CBS scherpt eisen aan voor toegang tot CBS-databestanden via remote access

/ Auteur: Miriam van der Sangen
Dame achter computer
Een commissie van onafhankelijke wetenschappelijke experts heeft op verzoek van het CBS onderzoek gedaan naar de toegang tot CBS-databestanden voor externe onderzoekers via remote access (onderzoek op afstand). Uit dat onderzoek is gebleken dat de remote access-voorziening weliswaar voldoet aan de huidige veiligheids- en privacy-eisen, maar om dat ook voor de komende jaren veilig te stellen is blijvende aandacht voor beveiliging en privacy nodig. Het CBS voert daarom enkele aanscherpingen door in het beleid. Het nieuwe beleid treedt op 1 augustus 2021 in werking.

Unieke bij wet geregelde toestemming

Het CBS verzamelt administratieve data van burgers en bedrijven die in beheer zijn bij overheidsinstellingen voor de productie van officiële overheidsstatistiek. Het CBS heeft daarvoor een unieke bij wet geregelde toestemming. De data worden door het CBS zo snel mogelijk van individuele identiteitskenmerken ontdaan en op een streng beveiligde manier bewaard. Ruben Dood, directeur beleidsstatistiek en microdataservices bij het CBS: ‘Het CBS gebruikt deze zogenoemde microdata zelf voor het maken van zijn openbare statistieken, maar ook wetenschappelijke onderzoekers van Nederlandse universiteiten en kennisinstituten kunnen – onder strikte voorwaarden – toegang krijgen tot deze privacygevoelige microdata in een beveiligde omgeving via remote access. Op dit moment verrichten bijna 200 externe partijen onderzoek met deze data.’

Maatschappelijk nut van CBS-data

De wet op het CBS maakt het mogelijk om toegang tot microdata te verlenen voor statistische of wetenschappelijke onderzoeksdoeleinden. Doel van het verlenen van toegang tot deze data is het maatschappelijk nut van de CBS-data zo groot mogelijk te maken. De toegang is zo ingericht dat geautoriseerde externe onderzoekers de microdata alleen binnen de beveiligde online omgeving van het CBS kunnen raadplegen via de zogenoemde remote access-faciliteit. Op die manier kan het statistiekbureau maximale controle houden op de gebruiksdoelen, privacy en informatiebeveiliging. Ruben Dood: ‘In de afgelopen jaren is het aantal gebruikers van deze microdata behoorlijk gegroeid. Bovendien zijn de technologische mogelijkheden om beveiligingsmaatregelen te omzeilen steeds geavanceerder. Ook is de Algemene Verordening Gegevensbescherming (AVG) van kracht die eisen stelt aan de bescherming van persoonsgegevens. Dat zijn de redenen waarom het CBS een onafhankelijke onderzoekscommissie heeft gevraagd om helderheid te verschaffen over mogelijke risico’s.’

‘In de afgelopen jaren is het aantal gebruikers van microdata behoorlijk gegroeid’

Eindrapport

De onderzoekscommissie onder voorzitterschap van Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden, heeft in 2020 een eindrapport opgeleverd over de bevindingen inzake de toegang tot CBS-bestanden via remote access. Ruben Dood: ‘Er zijn twee belangrijke conclusies. Allereerst blijkt dat de microdataservices niet meer weg te denken zijn in de dagelijkse praktijk van de wetenschappelijke wereld. Ten tweede heeft de commissie geconcludeerd dat het CBS de huidige IT-processen en privacybescherming op orde heeft. Maar met het oog op de toekomst heeft de commissie een aantal aanbevelingen gedaan. Op basis daarvan konden wij een interne discussie bij het CBS voeren over de afwegingen die we moeten maken naar soorten risico’s die zich bij remote access kunnen voordoen bij gebruikers, processen, procedures, data en IT.’ Erik Bruinsma, directeur strategie en bestuursadvisering bij het CBS: ‘Het kernpunt van de wijziging is dat statistisch en wetenschappelijk onderzoek centraal staat en dat instellingen daarom moeten voldoen aan wetenschappelijke normen, waarvan openbaarmaking van de onderzoeksresultaten één van de belangrijkste is.’

Europese privacywet

Niet alleen de aanbevelingen van de onderzoekscommissie waren uitgangspunt voor de discussie over remote access bij het CBS. Bruinsma: ‘We hebben ook gekeken naar de CBS-wet en de Europese privacywet (AVG) en gekozen voor een betere aansluiting van ons beleid bij die wetten. Dat heeft geleid tot enkele aanscherpingen in het beleid. Zo zijn de voorwaarden voor organisaties die gebruik maken van de toegang tot microdata explicieter en transparanter gemaakt om het belang van privacy van burgers en bedrijven te benadrukken. Dat betekent dat toegang tot onze databestanden voortaan alleen mogelijk is voor universiteiten, kennisinstellingen en organisaties uit landen die eenzelfde niveau van privacybescherming kennen als de AVG. Organisaties uit landen die niet een dergelijk niveau van privacybescherming hebben, mogen hun huidige machtiging uitdienen maar komen dus niet meer voor een nieuwe machtiging in aanmerking.’ Bruinsma benadrukt in dit verband dat het van belang is om de juiste balans te vinden tussen privacy en informatiebeveiliging enerzijds, en het maatschappelijk en wetenschappelijk nut anderzijds. ‘Het CBS zal dit steeds voor ogen houden.’

Nieuw beleid

De aanscherping van het beleid om de toegang tot microdata via remote access in de toekomst veilig te stellen, is onder andere besproken met de gebruikersraad microdata. Ruben Dood: ‘Met name de gebruikersraad heeft wat zorgen geuit. Ze vinden het aanvragen van toegang tot microdata via remote access nu al een bureaucratisch proces en vragen zich af of dat niet toeneemt door het nieuwe beleid. Maar het CBS kiest in deze voor veiligheid boven gebruikersgemak.’ De Raad van Advies van het CBS onderschrijft het belang van de herijking van het beleid voor toegang tot microdata. Het nieuwe beleid gaat op 1 augustus 2021 in en wordt breed bekend gemaakt, onder andere door publicatie in de Staatscourant. Daarnaast krijgen alle instellingen die op dit moment toegang tot microdata hebben via remote access een brief van het CBS, waarin zij worden geïnformeerd over het nieuwe beleid.

Onderzoek doen op microdata van het CBS
Microdata zijn koppelbare data op persoons-, bedrijfs- en adresniveau waarmee universiteiten, wetenschappelijke organisaties, planbureaus, statistische instanties in ons land en de Europese Unie onder strikte voorwaarden zelf statistisch onderzoek kunnen doen. Het borgen van privacy en het voorkomen van onthulling van personen en bedrijven is daarbij het uitgangspunt. Om toegang te krijgen moeten een aantal stappen doorlopen worden. Deze treft u in deze link aan.