Regeringsbeleid
Campsteijn, M.: Nieuwe kennis halen uit productbeoordeling websites aan de hand van datamining. Masterproef (2011)
Cattral, R., Oppacher, F., Deugo, D.: Supervised and Unsupervised Data Mining with an Evolutionary Algorithm. Ottawa, Canada: IEEE, pp. 767-774 (2001)
Centrum voor Normalisatie NEN (2013): Code voor Informatiebeveiliging (NEN- ISO/IEC 27002) CIO Platform Nederland: CIG informatiebeveiliging, Risicoanalyse een verkenning. CIO Interest Group Informatiebeveiliging (september 2012)
Cocx, T.: Algorithmic Tools for Data-Oriented Law Enforcement, Master Thesis. Institute for Programming research and Algorithmics (2009)
College Bescherming Persoonsgegevens: CPB Richtsnoeren Beveiliging van Persoonsgegevens. Den Haag (februari 2013)
Fayyad, U.,Piatetsky-Shapiro, G., Smyth, P.: From datamining to knowledge discovery in databases. AI Magazine (AAAI) pp. 37-54 (1996)
Fernandez, G.: Data Mining Using SAS Applications, second edition. CRS Press (2010) Fijneman, R., Roos Lindgreen, E., Hang Ho, K. (2e druk, 2012): IT-auditing en de praktijk. Den Haag: Academic Service van Sdu Uitgevers
Fijneman, R., Roos Lindgreen, E., Veltman, P., Hang Ho, K. (2e druk, 2011): Grondslagen IT-auditing. Den Haag: Academic Service van Sdu Uitgevers
Goslinga, S., Steenbergen van, A., Engers van, T. (2014): Kennisagenda 2014, Kennisagenda in perspectief; compliance, rechtmatigheid, uitvoerbaarheid.
http://www.kennisagenda-belastingdienst.nl/kennisagenda-in-perspectief.php Himmelreich, R., Ernst van, M. (2010): Datamining. Norea.nl pp. 1-4
Hoeksema, E.: Datamining onder de loep 1. KM, nr. 2, pp. 18-21 (2000) Hoeksema, E.: Datamining onder de loep 2. KM, nr. 3, pp. 26-30 (2000)
Ministerie van Binnenlandse Zaken en Koninkrijksrelatie: Baseline Informatiebeveiliging Rijksdienst. versie 0.98, (17- 8- 2011)
NOREA: NOREA-geschrift No 1, IT-auditing aangeduid (1998)
Overbeek, P., Roos Lindgreen, E., Spruit, M.: Informatiebeveiliging onder controle. 2e editie, vijfde druk (2009)
Ruyter de, K., Kolenbrander, D.: Op jacht naar de schat. CCM, nr. 6 pp. 28-31 (1999) Stel, P.: Wat betekent 'Big Data' eigenlijk. Finance & Control, nr. Oktober, pp. 38-41 (2012) Timmer - Pellicaan, E.: Overheid start met datamining rechtspersonen. Accountancynieuws, nr. 12 (juni 2011)
Wetenschappelijke Raad voor het Regeringsbeleid: iOverheid, Rapportnummer 86. Amsterdam University Press (2011)
Websites:
Informatie over dataminingtechnieken (par. 2.1.2). Geraadpleegd in mei 2014 via Wikipedia.nl: http://nl.wikipedia.org/wiki/Datamining
Informatie over de Wet SUWI (par. 2.2.2.6). Geraadpleegd in november 2014 via Overheid.nl: https://zoek.officielebekendmakingen.nl/stb-2014-320.html.
Informatie over de Wet Bescherming Persoonsgegevens (par. 3.2.1). Geraadpleegd 23 oktober 2014 via Overheid.nl: http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_23-10-2014.
Informatie over het College Bescherming Persoonsgegevens (par. 3.2.1). Geraadpleegd 23 oktober 2014: https://cbpweb.nl/nl.
Bijlagen
Bijlage 1 Risicomatrix
De risico’s zoals opgenomen in tabel 1 in paragraaf 3.4 zijn geplot in onderstaande risicomatrix, waarbij op basis van een eigen inschatting de risico’s in de matrix qua kans (y-as) en impact (x-as) zijn ingedeeld. De nummering verwijst naar de nummering overeenkomstig de tabel in voornoemde paragraaf.
Figuur 5: risicomatrix met eigen inschatting van risico’s.
Risico 1: Risico van (on)bewuste menselijke fouten door onvoldoende veiligheidsbewustzijn:
(kans: hoog, impact: hoog)
Dit risico wordt zowel qua kans als qua impact hoog ingeschat omdat het veiligheidsbewustzijn vaak in de praktijk onvoldoende aandacht lijkt te krijgen. Als men zich niet van de risico’s bewust is, kan dit grote impact hebben.
