De nut en noodzaak van

Privacy by design

Auteur

Raoul de Vries

Focus

Security

Een greep uit de nieuwsberichten van de afgelopen twee weken. Datalekken zijn aan de orde van de dag:

  • ‘Priveadressen Kamerleden op straat door datalek Kamer van Koophandel’
  • Hacker steelt data Hogeschool Arnhem en Nijmegen’
  • ‘Gegevens gepensioneerde KLM’ers op straat door groot datalek bij pensioenuitvoerder’

Wat is een datalek?

Het begrip datalek is breed. Het gaat bijvoorbeeld om het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie of ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens valt onder de noemer ‘datalek’.

 

Lang niet ieder datalek ontstaat door hackers of met opzet. Sterker nog, veel datalekken ontstaan onbewust en door ‘normale’ menselijke fouten. Stel dat je een e-mail wilt sturen aan een flink aantal klanten. Op het moment dat je alle adressen netjes in de BCC wilt plakken komt je collega vertellen dat hij naar de CoffeeCompany gaat en vraagt of je ook koffie wilt. Je droomt even weg bij het vooruitzicht van die heerlijke kop koffie en oeps, je hebt een datalek te pakken omdat je per ongeluk alle adressen in CC plaatste.

 

Een ernstiger voorbeeld is het datalek bij een dierenpark in maart 2021 waarbij na een menselijke fout data van bezoekers op het darkweb werd aangeboden. Of het kwijtraken van twee externe harde schijven met een back-up van 6,9 miljoen donorformulieren.

 

Je ziet het, datalekken komen in alle vormen en maten. Of je een datalek moet melden bij de Autoriteit Persoonsgegevens hangt af van het risico voor de rechten en vrijheden van betrokkenen, de Guidelines meldplicht datalekken kunnen je daarbij helpen (maar in het geval van jouw CC-incident valt dat waarschijnlijk wel mee).

Hoe kun je datalekken voorkomen?

Je kunt zelf een aantal dingen doen om datalekken te voorkomen. Allereerst minimalisatie - bepaal het minimum aan gegevens en wijze van verwerking voor de uit te voeren dienst en vraag geen onnodige gegevens op. Als je bijvoorbeeld geen geboortedatum nodig hebt, vraag die dan ook niet op.

 

Daarnaast kun je werken met standaard oplossingen - grote partijen (bijvoorbeeld cloud diensten) hebben standaardcontracten waarin de verantwoordelijkheden zijn vastgelegd. Ook bieden deze partijen vaak technische oplossingen om te voldoen aan verschillende wettelijke eisen uit bijvoorbeeld de Algemene Verordening Gegevensbescherming.

 

Veel vaker dan je misschien denkt kun je ook anonimiseren - het is in sommige gevallen mogelijk om persoonlijke gegevens te anonimiseren terwijl de waardevolle informatie beschikbaar blijft. Zo kunnen bijvoorbeeld huisnummers verwijderd worden terwijl via de postcode nog steeds geo/locatie gebaseerde statististieken/data te achterhalen is.

 

En natuurlijk door privacy by design!

Wat is privacy by design?

Privacy by design betekent dat je vanaf het begin van een project evalueert welke gegevens er nodig zijn voor de uitvoering van bepaalde functies en diensten binnen de sites en tools die je ontwikkelt.

 

Bij dit principe staat privacy centraal. Producten en diensten worden standaard ingesteld om de hoogste mate van privacy te bieden. Privacy wordt een onderdeel van het ontwerp, zonder afbreuk te doen aan de functionaliteiten van jouw website of progressive web app.

 

Bij Alion maakt privacy by design standaard onderdeel uit van onze processen. Dankzij onze kennis op het gebied van privacywetgeving ben je bij Alion verzekerd van het beste advies en uitvoering. En onze aandacht blijft op de privacy gericht. Zo herhalen we niet alleen de security assessment maar ook onze zogenaamde pen-test periodiek.

 

Bij aanvang van het project voeren we bijvoorbeeld een security assessment uit, en om ervoor te zorgen dat de beveiliging van jouw app of website up-to-date blijft, herhalen we zo’n security assessment periodiek.  Meer daarover lees je in onze security by design blog. 

Wat betekent privacy by design in de praktijk?

Minimaliseren - Bij het ontwerpen van jouw oplossing, website of app staan we stil bij welke persoonsgegevens écht nodig zijn. Hoe minder gegevens opgeslagen worden, hoe beter.

 

Een goed privacy beleid - privacy by design gaat ook over het beleid van de organisatie en hoe dit door de werknemers wordt nageleefd. Bij Alion kunnen we je adviseren over het inrichten van deze processen.

 

Werken met de juiste technieken, programma’s en systemen - bij Alion zorgen we met behulp van programma’s zoals secrethub dat aan een site gekoppelde secrets ten behoeve van encryptie, API-access, ssl etc. op een veilige manier bewaard worden. Daarnaast bouwen we al onze websites in het Umbraco CMS.

Waarom scoort Umbraco goed op privacyniveau?

Umbraco scoort op privacy beter dan bijvoorbeeld Wordpress. Het risico op onveilige plug-ins (Umbraco noemt ze overigens “packages”) is kleiner, omdat je vrijwel geen uitbreidingen nodig hebt voor goede functionaliteit. Het CMS biedt standaard een zoekfunctie, meertaligheid, formulieren en zelfs krachtige workflow functies. Daarnaast zorgt de onderliggende Microsoft-technologie voor een toevoeging van veel security-aspecten. In het .NET framework zijn standaardoplossingen aanwezig waarmee de top 10 van veiligheidsrisico's (OWASP) worden voorkomen. Natuurlijk moet ook Umbraco voor een optimale beveiliging altijd up-to-date worden gehouden. Maar als wij je site realiseren in Umbraco Cloud, kost dat weinig tijd. Het meeste onderhoud gaat zelfs automatisch.

Voorkomen is beter dan genezen

Als merk kun je veel baat hebben bij privacy by design. Je voorkomt niet alleen boetes van de Autoriteit Persoonsgegevens, maar ook het verlies van autoriteit en geloofwaardigheid. Je beperkt het gevaar voor je concurrentiepositie en de risico’s die je gebruikers lopen als hun informatie in de verkeerde handen valt. Een datalek is de nachtmerrie van elke organisaties die met privacygevoelige informatie werkt. Alle reden dus om vandaag nog contact met ons op te nemen, we helpen je graag.

Daan Verberne

Daan Verberne

Sales & Account Director

Dit is ook interessant