Privélaptop gebruikt bij datavergaring Defensie

Dat zijn enkele van de conclusies in het uitgebreide onderzoeksrapport van de Functionaris Gegevensbescherming (FG) Defensie over de naleving van de Algemene Verordening Gegevensbescherming (AVG) door het experimentele Land Information Manoeuvre Centre (LIMC). Die zogeheten experimenteeromgeving voor het verkrijgen van zicht op desinformatie is eind vorig jaar in opspraak geraakt toen bleek dat het buiten z'n boekje was gegaan.

Logging, autorisatie en toegang

Het nu geopenbaarde onderzoeksrapport naar de vragen of en hoe de AVG (Algemene Verordening Gegevensbescherming) is nageleefd geeft inzichten in de werkwijze van dit datavergarende deel van Defensie. Het LIMC is officieel geen organieke eenheid binnen het Defensie-onderdeel Commando Landstrijdkrachten (CLAS), stipt het rapport aan. "Medewerkers zijn dan ook niet geplaatst bij het LIMC maar voor korte of langere tijd vanuit bestaande eenheden of organisaties gevraagd of aangewezen om activiteiten te verrichten."

"De logging, autorisatie en toegang tot systemen en gegevensbronnen is bij het LIMC ingericht conform de stringente normen van het Defensiebeveiligingsbeleid (DBB)." Dat DBB is niet helemaal volledig van toepassing geweest, zo valt te lezen in de conclusies die de FG van Defensie trekt. Op de meeste punten echter wel.

Organisatorisch en technisch

De normen van het DBB zijn nageleefd voor organisatorische maatregelen zoals geheimhoudingsverklaring, beveiligingsbriefing en screening. Ook op het gebied van technische maatregelen "is vastgesteld dat bij throughput en output gebruik is gemaakt van geaccrediteerde informatiesystemen waarmee ruimschoots is voldaan aan de norm."

Maar voor invoer van data in het systeem van Defensie is ook een privélaptop ingezet. "Voor input is vastgesteld dat naast geaccrediteerde informatiesystemen gebruikgemaakt [is, red.] van een privélaptop met beveiligingsmaatregelen die niet aantoonbaar voldoen aan de norm." Dit betekent niet per se dat die computer onveilig was, of onvoldoende beveiliging had.

Sentimentanalyse

"In de zomer van 2020 is door één medewerker op een privélaptop gestart met de sentimentanalyse, woordenwolk en een activiteitendiagram. Hierbij is gebruik gemaakt van de tools Coosto en Meltwater met door Defensie verstrekte licenties. Door de medewerker is aangegeven dat voornamelijk gebruik gemaakt is van Coosto. Meltwater is na een korte verkenning niet verder gebruikt."

Deze gebruikte laptop was in eigen bezit van de Defensie-medewerker en dus niet een door de organisatie verstrekt IT-middel. Op de laptop waren wel beveiligingsmaatregelen getroffen, vermeldt het rapport, maar de machine stond "feitelijk buiten het controlebereik van de defensieorganisatie". De door de medewerker getroffen beveiligingsmaatregelen zijn dan ook niet vooraf geverifieerd aan de hand van de DBB-normen. "Hierdoor voldeed de laptop niet aantoonbaar aan het DBB."

Buiten Defensie-bereik

Het lijkt erop dat de privécomputer in kwestie niet alleen op (bewaakt) Defensieterrein en in beveiligde omgevingen is geweest. "Tenslotte geldt naast alle technische maatregelen die zijn getroffen binnen systemen ook dat deze systemen, met uitzondering van de privé laptop, zijn gehuisvest op defensieobjecten en daarbinnen in gesloten omgevingen. Deze gesloten omgevingen zijn voorzien van toegangsbeheersing en indringer-detectiesystemen."

Op zich is gebruik van privé laptops niet per definitie uitgesloten binnen Defensie, vermeldt de FG in haar rapport. Maar "met het gebruik van een privélaptop voor het verwerken van gemerkte informatie wordt aantoonbaar niet voldaan aan het DBB", aldus het onderzoeksrapport, dat kritische noten kraakt en ook aanbevelingen geeft.