Supply chain security en Keteninformatisering



Vergelijkbare documenten
Identiteitsfraude als uitdaging in ketens!

Keteninformatisering voor grootschalige informatie-uitwisseling

Keteninformatisering

Ketens en identiteit. Professioneel artikel. J.H.A.M. Grijpink. Journal of Chain-computerisation Information Exchange for Chain Co-operation

Uitgangspunten voor Keteninformatisering

Grootschaligheid als uitdaging

Identiteitsfraude als uitdaging voor de rechtstaat 1 Prof. dr mr J.H.A.M. Grijpink 2

Identiteitsfraude en overheid

Waarom is standaardisatie noodzakelijk?

Grootschaligheid als Uitdaging

ICT, Spelbederver of Dwarskijker?

De uitdaging van grootschalige stelsels voor ketencommunicatie

TOEKOMST WEGTRANSPORT

Zinvol, betrouwbaar en veilig gebruik van biometrie

Keteninformatisering in de praktijk: de strafrechtketen

Keteninitiatieven met kans van slagen

Keteninformatisering & gezondheid

Tweede Kamer der Staten-Generaal

Kijk op ketens (2009) van Jan Grijpink en Marijn Plomp (red) Het ketenlandschap van Nederland

Keteninformatisering en privacy

Privacy in ketens Recht doen aan privacybescherming op ketenniveau

Keteninformatisering als onderzoeksmethode

Centraal Meldpunt Identiteitsfraude

IDENTI FICATIE PLICHT

ONZE INFORMATIESAMENLEVING IN WORDING

1 Procesmodel Verifiëren identiteit

3 Ketenanalyse. Jan Grijpink

Grond moet leren stromen

Open Data en Enterprise Data: vervagende grenzen in de extended enterprise

Omgevingswet en de raad

Informatiebeveiliging aangepakt

Keteninformatisering, kwaliteit en risico

VenJ op iavontuur. Nicole Stolk psg en CIO VenJ. Dick Heerschop CIO Nationale Politie

Leveranciersbijdrage voor realisatie doelstellingen Ondernemende inkooprol nodig!

RAPPORT Legale identiteitswisselingen in de Balkan en Oost-Europa

Omgevingswet en de raad

Elektronisch Patiënten Dossier. 5 oktober A. Vos L.J. Arendshorst

Raad van de Europese Unie VOERT U IDENTITEITSCONTROLES OF CONTROLES VAN IDENTITEITSDOCUMENTEN UIT?

15 Mate van dekkingsgraad, een eerste aanzet tot baten

Noodzaak tot tweebenig besturen in de zorg

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Functie Nr Vraag Antwoord

Archivering en de Omgevingswet. Archiefinnovatie decentrale overheden Nieuwegein 7 april 2016

Melden van datalekken

Risicomanagement Ons overkomt het niet. Walther Ploos van Amstel Amsterdam, Juni 2011

Handleiding Amyyon Care BSN functionaliteit. Rondomzorg

De Raad en de Omgevingswet

Aan de Voorzitter van de Tweede Kamer der Staten Generaal Postbus EA Den Haag

Biometrie: een goede stap in de verkeerde richting

De Driver's seat van de CIO

Ad 2. Verbetering regeling identiteitsvaststelling verdachten en veroordeelden Dit onderdeel van het wetsvoorstel bevat drie wijzigingen.

Alles draait om identiteit! Workshop ID-protocol Burgerzaken NVVB-congres 17 en 18 april 2019

Horizontaal toezicht. Samenwerken vanuit vertrouwen

Rapport. Datum: 13 juni Rapportnummer: 2012/102

Fysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer

Tweede Kamer der Staten-Generaal

Verbinden. Bestuurlijke Samenvatting

Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje- Nassau, enz. enz. enz.

Patiënt identificatie en authenticatie voor zorgportalen;

HET DIGITALE MIJNENVELD

Bevordering van Interoperabiliteit tussen Overheidsorganisaties

Arbeidsorganisatie en personeelsbeschikbaarheid

16 Past standaardisatie in keteninformatisering?

Als wij nu de systemen dicht zetten, waar zeg ik dan ja tegen?

