Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op cio.nl. Dit vinden wij jammer, want cio.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor cio.nl door deze te whitelisten?
!
Welkom op cio.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
0 Reacties Bewaren
architect, bouwplan, engineering

Hoe 'Privacy by Design' tot optimale dataprotectie leidt

Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) doet je deze aanbevelingen.

Een mogelijkheid om aan de technische eisen van de aanstaande Europese Privacy Verorderning te voldoen, is de implementatie van het concept 'Privacy by Design'.

De thema's dataprotectie en informatiebeveiliging staan, niet in de laatste plaats door de vele berichten in de media, momenteel voornamelijk in het teken van privacyschending en cyber-aanvallen. Door de daaruit voortvloeiende hackschandelen en de aanstaande Wet Meldplicht Datalekken, plus de nieuwe Europese Privacy Verordening, zijn de items hoog op de agenda van Raad van Besturen komen te staan.

Begin 2015 heeft het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) een rapport gepresenteerd met aanbevelingen voor de transformatie van de komende Europese Europese Verordening, die naar verwachting in 2017 in werking treedt. Het doet onder meer suggesties hoe bedrijven hun beschermingsmaatregelen kunnen verbeteren.

Volgens de wet moet er nu al in het ontwerpstadium rekening worden gehouden met gepaste technische en organisatorische maatregelen. Technologieën moeten dataprotectie bevorderen door onder meer vriendelijke voorkeursinstellingen te hanteren. Dit soort instellingen moeten integrale bestanddelen zijn van de ontwerpprocessen die schuilgaan achter systemen die data verwerken.

Aanbevelingen

In het rapport 'Privacy and Data Protection by Design - from policy to engineering' stelt de ENISA dat bedrijven op veel vlakken dataprotectie en andere veiligheidsbevorderende technieken verwaarloosd hebben. Met als resultaat dat de ontwerpprocessen fundamenteel gebreken vertonen.

De ENISA geeft op basis van deze analyse adviezen over bij welke situaties ingegrepen moet worden. Daarnaast geeft het tips die moeten helpen om in de toekomst beter om te kunnen gaan met uitdagingen bij de transformatie van deze dataprotectie- en veiligheidstechnieken.

Hieronder valt bijvoorbeeld:

  • De doorvoering van audits en het bevorderen van de invoering van kwaliteitskeurmerken door beleidsmakers in de vorm van incentive programma's.

  • Best practices voor bedrijven kunnen worden ontwikkeld en geleverd in door de overheid ondersteunde projecten, in de vorm van specifieke voorschriften met voorbeelden van herzieningen.

  1. De Europese privacytoezichthouders kunnen aan de hand hiervan de noodzakelijke overeenstemming vinden over concrete verplichtingen en good practices, zoals het Parlement dit voorziet in het ontwerp van de basisverordening.

  • Geïmplementeerde beveiligingsmechanismen moeten daarbij een verzachtend effect hebben.

  • Verder bekritiseert de ENISA dat veel technische vernieuwingen om beveiligingstechnieken aan te passen niet kunnen worden vertaald in marktconforme tools, of aan potentiële geïnteresseerden niet voldoende worden uitgelegd.

  • Ook de organisaties voor standaardisatie zoals de ISO moeten privacyaspecten in het vervolg zwaarder laten wegen.

Achtergrond van 'Privacy by Design & Privacy by Default'

Het idee van 'Privacy by Design & Privacy by Default' (ofwel: PbD) bestaat al sinds de jaren ´90 en werd ontwikkeld door onder andere onze voormalige Nederlandse vicevoorzitter van het College Bescherming Persoonsgegevens: John Borking. De Canadese toezichthouder Ann Cavoukian maakte deze overwegingen concreet met haar ´zeven principes van PbD´.

Wat is het idee achter PbD?

Voor een grondige totaalbenadering, met uitgangspunten die doorgaans uit andere richtsnoeren en wettelijke en reglementaire voorschriften komen (bijv. IDW PS 330, BOBIT, ISO 27001), volgt PbD in de vorm van een geclassificeerd model:

  • bedrijfsprocessen

  • ondersteunende IT-systemen en toepassingen, en

  • fysieke en technische ontwerpen en online infrastructuren.

De principes van Privacy by Design zijn daarbij toepasbaar op alle soorten persoonlijke informatie. De kwaliteit en de diepgang van de omzetting en de effectiviteit van de noodzakelijke privacymaatregelen moeten daarbij aansluiten op de risicogevoeligheid en de behoefte aan beveiliging.

Doelen en de zeven principes van PbD

De doelen van PbD - volgens Cavoukian de waarborg van privacybescherming - zijn 'persoonlijke controle over de eigen gegevens' en 'het gewin van een duurzaam concurrentievoordeel voor organisaties'. Deze zijn haalbaar door 7 basisprincipes te volgen:

  • Voorkomen is beter dan genezen

  • Dataprotectie is standaard

  • Integreren van gegevensbescherming en beveiliging in het design

  • Volledige functionaliteit - een positieve balans

  • Bescherming gedurende de hele levenscyclus

  • Zichtbaarheid en transparantie

  • Respect voor de privacy van de gebruiker

In 2007 pakte het Europees Parlement het concept van PbD voor het eerst op, met als gevolg dat de EU-Commissie het in 2012 verwerkte in het ontwerp van het dataprotectieverdrag.

Samenvatting

Het nieuwe privacyverdrag van de EU verlangt 'dataprotectie door techniek'. Al direct bij het systeemontwerp moet rekening worden gehouden met data protection. De nieuwe techniek moet niet alleen meer veiligheid maar ook meer privacy opleveren.

Organisaties kunnen het beste nu al kritisch kijken naar beveiligingseisen en de toekomstige bescherming van gegevens, met name in het licht van mogelijke sancties. Voor een gestructureerde en duurzame aanpak van het beheer is het raadzaam om rekening te houden met de vele mogelijkheden, bijvoorbeeld ISO 27001.

Oudste boven ▾ Reacties

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Er zijn nog geen reacties.

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview