De gele pas in incident response. Slimme marketing of daadwerkelijk nodig?
In Nederland zijn veel incident response partijen geregistreerd als (particulier) recherchebureau. Recherchebureaus doen onderzoek naar personen in opdracht van particulieren of organisaties. Hiervoor hebben ze in Nederland een vergunning nodig en de rechercheurs moeten in het bezit zijn van een gele pas. Deze ontvangen ze als ze een opleiding Particulier Onderzoeker afgerond hebben. De pas laat zien dat je onderzoek uitvoert volgens de Wet particuliere beveiligingsorganisaties en recherchebureaus (Wpbr) en de bijbehorende Privacygedragscode.
Dit betekent dus dat incident response partijen met een vergunning onderzoek mogen doen naar personen. Over het algemeen zie je dat incident response partijen ingeschakeld worden om onderzoek uit te voeren bij ransomware, business email compromise, advanced persistent threats, inbreuken in de IT-omgeving, enzovoort. Bij dit soort incidenten wordt onderzoek gedaan naar hoe de aanval heeft kunnen plaatsvinden en/of welke data er getroffen is. Deze onderzoeken zijn dus niet gericht op personen tenzij hier expliciet om gevraagd wordt. Een gele pas is dus over het algemeen niet nodig voor dit soort zaken.
Er vinden ook incidenten plaats waarbij wel direct een persoon betrokken is. Bijvoorbeeld: fraudezaken of diefstal van gegevens door medewerkers. De incident response partij kan hierbij onderzoek doen naar verdachte activiteiten op de zakelijke accounts en bedrijfsmiddelen. Dit onderzoek mag uitgevoerd worden zonder gele pas als het gericht is op de systemen. Maar de betrokken persoon moet hiervan wel op de hoogte gesteld worden tenzij dit het onderzoek ernstig kan verstoren.
Als je als organisatie van plan bent hier een civielrechtelijke zaak van te maken, is het aan te raden dit te laten uitvoeren door een Particulier Onderzoeker. Het bewijsmateriaal wordt dan namelijk makkelijker geaccepteerd in de rechtbank. Het kan natuurlijk ook zo zijn dat organisaties zelf onderzoek willen doen naar hun medewerkers. Dit kan zonder vergunning en zonder gele pas. Al zijn organisaties hierbij natuurlijk wel aan regels gebonden. Naast de vraag of het onderzoek gericht is op een persoon is het dus ook belangrijk om te weten wat je vervolgens met die informatie wilt doen.
Moet je waarde hechten aan de vergunning en de gele pas? Dat hangt toch echt af van welke onderzoeksverzoeken jij bij een incident response partij wilt doen. Ik vind dat er soms teveel waarde aan gehecht wordt. Ik zeg daarmee niet dat het niets toevoegt of helemaal niets zegt over de kwaliteit die geleverd wordt. Maar ik vind vooral dat we moeten kijken naar in welke situaties het daadwerkelijk nodig is en wat je ervoor krijgt. Laten we het in ieder geval niet klakkeloos in aanbestedingen of offerte-uitvragen opnemen.
Over Lisa
Lisa de Wilde is cybersecurity expert met hands-on ervaring in het oplossen van complexe cyberaanvallen bij organisaties in binnen- en buitenland. Ze weet als geen ander hoe groot de impact van security incidenten kan zijn – zowel op organisaties als op mensen.
Als spreker en trainer staat ze bekend om haar energieke, interactieve stijl. Ze duikt in de belevingswereld van haar publiek en past haar verhaal direct aan op hun behoeften. Met haar workshops en trainingen en tijdens adviesopdrachten helpt ze organisaties weerbaarder te worden en veerkrachtiger om te gaan met cyberaanvallen.
Bij Security Innovation Stories deelt ze haar praktijkervaringen in columns én korte video’s. Ze put daarbij uit haar frontlinie-ervaring en vertaalt complexe security-uitdagingen naar concrete, praktische inzichten.