WIE IS WIE IN EEN INFORMATIE- SAMENLEVING: PLEIDOOI VOOR EEN KETENBENADERING

Verandertypen en invoeringsstrategieën Omgevingswet. Raad op zaterdag Ernst Koperdraat 24 september 2016

Website:

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Wij geloven dat je leven leuker is als je je eigen keuzes maakt.

De Minister van VWS, de heer drs. J.F. Hoogervorst Postbus EJ DEN HAAG. mw. mr. V.C. Lucieer

Circulaire inkoop: van droom naar werkelijkheid Inkoop heeft sleutel in handen

INFORMATIEBEVEILIGING VOOR VERZEKERAARS. Better safe than sorry. vraag vandaag nog een Assessment aan. Think.Pink.

Dataprotectie in ketens Zijn de huidige privacy concepten wel geschikt voor toepassing in ketens?

KRUISBESTUIVINGEN TUSSEN LUCHT EN ZEEHAVEN

Strategisch document Ambulancezorg Nederland

Digitale gegevensuitwisseling in de cardiometabole keten Handreiking voor implementatie

Inhoud leereenheid 6. Samenwerking tussen verschillende overheidsinstanties in ketens. Introductie 45. Leerkern 45. Literatuur 48.

Workshop zelfevaluatie BRP 2016/2017

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) T.a.v. Dhr. drs. R.W. Knops Postbus EA 'S-GRAVENHAGE.

De patiënt als partner in de zorg: gaat dat echt lukken?

Reclassering Nederland. in 500 woorden. Reclassering Nederland. Naar een veiliger samenleving. roeghulp. dvies. oezicht edrags raining.

Besluit Brp. Wet Brp. LO Circulaires BIG. Functie Nr Vraag Antwoord. Inschrijven. Burgerpubliekszaken

Omgevingswet en VIVO. Landelijk ICT Beraad

Privacy Policy - SPORTHOMED

Gedragsonderzoek als hulp bij het wegbeheer

Keteninformatisering en theorievorming over kennis delen

Gebruikt u mijn gegevens ook als u die van iemand anders hebt gekregen?

Wie ben ik? Marc Hagemeijer Senior security en privacy consultant

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Update 2.b: pgb budgetplan jeugdhulp versie juli Persoonsgebonden (PGB) budgetplan Jeugdhulp. 1. Personalia

Privacy verklaring Veilig Thuis Flevoland

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

PRIVACYPROTOCOL SAMEN TEGEN IDENTITEITSFRAUDE HET TEGENGAAN VAN IDENTITEITSFRAUDE EN DOCUMENTFRAUDE OOST-NEDERLAND. Versie: 1.0

Het BSN in de zorg; de zwakke plekken

2017 Goed bekeken Maatschappelijk jaarverslag. bkr.nl

Transcriptie:

Supply chain security en Keteninformatisering Prof. dr mr Jan Grijpink Universiteit Utrecht/ Ministerie van Justitie Utrecht, 11 november 2010 1

Overzicht Begrip keten Drie keteninzichten Een ketenvisie op ketens Invalshoeken en toetssteen voor informatiebeveiliging in ketens Identiteitsfraude, met 3 voorbeelden Wat kunnen we ertegen doen? Conclusies 2

Begrip Keten 3

Belang van ketens ketens worden steeds belangrijker door: voortschrijdende specialisatie toenemende onderlinge afhankelijkheden hogere maatschappelijke eisen toenemende interactie en samenwerking een keten is een moeilijk terrein door: geen overkoepelend gezag gemeenschappelijke belangen vaak beperkt en onduidelijk irrationaliteit en onvoorspelbaarheid troef het dominant ketenprobleem is de baas in de keten! 4

Keten (1) Procesniveau maatschappelijke keten logistieke keten register-keten informatie-keten 5

Keten (2) Krachtenveld veel onafhankelijke partijen tegengestelde belangen wil of druk om iets samen te doen een dominant probleem waarop men alleen geen vat heeft bestuurlijke en administratieve complexiteit 6

Keten en niveauvergissing We ontlenen inzichten vaak aan kleinschalige toepassingen (informatiesysteem, organisatie) en schalen die klakkeloos op naar een grootschalige toepassing (keten). We maken dan een niveauvergissing, want inzichten zijn niveaugebonden! Aannames en uitgangspunten zijn dan niet geldig. Projecten mislukken, processen raken ontregeld en beveiliging gaat lekken. 7

