Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

GDPR en privacy by design in de praktijk

 

Computable Expert

Cordny Nederkoorn
Test- en marketing consultant, TestingSaaS. Expert van Computable voor de topics Development, Cloud Computing en Security.

Privacy is niet meer weg te denken in de hedendaagse software. Voor DevOps een belangrijke feature om rekening mee te houden. Maar wat is de relatie van privacy by design met DevOps?

Volgens de Autoriteit Persoonsgegevens (AP) moeten organisaties, wat betreft privacy by design (pbd), met de volgende zaken rekeningen houden:

  1. Aandacht besteden aan privacy enhancing technologies (pet)
  2. Dataminimalisatie: een minimale verwerking van persoonsgegevens

Het concept privacy by design kwam voor het eerst naar voren in 1995 in een gezamenlijk rapport over 'privacy-enhancing technologies' (pet), gemaakt door de Information and Privacy Commission of Ontario, Canada, het Nederlandse College Bescherming Persoonsgegevens en TNO.

Het is dus geen nieuwe term. Alhoewel het concept al meer dan twintig jaar rondzingt in de EU, komt het dit jaar eindelijk aan bod in Europese wetgeving: De General Data Protection Regulation (GDPR), de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele EU.

Mooi, maar wat heeft dat nu te maken met DevOps?

Privacy by design-principes en DevOps

"Owasp wil richtlijnen praktischer maken door information security te koppelen aan privacy risico’s"

Iedere benadering heeft zijn principes. Zo ook privacy by design:
Voorkomen is beter dan genezen;
Privacy is de standaard;
Integreren van gegevensbescherming en beveiliging in het ontwerp;
Volledige functionaliteit;
End-to-end beveiliging - Bescherming gedurende de hele levenscyclus;
Zichtbaarheid en transparantie;
Respect voor privacy van de betrokkene – de betrokkene staat centraal

Zoals u ziet zijn deze principes gerelateerd aan informatiebeveiliging, maar zijn ze nog steeds dubbelzinnig en niet makkelijk te implementeren in DevOps. Daarom proberen organisaties zoals de Open web application security project (Owasp) deze richtlijnen praktischer te maken door information security te koppelen aan privacy risico’s.

Owasp heeft een top 10 privacy risico’s wat betreft information security:
1 Web application vulnerabilities;
2 Operator-sided data leakage;
3 Insufficient data breach response;
4 Insufficient deletion of personal data;
5 Non-transparent policies, terms and conditions;
6 Collection of data not required for the primary purpose;
7 Sharing of data with third party;
8 Outdated personal data;
9 Missing or insufficient session expiration;
10 Insecure data transfer

Deze risico’s zijn niet zo dubbelzinnig zoals de privacy by design-principes. Een DevOps-team kan ieder van deze risico’s invoeren in hun backlog om user stories van te maken.

Een lijst van privacy by design-tools voor een DevOps team is zo te maken, maar dat is niet het doel van dit artikel. Voor een DevOps teamlid is het van belang dat degene weet wat privacy by design is, en hoe het kan worden toegepast. Praktische richtlijnen van Owasp kunnen hierbij helpen. Een bruikbare tool kan dan worden geselecteerd op basis van de privacy by design-principes en Owasp-richtlijnen.

Conclusie

Privacy by design is een software-ontwikkelbenadering die privacy gedurende de hele software development cycle in acht neemt. Vanwege de GDPR is het voor DevOps-teams van belang de privacy by design-principes in hun dagelijkse werk door te voeren. Hierbij kunnen de praktische richtlijnen van Owasp bruikbaar zijn, inclusief de privacy by design-tooling.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/6307818). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.