Blog

Paradox!

Kan een recherchebureau ISO screening of persoonlijk onderzoek voor derden verzorgen, maar deze certificering zelf niet hebben? Paradoxaal!

Een beroepsgroep die vaak te maken heeft met persoonlijke, vaak gevoelige, persoonsgegevens is die van de particulier recherche onderzoeker.

Men is als recherchebureau wettelijk verplicht zich te houden aan de geldende AVG (Algemene Verordening Gegevensbescherming) richtlijnen en men moet zich zeer bewust zijn wat een goede informatiebeveiliging nu betekent en inhoudt.

Definitie van informatiebeveiliging:

Het geheel van maatregelen, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen.

Maar informatiebeveiliging gaat verder dan alleen ICT-normen. Eén van de vereisten om te voldoen aan de ISO 27001 norm is het screenen van personeel, de richtlijnen zijn hierin heel duidelijk: screening van (nieuw) personeel is vereist. Een werkgever kan dit natuurlijk laten doen door de eigen HR-afdeling, maar omdat het heel belangrijk is om te weten of de medewerkers binnen een organisatie echt betrouwbaar zijn kan men ook kiezen om deze screening uit te besteden aan een extern bureau. Goed gekwalificeerd en integer personeel is namelijk de echte basis van een organisatie. Om een dergelijke ISO-screening te verzorgen mag je dan ook op zijn minst verwachten dat de ingehuurde externe deskundige zelf ook voldoet aan de ISO 27001 norm.

Op 29 februari 2016 heeft de AP (Autoriteit Persoonsgegevens) de ‘Privacy gedragscode sector particuliere onderzoeksbureaus’ voor een periode van vijf jaar goedgekeurd. Dit gebeurde wel met de kanttekening dat deze op 25 mei 2018 (invoerdatum AVG) aangepast diende te worden naar de richtlijnen van de AVG.  Dit betekent onder andere dat er bij de doorgifte van persoonsgegevens passende waarborgen getroffen moeten zijn en een certificering gewenst is.

Toen wij als Digitale Opsporing in 2018 begonnen na te denken over een certificering ingevolge artikel 42 van de AVG – hierin stond nog niet specifiek beschreven aan welke certificering moest worden voldaan- kwamen we al snel uit bij de ISO 27001 certificering. Groot was wel de verbazing dat binnen de beroepsgroep van particuliere recherchebureaus de gecertificeerden op minder dan een hand te tellen zijn. En juist deze beroepsgroep gaat in dit digitaal tijdperk iedere dag om met zeer vertrouwelijk (persoons)gegevens.

Artikel 42 van de AVG stelt verder dat er transparantie dient te zijn voor betrokkenen over het gegevensbeschermingsniveau van activiteiten, producten en diensten.

Vanaf 2020 wordt een certificering of een ‘right to audit’-contract zelfs een must als je als recherchebureau werkzaamheden of onderzoek wilt verrichten voor de gemeentelijke overheid. Zij mogen vanaf januari 2020 deze specifieke werkzaamheden alleen nog maar uitbesteden aan leveranciers die hun certificering op orde hebben.

En ja hoor, binnen enkele weken hopen wij van Digitale Opsporing, na een traject van meer dan een jaar, een van die zeldzame Nederlandse recherchebureaus te zijn die ISO gecertificeerd zijn.

Paradoxaal genoeg bestaan er particulier rechercheurs die op hun website gewag maken van het feit dat ze een ISO 21007 screening kunnen uitvoeren, maar die zelf …. Ja dat.

Wilfred van Roij
Algemeen directeur Digitale Opsporing

Recente berichten

Pipl

Bekende zoekmachines zoals Google, Bing en Yandex doorzoeken uitsluitend het publieke clear web. Naast de open bronnen zijn er op het internet ook veel semi-gesloten bronnen te vinden. Deze bronnen zijn veelal uitsluitend toegankelijk na betaling of registratie. De...

Digitale voetafdruk

Een voorbeeld van een digitale voetafdruk Recent ontvingen we een telefoontje van een onderzoeker (iRC klant) dat ze binnen onze beveiligde omgeving toch traceerbaar zouden zijn. Dat klopt uiteraard niet, d.m.v. VPN wordt uw verbinding versleuteld en uw locatie en...

Log4Shell

We hebben het inmiddels allemaal wel voorbij horen komen: Log4J/Log4Shell, de nieuwe grote ramp van het internet. Maar wat is het nou precies? Is de paniek terecht? En wat kunnen we er zelf tegen doen? Wilt u bij toekomstige incidenten direct op de hoogte worden...

Digitale Trends

Social media De digitale wereld lijkt wel in een stroomversnelling te raken. Verschillende generaties gebruiken social media. De oudere generatie is vooral actief op Facebook, Linkedin, de “hippe” op Instagram en de jongste generatie houdt zich voornamelijk bezig met...

VPN

Hoe veilig is uw (buitenlandse) VPN-verbinding? En hoe ‘gratis’ is een gratis VPN-verbinding echt? Een VPN (virtual private netwerk) versleutelt uw internetverbinding en leidt het verkeer via een server die wordt beheerd door de VPN-provider. Deze toepassing is...

Zorgfraude opsporen

Begin met een rechtmatig online onderzoek en laat OSINT skills u daarbij helpen. De afkorting OSINT staat voor Open Source Intelligence en omvat de methodiek om informatie en inlichtingen in beschikbare open bronnen en semi open bronnen te herkennen en deze op een...