Veilige kluis op internet

29 augustus 2008
Nederlandse bedrijven worden vaker geconfronteerd met eisen om elektronische documenten beschikbaar te stellen. Deze gegevens zijn vaak wel aanwezig maar het is een groot probleem om ze beschikbaar te stellen (zie onder meer ‘Bedrijven zijn niet klaar voor forensisch onderzoek’, AG 29 april 2008, en ‘Bedrijven hebben grote moeite met openen e-mailarchieven’, AG 5 april 2007).

Aanleiding voor dergelijke verzoeken kan een strafrechtelijk onderzoek zijn, maar ook in civiele procedures is het tegenwoordig niet ongewoon om aan een partij elektronische correspondentie en bijlagen te vragen. Voor menig internationaal bedrijf is een SEC (Securities and Exchange Commission)-onderzoek in het kader van mogelijke omkoping een zware opgave voor de IT-afdeling. Maar ook een onderzoek van de Nederlandse Mededingingsautoriteit (NMa) moet niet onderschat worden (zie kader ‘NMa’).

In tegenstelling tot strafrechtelijke procedures, kunnen bedrijven in civiele procedures en in zogenaamde regulatory-compliance-onderzoeken (SEC, NMa et cetera) de strafmaat (boetes) verminderen door medewerking te verlenen aan het onderzoek. Is men niet in staat de gevraagde gegevens te vinden, dan kan de rechter of toezichthouder besluiten tot het opleggen van een boete. Het kunnen identificeren, verzamelen, selecteren en produceren van elektronische gegevens (kort samengevat: ‘e-Discovery’) wordt een belangrijke taak binnen bedrijven.

Ook Gartner rapporteert dat e-Discovery in toenemende mate een technologie is die bedrijven een groot voordeel kan opleveren in het kader van hun governance-, risk- en compliance-strategie. Zulke projecten kunnen echter lastig zijn. Enerzijds door de omvang en complexiteit van de elektronische informatie en de manier waarop die in (of soms buiten) de organisatie is opgeslagen en anderzijds door de tijdsdruk waaronder de gevraagde informatie geproduceerd moet worden.

Na het verzamelen van de informatie is het bedrijf nog niet klaar. Hoe kan die informatie het beste ter beschikking gesteld worden aan de eisende partij? In veel gevallen is de eerste reactie het kopiëren van bestanden en de kopieën over te dragen met allerlei aanvullende maatregelen (bijvoorbeeld versleuteling). Het nadeel van deze methode is dat beide partijen een administratie moeten bijhouden van de opgeleverde bestanden, die soms over meerdere leveringen zijn verdeeld. Bovendien verstrekt men kopieën van alle bestanden terwijl het voldoende is om de andere partij inzage te geven in de gegevens en alleen een kopie van de relevante documenten te verstrekken.

Het kan ook anders en efficiënter door documenten op een e-Discoverywebserver op internet te plaatsen. Via een dergelijke server kan een gebruiker met een standaardinternetbrowser (eventueel met een speciale plug-in) zoeken in de gegevens die voor zijn account zijn opengesteld. Ze kunnen ook zoeken op gestructureerde informatie en het is mogelijk om documenten te markeren. Met dit hulpmiddel kan een onderzoeksteam snel een complete review doen en vervolgens relevante documenten produceren.

Een bekende leverancier in deze markt is het Amerikaanse Stratify, dat vorig jaar is overgenomen door Iron Mountain (zie kader ‘Overnames’). Stratify levert diensten die een belangrijk deel van het e-Discoverywerk omvatten. Bedrijven moeten zelf de elektronische gegevens verzamelen en kunnen ze dan ongeacht het formaat bij Stratify aanleveren. Die zorgt voor de verwerking (splitsen van e-mail en ziparchieven, verwijderen van duplicaten, nummeren, filteren et cetera) en plaatst de documenten op een webserver die benaderbaar is via internet.

Niet alle bedrijven zijn bereid om hun vertrouwelijke informatie door een andere partij te laten hosten, zeker niet als dat betekent dat de data naar het buitenland moeten. De software van Stratify is niet te koop. Bedrijven die een eigen webserver willen opzetten, kunnen terecht bij andere leveranciers van webbased e-Discoverysoftware zoals iCONECT, iPRO, Ringtail, Attenex, Concordance en ZyLAB.

Maar het opzetten, vullen en veilig aanbieden van een dergelijke oplossing is niet eenvoudig en vereist specialistische kennis. Deze software is ook in trek bij forensische consultants waar bedrijven in veel gevallen toch al nauw mee samenwerken bij interne onderzoeken. Bedrijven of advocaten hoeven niet zelf een webserver te hosten maar in samenwerking met een onafhankelijke partij kan men vertrouwelijke documenten toch op een e-Discoveryserver in Nederland hosten.

We kunnen constateren dat e-Discovery in toenemende mate voorkomt in Nederland. Niet uitsluitend als gevolg van typische Amerikaanse onderzoeken of internationale arbitrage maar ook door lokale onderzoeken zoals die door onder andere de NMa worden uitgevoerd. Het blijft een moeizaam proces maar e-Discoverydienstverleners bieden professionele ondersteuning en kunnen bedrijven helpen om snel de benodigde gegevens te verzamelen en te verwerken. Door elektronische gegevens op een gecontroleerde manier via een centrale webserver aan te bieden, kunnen onderzoeken efficiënter uitgevoerd worden (zie kader ‘Voordelen’).

Hans Henseler is Director Forensic Technology Solutions bij PricewaterhouseCoopers. Op 23 september 2008 organiseert PwC het evenement ‘De e-Discovery webserver van PwC en de digitale werkwijze van de NMa’. Voor meer informatie:

hans.henseler@nl.pwc.com.

