21-11-2016

De GDPR en wat nu?

Privacy by design biedt kansen om datagebruik privacy-vriendelijk in te richten. Brenda Langedijk van Software Improvement Group (SIG) ziet in de praktijk nog echter een grote behoefte aan kennis. Zij sluit zich dan ook graag aan bij de community en gooit alvast wat discussievragen in de groep. Het achteraf aanpassen van software zodat het voldoet aan kwaliteitseisen is altijd ingewikkelder en duurder dan dat vooraf by design dit doen. Maar de vraag is vaak hoeveel en wat er vooraf gedaan moet worden? Daarnaast houdt privacy by design niet op nadat er een privacy impact analyse is gedaan. Stel dat er een ontwerp ligt voor je nieuwe systeem, hoe kan je tijdens en na de bouw toetsen of het aan de gestelde eisen voldoet? Neem bijvoorbeeld een webshop waar alcohol verkocht wordt. Dan worden er via verschillende methoden verschillende persoonsgegevens verzameld. Vooraf moet er gecontroleerd worden of de koper daadwerkelijk 18 is, hiervoor kan binnenkort IDIN of de opvolger van DigiD gebruikt worden. Daarna wil de winkelier ook geld ontvangen dus de betaling gaat via iDeal of een soortgelijke dienst. Vervolgens worden de goederen geleverd, dat adres wil je van de betalende partij ontvangen. En na aflevering moet het niet mogelijk zijn deze levering te ontkennen, dus is opslag van een ontvangstbewijs zoals bijvoorbeeld een  (elektronische) handtekening. Vooraf heb je dan heel wat vragen te stellen en te beantwoorden, voordat je alles in softwaresystemen in regelt. Stel dat deze denkbeeldige webshop alle data verzamelt en in 1 database stopt, mag dat dan? En is het ontwerp gelijk aan dat wat de software daadwerkelijk doet?  En is het nog wel gebruiksvriendelijk voor medewerkers of nodigt het uit voor work-arounds voor die wettelijke eisen die je in het systeem ingebouwd hebt. Je moet veel weten over de context van gebruik, voordat je privacy by design inbouwt in je systemen en in je afspraken met softwareleveranciers. Door goed uit te zoeken, voor en tijdens de bouw (agile), gaat het de webshophouder lukken. Dit is waar we met de community een bijdrage aan zouden kunnen leveren. Brenda Langedijk is Security Consultant, Software Improvement Group (SIG). Naast security architectuur en security management heeft ze ervaring met pentesten.