Blog

De nieuwe GDPR-privacywetgeving

Author Image

Damiano Patane

Junior mobile/webdeveloper

19 jan 2018

Header image

Binnen vrijwel elk veld in IT zal je te maken krijgen met data. In dit soort gevallen is het van belang dat je als professional zorgvuldig met deze data omgaat. Niet alleen is dit belangrijk omdat gegevens niet gelekt mogen worden, maar ook omdat er wetgevingen hiervoor zijn opgesteld. In deze blog wil ik focus leggen op hoe je als professional de beste mindset kan hebben om veilig met data om te gaan. Dit is nu relevant vanwege de nieuwe GDPR-privacywetgeving die dit jaar ingaat in Europa.

De Nederlandse privacywetgeving

De WBP (Wet Bescherming Persoonsgegevens) is de Nederlandse uitwerking van de Europese richtlijnen voor bescherming van persoonsgegevens. De WBP is sinds 1 september 2001 van kracht binnen Nederland. Iedere applicatie die gemaakt wordt binnen Nederland en gebruik maakt van persoonsgegevens moet voldoen de volgende algemene bepalingen:

  • Zorgvuldigheid. Persoonsgegevens moeten in overeenkomst met de wet op zorgvuldig worden verwerkt.
  • Transparantie. Data mag alleen met vooraf gestelde, uitgelichte en gerechtvaardigde doeleinden worden gebruikt en mogen niet worden verwerkt voor andere doeleinden.
  • Duidelijkheid. Degene van wie persoonsgegevens wordt gevraagd moet op de hoogte zijn van de identiteit en de doeleinden van de organisatie of persoon die deze persoonsgegevens verwerkt.
  • Veiligheid. De gegevensverwerking moet op een passende manier worden beveiligd. Hiervoor gelden extra strenge regels voor gegevens als ras, gezondheid, geloofsovertuigingen en seksuele voorkeur.

 

Internationale privacywetgevingen en het GDPR

De regelgeving van persoonsgegevens is niet overal ter wereld hetzelfde. Bijvoorbeeld is een andere regelgeving binnen de EU een Europees Verdrag dat bescherming biedt voor de rechten van de mens en de fundamentele vrijheden. Dit is het dataprotectie verdrag van de Raad van Europa.

Zo zijn er wereldwijd verschillende wetgevingen. Dit is erg verwarrend maar deze versplintering van wetgevingen wordt beter gestandaardiseerd vanaf 25 mei 2018 als de 'General Data Protection Regulation' (GDPR) wetgeving in gaat. Dit is een nieuwe Europese wetgeving die de regels uit de huidige WBP verscherpt en een aantal nieuwe verplichtingen toevoegt. Het grootste verschil is dat deze wetgeving zowel gaat gelden voor alle EU als non-EU bedrijven die persoonsgegevens verwerken van inwoners uit de EU.

Hoe kan ik secure en zorgvuldig met mijn data omgaan?

In kader van deze nieuwe wetgeving is het handig te kijken of je in de 'Software Development Life Cycle' van je software 'Security by Design' toepast in je ontwikkelingsprocessen. Dit wordt ook wel 'Secure SDLC' (SSDLC) genoemd. Het principe van SSDLC rust op 3 pilaren:

  • Vertrouwelijkheid. Alleen toegang verlenen aan data waar de gebruiker toestemming voor heeft
  • Integriteit. Het zeker maken dat er niet met data wordt geknoeid of data veranderd wordt door ongeautoriseerde gebruikers.
  • Beschikbaarheid. Het zorgen dat systemen en data altijd beschikbaar zijn voor de geautoriseerde gebruikers wanneer dit nodig is.

De veiligheid van data binnen de ontwikkeling van elk type software is te waarborgen als de kans op kwetsbaarheden wordt geminimaliseerd en bekende veiligheidstechnieken  en standaards worden doorgevoerd in de gebruikerservaring. Er moet worden gezorgd dat elke gebruiker altijd het laagst mogelijke hoeveelheid privileges heeft, en toch het product volledig kan gebruiken. Er moet tevens worden gezorgd dat mogelijke kwetsbaarheden met betrekking tot de veiligheid van de software vanuit verschillende scenario’s wordt gecontroleerd zodat kwetsbaarheden nog verder worden geminimaliseerd. Ook moet er altijd worden bepaald hoe een applicatie een veiligheidsrisico heeft kunnen oplopen mocht er wat misgaan zodat hiervoor voortaan een maatregel voor kan worden genomen.

Verdeling van veiligheidslogica

Als plugins, libraries en/of andere derde partijen binnen de software architectuur worden gebruikt moet er worden gecontroleerd dat dezelfde of betere standaarden worden toegepast. Dit omdat de security zo sterk is als de zwakste schakel. De verdeling van veiligheidslogica is dus een essentieel aspect in je software architectuur:

  • Scheiding. Er moet worden gestreefd om verplichtingen en vereisten binnen een software architectuur voor dataveiligheid altijd gescheiden te houden. Veiligheidstechnieken moeten dus nooit allemaal op hetzelfde component gebeuren.
  • Delegatie. Initiële veiligheidstechnieken kunnen beter vanuit de server gedelegeerd worden. Als er te veel veiligheidslogica op de cliënt (de gebruiker-kant) ligt is het makkelijker voor een hacker hier achter te komen. Daarbij komt het voordeel dat als je veiligheidslogica vanuit de server delegeert je die standaard/niveau automatisch op de hele architectuur forceert die in contact komt me deze server.  Op die manier kan je een veiligheidsniveau beter aanhouden.

Als een last resort is het belangrijk te onthouden dat privacywetgeving in gaan op het verantwoordelijk omgaan met persoonsinformatie, niet de toepassing van specifieke technieken. Stel daarom algemene gebruikersvoorwaarden op waarin de gebruiker toestemming geeft op veiligheidsvlakken waarin je eventueel nu nog in tekort schiet.

Voor meer gedetailleerde informatie over welke veiligheidstandaarden je kan toepassen kan je een kijkje nemen bij:
- Security Verification Standards van The Open Web Application Security Project (OWASP); www.owasp.org
- Secure Development Guidelines van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA); www.enisa.europa.eu

Bronnen

https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/wet-bescherming-persoonsgegevens
https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/internationale-privacywetgeving
https://www.emerce.nl/achtergrond/gdpr-10-veranderingen
https://www.owasp.org/index.php/Security_by_Design_Principles
https://www.synopsys.com/software-integrity/resources/knowledge-database/software-development-life-cycle.html

Gerelateerde artikelen & blogs