NMa digitale werkwijze 2007
Door middel van een digitale kluis kan een bedrijf gevoelige gegevens via internet laten bekijken door een andere partij. De veiligheid van gegevens in een digitale kluis op internet wordt enerzijds bepaald door de technische maatregelen en anderzijds door de integriteit van geautoriseerde gebruikers die toegang tot die kluis hebben.

De maatregelen die genomen moeten worden, worden bepaald door het risico van ongeautoriseerde toegang en de impact die dat heeft. Gegevens in onderzoeken zijn veelal vertrouwelijk en ongeautoriseerde toegang tot gegevens kan grote gevolgen hebben. Een goede maatregel is de toegang tot de webserver te beveiligen met een eToken. Zo’n eToken werkt als een sleutel en lijkt op een USB-stick. Zonder deze sleutel en bijbehorende pincode kan een gebruiker geen toegang krijgen tot het loginscherm op de server.

De sleutels worden uitgereikt en weer ingenomen volgens geldende PKI-regels. Naast de sleutel en pincode ontvangen gebruikers ook een persoonlijke login met wachtwoord voor de e-Discoveryapplicatie en is de communicatie met de server versleuteld. Een ander punt van veiligheid betreft de geautoriseerde gebruikers. Een provider dient strenge regels te hanteren voor het aangaan van cliëntrelaties. Daarnaast dienen eindgebruikers van een e-Discoveryserver speciale voorwaarden te ondertekenen die zowel betrekking hebben op het gebruik van de software als op het gebruik van de eToken.

Veiligheid digitale kluis op internet
1. Beter doorzoekbaar. Door een kopie van de benodigde informatie op een krachtige server onder te brengen, kunnen meerdere mensen tegelijkertijd met geavanceerde software de gegevens doorzoeken. Doorgaans is dat niet mogelijk binnen de eigen IT-infrastructuur van organisaties.
2. Kennisvoorsprong. Nog voordat andere partijen toegang hebben tot de gegevens, kan de onderneming zelf eventueel aangevuld met expertise van haar raadslieden of externe consultants achterhalen wat er eventueel is misgegaan of goed gegaan.
3. Aanleveren in gewenste formats. De e-Discoverysoftware maakt het mogelijk om de geselecteerde gegevens te produceren in een formaat dat als geldig bewijs wordt geaccepteerd tijdens een eventuele procedure.
4. Toegang tot gegevens altijd en overal. Alle betrokkenen hebben continu en vanaf hun eigen werkplek toegang tot de informatie. Het onderzoek verloopt hierdoor sneller en efficiënter waardoor op advieskosten bespaard kan worden.
5. Minder druk op de eigen operationele systemen en op de eigen organisatie. Dit effect mag niet onderschat worden; een gemiddelde onderzoeksvraag kan tientallen tot honderden gigabytes (en sommige grote onderzoeken zelf terabytes) aan elektronische gegevens opleveren.
6. Zekerheid. De zekerheid dat de gevoelige informatie is opgeslagen in een gegarandeerd veilige omgeving en de zekerheid dat de gegevens in Nederland blijven, tenminste als gekozen wordt voor een e-Discoveryserver die gehost wordt in Nederland.

Overnames e-Discoverymarkt
In 2003 heeft de NMa voor het eerst een digitale werkwijze gepubliceerd die betrekking had op het inzien en kopiëren van digitale gegevens en bescheiden. Sinds vorig jaar is deze werkwijze vervangen door de NMa digitale werkwijze. De digitale werkwijze is een voortvloeisel uit de Algemene wet bestuursrecht (Awb Art 5:17). In de praktijk betekent dit dat ambtenaren van de NMa vele tientallen, soms wel honderden, gigabytes aan informatie kopiëren.

Logischerwijs zal de onderneming zelf inzicht willen hebben in de gegevens die zijn gekopieerd en in veel gevallen wordt een intern onderzoek gestart. Bovendien zal de NMa in het kader van diezelfde wet de onderneming ook verzoeken om aan te geven welke bestanden zij dient uit te zonderen van het onderzoek. Een onderneming moet daarom snel kunnen bepalen welke gegevens wel en niet onderhavig zijn aan het ‘advocaat-cliëntprivilege’.

Voordelen e-Discoverywebserver
Grote spelers in de enterprise-search- en recordmanagementmarkt zijn zich aan het versterken. Vorig jaar is Zantaz door Autonomy overgenomen. Zantaz was oorspronkelijk gespecialiseerd in e-mail-archivingoplossingen en heeft zich ontwikkeld tot belangrijke speler in het e-Discoveryveld.
Autonomy heeft nu een belangrijke uitgangspositie om bestaande corporateklanten te benaderen met een e-Discoveryoplossing die naadloos aansluit (althans dat wordt beweerd) op de bestaande contentmanagement- en enterprise-searchsystemen. Een belangrijke stap want Autonomy zit nu gevangen tussen Google en Microsoft terwijl die laatste met de acquisitie van FAST Technologies grote stappen zet op de enterprise-searchmarkt. Een ander interessant voorbeeld is de overname vorig jaar van Stratify door Iron Mountain.

Iron Mountain is wereldwijd bekend als de aanbieder van oplossingen en diensten voor opslag, management en de bescherming van archieven, media en elektronische gegevens. Bijna iedereen kent de blauw-witte archiefdozen van Iron Mountain waarin de overtollige dossiers zorgvuldig worden gearchiveerd en extern worden opgeslagen. De uitbreiding van Iron Mountain met Stratify is strategisch een slimme zet omdat het traditionele recordsmanagement (archiefbeheer) en e-Discovery naadloos op elkaar aansluiten.
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Inloggen

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!