Keteninzichten 8

Keteninzicht 1 Grootschalige stelsels werken in de praktijk anders dan kleinschalige! Voorbeelden: nationale patiëntdossier EPD 9

Keteninzicht 2 Ketenpartijen kijken vanuit de eigen organisatie naar ketens: zo overschatten ze kansen en onderschatten ze problemen en risico s. 10

Keteninzicht 3 In de meeste ketens speelt de identiteit van het ketenvoorwerp een strategische rol, maar wel in elke keten anders! de ware identiteit, is men dezelfde persoon, is men het wel zelf (meelifter) 11

Ketenvisie 12

Realistische kijk op ketens Chaotische en onvoorspelbare omgeving Apart analyseniveau keten Focus op een dominant ketenprobleem 13

Dominant ketenprobleem Een ketenbreed probleem dat geen der partijen alleen kan oplossen en dat bij herhaald falen de hele keten in diskrediet brengt wat is de gemeenschappelijke ketenopgave welke ketenpartner heeft welke invloed welke communicatie is kritisch welke beveiliging is nodig (?) 14

Drie niveaus in een keten niveau boven ketens BSN / ID-document ketenniveau Keteninformatiesysteem grondvlak van een keten Legenda: verbinding tussen bronregister en keteninformatiesysteem of basisregister bronregister keteninformatiesysteem of basisregister 15

Identiteitsketen brondocument officieel identiteitsbewijs pasje of persoonsnummer transactie dominant ketenprobleem: bestrijding valse documenten documentfraude geleidelijke verschuiving dominant ketenprobleem: bestrijding verkeerde personen identiteitsfraude 16

Twee invalshoeken en een toetssteen voor informatiebeveiliging in ketens 17

Invalshoek 1 vier procesniveaus maatschappelijke keten logistieke keten register-keten informatie-keten 18

Invalshoek 2 drie analyseniveaus niveau boven ketens BSN / ID-document vijf aandachtspunten ketenniveau Keteninformatiesysteem grondvlak van een keten Legenda: verbinding tussen bronregister en keteninformatiesysteem of basisregister bronregister keteninformatiesysteem of basisregister 19

Identiteitsfraude: de meelifter als toetssteen voor de beveiliging Vertrekpunt is meestal een te beveiligen object en/of autorisatie van een persoon Een meelifter als scenario levert een andere kijk op beveiliging: achter de geautoriseerde persoon gaat een ander schuil die je niet meer kan vinden! 20

Identiteitsfraude 21

Wat bedoelen we met een identiteit? Iemands maatschappelijke identiteit: een aantal officiële kenmerken (waaronder biometrie), waarmee we een persoon uniek kunnen aanduiden waarmee iemand zich vereenzelvigt Te onderscheiden van: iemands biologische identiteit (DNA) pseudo-identiteit (bij- of schuilnaam) 22

Wat bedoelen we met identiteitsfraude? Iemand gebruikt met kwade bedoelingen de identiteit van iemand anders, bestaand of verzonnen Elk persoonsnummer, foto, handeling of gebeurtenis bevat suggesties waaruit mensen afleiden wie ze tegenover zich hebben; een identiteitsbewijs is niet vereist Identiteitsfraude kan overal plaatsvinden en op allerlei manieren, niet beperkt tot specifieke situaties, procedures of documenten 23

Identiteitsfraude, iets nieuws? Nee, maar het wordt wel anders, door de digitalisering en anonimisering van onze samenleving. Die leidt tot een explosieve toename van elektronische identiteits- bewijzen en elektronische identiteitscontroles vervlechting van stukjes fysiek en digitaal proces Slachtoffers hebben het niet, of te laat in de gaten en eventuele sporen leiden naar het slachtoffer, niet naar de dader Geslaagde identiteitsfraude in een proces of keten verspreidt zich ongemerkt over andere processen of ketens. 24

Een blinde vlek voor identiteitsfraude? Wij vertrouwen spontaan op administratieve (papieren of elektronische) identiteiten, zelfs als ze gebaseerd zijn op ongecontroleerde of oncontroleerbare gegevens! Wij kijken bij identiteitscontrole naar het document in plaats van naar de persoon; sporen leiden naar het slachtoffer! We zetten de controlegegevens op het document; een naam-nummercontrole slaagt dan altijd, ongeacht wie zich van het document bedient! Regelgeving en vaste procedures maken het de identiteitsfraudeur onbedoeld gemakkelijk om te voorspellen waar, hoe en wanneer hij zal worden gecontroleerd. En hij heeft het verrassingselement aan zijn kant, bijvoorbeeld bij fall back procedures 25

