Het is de hoogste tijd dat persoonsgegevens in it beter beschermd gaan worden en dat vereist actie. Een administratie van risico’s helpt, maar lost het probleem nog niet op. In mijn dagelijkse praktijk van software-onderzoek zie ik steeds weer dezelfde security- en privacyfouten. Het zijn de oorzaken van de datalekken waar we dagelijks over lezen en de wet eist nu dat ze worden verholpen. In dit artikel laat ik graag zien hoe dat kan worden aangepakt.

Met wat voor soort problemen hebben wij te maken? Denk bijvoorbeeld aan sport-apps die je locatie doorgeven aan adverteerders - ook als je niet aan het sporten bent. Of denk aan Ashley Madison: de Amerikaanse website voor buitenechtelijke relaties. Zij hadden hun security niet op orde waardoor alle gegevens op straat kwamen, ondanks hun diverse keurmerken, waaronder '100 persent secure'. Hun grootste zonde was niet zozeer de slechte beveiliging, maar het bewaren van adresgegevens terwijl die niet meer nodig waren en het onnodig registreren van ip-adressen. Zo kon de hele wereld zien wie precies overspel pleegde en wie dat bijvoorbeeld vanaf zijn werk deed. Pijnlijk, en met consequenties.

GDPR maakt privacy urgent

"De kleinste beslissing van een programmeur kan leiden tot het grootste privacyprobleem."

Een lichtpunt voor de bescherming van onze persoonsgegevens is de vernieuwde aandacht voor privacy met de Europese GDPR wetgeving, die organisaties aansprakelijk stelt voor goede omgang met persoonsgegevens. Bijvoorbeeld: verzamel niet meer persoonlijke informatie dan noodzakelijk, regel toestemming voor datagebruik, verwijder data wanneer dat kan, stuur het niet zomaar naar anderen, versleutel waar nodig, en zorg dat systemen niet gehackt kunnen worden of anderszins data lekken.