Architectuur /   |   29 oktober 2014

Digitale Duurzaamheid: Waarborgen voor authenticiteit en integriteit

Niklas Odding

In mijn eerste blog heb ik aangegeven dat er bij digitaliseringstrajecten op een aantal punten meer aandacht nodig is. In deze blog zal ik één van deze aspecten behandelen, namelijk het waarborgen van de integriteit en authenticiteit van documenten.

In de teksten die naar de tweede kamer zijn gestuurd rondom de wijzigingen van het wetboek van Burgelijke Rechtsvordering en de Algemene wet bestuursrecht in verband op de nieuwe wetgeving rondom de digitalisering van de Rechtspraak,  wordt een hele pagina aan dit onderwerp gewijd. Het is uiteraard van belang dat stukken die door de Rechter worden beoordeeld de goede stukken zijn en dat de samenleving er op kan vertrouwen dat er geen wijzigingen in stukken zijn aangebracht (ook niet onopzettelijk). Het feit dat dit in een memorie van toelichting op nieuwe wetgeving staat, geeft al aan dat het onderwerp niet alleen maar op de achterkamertjes van security specialisten wordt besproken, maar dat het op de agenda staat van bestuurders en besluitvormers.

Hoe zorg je er als organisatie voor dat de digitale documenten die zich binnen jouw beheer bevinden zodanig worden beheerd dat van deze documenten altijd duidelijk is dat er geen wijzigingen in zijn aangebracht. Dat de documenten authentiek zijn (conform het origineel) en integer (er zijn geen wijzigingen aangebracht). Wat moet je doen als organisatie om deze waarborgen te garanderen?  Deze waarborgen zijn veelal een combinatie van maatregelen die in samenhang worden getroffen. In mijn ogen een onderwerp wat vanuit een architectuur oogpunt bekeken dient te worden.

Belangrijke vragen
Er zijn twee belangrijke vragen die je als organisatie moet stellen om de impact van dit vraagstuk op je organisatie te kunnen bepalen.

  1. Wat wil je bereiken als organisatie
    Deze vraag is veelal direct gerelateerd aan de aard van de organisatie. Een rechtbank zal 100% zekerheid willen bieden dat procestukken authentiek en integer zijn, declaties die worden ingediend bij een zorgverzekeraar zullen wellicht minder eisen stellen.
  2. Welke risico’s loop je als organisatie
    Wat gebeurt er als een medewerker van jouw organisatie documenten aanpast, of als er per ongeluk documenten kwijtraken in het proces? Leidt dit tot aanzienlijke schade van zowel imago als financieel, of leidt dit tot weinig schade? Welk risico is de organisatie bereid te aanvaarden en waar ligt die grens?

Maatregelen
Maatregelen die kunnen worden genomen lopen uiteen en dienen te passen bij de doelstellingen die je als organisatie hebt, maar ook te passen bij het risico dat je bereid bent te lopen. Deze maatregelen kunnen zich strekken van het beschrijven van de procedures die worden gevolgd, tot het met extern uitgegeven certificaten ondertekenen met gecertificeerd tijdstempel.  Ik heb een aantal van de maatregelen op een rijtje gezet. Deze zijn nog zeker niet volledig, maar geven een beeld van de maatregelen waar aan gedacht kan worden.

  • Toepassen “unbroken chain of custody”
    Het gaat hierbij duidelijke afspraken te hebben over het ononderbroken beheer van documenten door personen binnen een organisatie
  • Gebruik Hash-totals
    Door hashtotals van documenten te berekenen bij opname van een document in een systeem, kan worden gedetecteerd dat er aanpassingen in de bitstream van documenten zijn opgetreden.
  • Trusted system
    Door het systeem waarbinnen documenten worden opgeslagen met voldoende beveiligingsmaatregelen worden omgeven, kan er van worden uitgegaan dat documenten integer worden opgeslagen.
  • Gebruik digitaal onderteken technieken
    Hierbij wordt de hash van een document bepaald, maar wordt deze tegelijkertijd met een certificaat versleuteld.
  • Gebruik externe digitale tijdstempels
    Door een hash van een document te leveren aan een externe datumstempel aanbieder, wordt de hash en de datum van stempelen versleuteld en aan het document verbonden

Concluderend
Er zijn zeker nog meer maatregelen te bedenken, waaronder ook niets doen. Vanuit het oogpunt van verantwoording pleit ik er echter wel voor om het onderwerp besproken te hebben en hier bewust voor te hebben gekozen. Welke maatregel de beste is wordt bepaald binnen de context van de overall business en informatie architectuur van uw organisatie. Een goed hulpmiddel om dit vraagstuk aan te vliegen is bijvoorbeeld door gebruik te maken van GEA (General Enterprise Architecting). Aan de hand van de belangrijkste perpectieven en richtinggevende uitspraken van de enterprise architectuur kan de impact worden bepaald rondom dit vraagstuk voor uw organisatie.

Bespreek de mogelijkheden
3