Drie voorbeelden 26

Praktijkgeval (krantenbericht 7 oktober 2008) Bij Anne (34) stond een consultant van Direct Wonen voor de deur om haar lening te bespreken. Anne wist nergens van. Op haar naam bleken drie kredieten aangevraagd, was een bankrekening geopend en waarschijnlijk ook een telefoonabonnement aangevraagd. Anne vermoedt dat de dader een loonstrookje van haar gezien heeft, waarop BSN nummer, adres, leeftijd, geslacht en bruto loongegevens staan vermeld. 27

Voorbeeld Identiteitsfraude in de strafrechtketen Aliasmisbruik (identiteitsfraude) in de strafrechtketen heeft in de loop van de tijd geleid tot ernstige vervuiling van het strafbladregister Gevolgen: niet onderkennen van recidive arrestatie of aanhouding van de verkeerde persoon foutieve beslissing op een aanvraag Verklaring omtrent gedrag (VOG) 28

Voorbeeld Identiteitsfraude in de gezondheidszorg Het burgerservicenummer (BSN) in de zorg als identificatiemiddel en als koppelmechanisme kan ertoe leiden, dat bij raadpleging ongemerkt medische gegevens van méérdere patiënten worden gepresenteerd Gevolg: verkeerde behandeling of onderbehandeling van BSN-houder en meelifters, doordat een ziekte van de ene patiënt een contra-indicatie oplevert voor de behandeling van de andere 29

Inzichten Meeliften op een andere identiteit is niet moeilijk, levert veel voordeel bij slagen en geen nadeel bij mislukken Voorspelbare identiteitscontroles met ééndimensionale, verplichte en algemene controle-instrumenten lokken identiteitsfraude uit Generieke voorzieningen zoals BSN en het oogmerk dienstverlening vergroten de kwetsbaarheid van processen 30

Identiteitsfraude waait niet over! De relatie tussen fysieke werkelijkheid en administratieve afbeeldingen wordt steeds moeilijker te doorgronden Grootschalige voorzieningen werken anders dan men verwacht, soms zelfs omgekeerd (niveauvergissing) Digitalisering van processen leidt tot méér sporen, maar naar wie? 31

Wat kunnen we doen? 32

Wat kunnen we ertegen doen? Preventie is de enige effectieve aanpak omdat de sporen naar het slachtoffer wijzen Controleprocedures moeten slimmer worden om identiteitsfraudeurs te kunnen ontmaskeren Overheden, organisaties en burgers moeten zelf zorgvuldiger omspringen met gegevens waarmee een identiteit kan worden ge(re)construeerd 33

Slimmere identiteitscontroles Meer aandacht voor de persoon van de gecontroleerde. Personen controleer je anders dan documenten! Oplossing: meeliften moeilijk maken Meer aandacht voor het proces van identiteitscontrole: iedere situatie van identiteitscontrole is anders (Schiphol, bank, politiebureau). Oplossing: variatie in werkwijze (minder voorspelbaar of identiteitsfraude gaat lukken!) Meer aandacht voor controlegegevens. Oplossing: onafhankelijke gegevens van elders, gegevens op identiteits-bewijzen niet gebruiken of extra verifiëren Meer aandacht voor de waarde van identiteitsbewijzen en persoonsnummers; hoe méér je ermee kunt doen, hoe harder de aanval! Oplossing: extra drempels toevoegen(pincode, transactiecode, etc.), dus: vaker kloppen 34

Conclusies 35

Conclusies Identiteitsfraude is gemakkelijk en lonend; identiteitsfraude zal het eerste decennium eerder toe dan afnemen Identiteitscontroles moeten slimmer worden om meeliften af te kunnen stoppen; beveiliging moet hier een duidelijke eigen bijdrage aan (kunnen) leveren Hierbij is zowel een kleinschalige als een grootschalige kijk op ketens nodig: een niveauvergissing levert lekkages op! 36

Einde www.keteninformatisering.nl 37

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback