Privacy is niet meer weg te denken in de hedendaagse software. Voor DevOps een belangrijke feature om rekening mee te houden. Maar wat is de relatie van privacy by design met DevOps?
Volgens de Autoriteit Persoonsgegevens (AP) moeten organisaties, wat betreft privacy by design (pbd), met de volgende zaken rekeningen houden:
- Aandacht besteden aan privacy enhancing technologies (pet)
- Dataminimalisatie: een minimale verwerking van persoonsgegevens
Het concept privacy by design kwam voor het eerst naar voren in 1995 in een gezamenlijk rapport over ‘privacy-enhancing technologies’ (pet), gemaakt door de Information and Privacy Commission of Ontario, Canada, het Nederlandse College Bescherming Persoonsgegevens en TNO.
Het is dus geen nieuwe term. Alhoewel het concept al meer dan twintig jaar rondzingt in de EU, komt het dit jaar eindelijk aan bod in Europese wetgeving: De General Data Protection Regulation (GDPR), de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele EU.
Mooi, maar wat heeft dat nu te maken met DevOps?
Privacy by design-principes en DevOps
Iedere benadering heeft zijn principes. Zo ook privacy by design:
Voorkomen is beter dan genezen;
Privacy is de standaard;
Integreren van gegevensbescherming en beveiliging in het ontwerp;
Volledige functionaliteit;
End-to-end beveiliging – Bescherming gedurende de hele levenscyclus;
Zichtbaarheid en transparantie;
Respect voor privacy van de betrokkene – de betrokkene staat centraal
Zoals u ziet zijn deze principes gerelateerd aan informatiebeveiliging, maar zijn ze nog steeds dubbelzinnig en niet makkelijk te implementeren in DevOps. Daarom proberen organisaties zoals de Open web application security project (Owasp) deze richtlijnen praktischer te maken door information security te koppelen aan privacy risico’s.
Owasp heeft een top 10 privacy risico’s wat betreft information security:
1 Web application vulnerabilities;
2 Operator-sided data leakage;
3 Insufficient data breach response;
4 Insufficient deletion of personal data;
5 Non-transparent policies, terms and conditions;
6 Collection of data not required for the primary purpose;
7 Sharing of data with third party;
8 Outdated personal data;
9 Missing or insufficient session expiration;
10 Insecure data transfer
Deze risico’s zijn niet zo dubbelzinnig zoals de privacy by design-principes. Een DevOps-team kan ieder van deze risico’s invoeren in hun backlog om user stories van te maken.
Een lijst van privacy by design-tools voor een DevOps team is zo te maken, maar dat is niet het doel van dit artikel. Voor een DevOps teamlid is het van belang dat degene weet wat privacy by design is, en hoe het kan worden toegepast. Praktische richtlijnen van Owasp kunnen hierbij helpen. Een bruikbare tool kan dan worden geselecteerd op basis van de privacy by design-principes en Owasp-richtlijnen.
Conclusie
Privacy by design is een software-ontwikkelbenadering die privacy gedurende de hele software development cycle in acht neemt. Vanwege de GDPR is het voor DevOps-teams van belang de privacy by design-principes in hun dagelijkse werk door te voeren. Hierbij kunnen de praktische richtlijnen van Owasp bruikbaar zijn, inclusief de privacy by design-tooling.