Risico 2: Risico van onbevoegde toegang tot bedrijfsgevoelige informatie:
(kans: midden/hoog, impact: midden)
De Belastingdienst beschikt over zeer veel informatie. Deze informatie kan voor derden van belang zijn en derhalve interessant om die informatie te verkrijgen. Daarom is dit risico qua kans op
gemiddeld tot hoog ingeschat. De impact is afhankelijk van hoe belangrijk de informatie is en wordt op gemiddeld ingeschat.
Risico 3: Risico dat gegevens fouten bevatten:
(kans: midden, impact: hoog)
De overheid werkt met zeer veel en zeer grote gegevensbestanden. De mogelijkheid bestaat dat de gegevens al niet accuraat zijn geweest op het moment van invoeren, dat ze tijdens de opslag onterecht zijn gemanipuleerd, of dat ze op het moment van verwerken inmiddels verouderd (achterhaald) zijn. De gevolgen voor het verwerken van foutieve gegevens kunnen hoog zijn. Niet correcte gegevens genereren foute beschikkingen voor burgers en bedrijven en gegevens kunnen na bewerking verkeerd worden geïnterpreteerd. Dat schaadt het imago van de overheid. Daarom is dit risico als gemiddeld ingeschat en de impact als hoog.
Risico 4: Risico van niet goed beveiligen van persoonsgegevens:
(kans: midden, impact: hoog)
Iedereen moet er op kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Onvoldoende beveiliging kan leiden tot verlies en diefstal van persoonsgegevens en vervolgens tot misbruik van persoonsgegevens, zoals identiteitsfraude. De impact van dit risico is groot. De kans wordt ingeschat op midden.
Risico 5: Risico met betrekking tot virussen/malware:
(kans: midden/hoog, impact: laag)
De kans wordt als gemiddeld tot hoog ingeschat, omdat er veel virussen in omloop zijn en de kans dat een overheidsnetwerk hierdoor wordt geraakt groot is. De impact van een enkel virus is echter vaak beperkt en kan vaak eenvoudig worden hersteld.
Risico 6: Risico van inbreken op het systeem:
(kans: midden, impact: hoog)
Inbraakpogingen in een overheidsnetwerk zullen voorkomen. Deze kans wordt als gemiddeld ingeschat omdat informatie ook op andere ongeoorloofde manieren kan worden verkregen dan middels inbraak in het systeem. De impact is wel groot, omdat het vaak gaat om een gerichte aanval.
Risico 7: Risico van niet voldoen aan de wettelijke bewaarplicht:
(kans: laag/midden, impact: midden)
De kans en impact worden op gemiddeld ingeschat. Hoe overheidsorganisaties aan hun bewaar- en beheerplicht moeten voldoen is nauwkeurig beschreven in verschillende wetten en regels. Daarbij maakt het in principe niet uit of informatie digitaal is of niet.
Andere wetten en regelingen betreffen het beheer en het gebruik van informatie of
gegevensbestanden van de overheid. Daarbij gaat het bijvoorbeeld om openbaarheid van informatie, of juist om het beschermen van gevoelige informatie.
Risico 8: Risico dat de organisatie te ver gaat met het verzamelen en koppelen van gegevens:
(kans: midden/hoog, impact: hoog)
Wanneer de organisatie te ver gaat met het verzamelen en koppelen van gegevens bestaat het risico dat daarmee de privacy van burgers wordt geschonden. De impact van dit risico is daarmee groot. De kans van dit risico wordt ingeschat op midden/hoog.
Risico 9: Risico van technische verstoringen in het systeem:
kans: laag/midden, impact: laag)
De kans is als laag gemiddeld ingeschat, omdat de kans zich kan voordoen dat er een calamiteit optreedt die invloed heeft op de beschikbaarheid. De impact op het dataminingproces wordt als beperkt ingeschat omdat bij datamining wordt gewerkt met extracties van geselecteerde gegevens uit verschillende gegevensbestanden. Deze gegevensbestanden blijven in oorspronkelijke vorm
bewaard.
Risico 10: Risico van onvoldoende monitoring op het systeem:
(kans: midden, impact: midden)
De kans dat onvoldoende monitoring plaatsvindt is gemiddeld aanwezig, omdat vaak op heel
wisselende wijze aandacht wordt gegeven aan monitoring (en de diepgang daarvan). Als onvoldoende monitoring plaatsvindt, hoeft dat nog niet te betekenen dat dit ook gevolgen heeft voor de
informatiebeveiliging.