Vandaag, 28 januari, is het Data Protection Day, ook wel Dag van de Privacy genoemd. Deze van oorsprong Europese themadag wil bewustwording creëren over privacy en gegevensbescherming. Vijf securityexperts geven hun kijk op ontwikkelingen en risico’s.
Volgens Renske Galema, area vp bij CyberArk, gaat het in de securitywereld vaak over toenemende cyberdreigingen en blootgestelde gegevens: ‘Maar we moeten de positieve stappen die door de sector zijn gezet ook benoemen. Er zijn veel incidenten, maar de laatste tijd is er wetgeving doorgevoerd die gegevens van bedrijven en consumenten beter beschermd en security weer wat hoger op de agenda heeft gezet.’ Ze wijst op ontwikkelingen die securitymaatregelen bij bedrijven hebben versterkt, waardoor tal van aanvallen afgeweerd zijn. ‘We mogen dit als aanmoediging zien dat we de juiste weg zijn ingeslagen.’
Een themadag is volgens haar belangrijk om te beseffen dat het werk nog lang niet gedaan is. ‘Het fungeert als herinnering dat ieder individu een rol moet spelen in de bescherming van data en privacy.’ Echte controle vereist actie, waakzaamheid en samenwerking. Volgens Galema is identiteitsbeveiliging een essentiële pijler van dataprivacy. ‘Het implementeren van robuuste oplossingen voor identiteitsbeheer en het beschermen van gebruikersgegevens zijn essentiële stappen in het minimaliseren van risico’s en het voorkomen van inbreuken.’
Geografische data
Jeroen van Winden, cto bij Esri Nederland, stipt het onderwerp ‘geografische data’ aan. Die gegevens worden steeds toegankelijker en integreren steeds beter met andere software, duidt hij. ‘Het stelt bedrijven in staat ruimtelijke data te benutten voor het herkennen van patronen, het visualiseren van complexe informatie en het verkrijgen van nieuwe inzichten. Maar geografische data zijn waardevol én gevoelig.’ Hij wijst erop dat bij technologie die gebruikmaakt van geografische informatiesystemen privacy en beveiliging vanaf het ontwerp geïntegreerd moeten zijn. Systemen moeten een duidelijk overzicht bieden van wat er met de informatie gebeurt, om persoonsgegevens volgens de AVG te beschermen. Een andere maatregel is per medewerker vastleggen welke informatie toegankelijk is, stelt Van Winden.
Afhankelijkheid VS
Maarten Werff, solution consultant cybersecurity bij Conscia, stelt dat de afhankelijkheid van Amerikaanse techbedrijven voor cloud-infrastructuur risico’s met zich meebrengt voor dataprivacy. ‘Vooral gezien de conflicterende wetgeving tussen de VS en de EU.’ Amerikaanse techbedrijven vallen onder wetgeving zoals de Cloud Act, die hen kan verplichten om data aan Amerikaanse autoriteiten over te dragen, zelfs als deze data buiten de VS wordt opgeslagen. Dit kan in conflict komen met de AVG, die strikte eisen stelt aan de bescherming van persoonsgegevens en overdracht van data buiten de EU. ‘Door data lokaal op te slaan, end-to-end-encryptie toe te passen en hybride of Europese oplossingen te gebruiken, kunnen partijen zorgen dat ze aan de regels voldoen’, doceert Werff. ‘Organisaties moeten strategisch inzetten op data-soevereiniteit en duidelijke afspraken maken met leveranciers om persoonsgegevens effectief te beschermen.’
Ai-revolutie
Aileen Cronin, svp en chief privacy officer van F5, stelt dat kunstmatige intelligentie in essentie data-intelligentie is. ‘Daarom moet gegevensprivacy en in bredere zin het ethisch gebruik van gegevens voorop blijven staan in de ai-revolutie.’ Het is ook van cruciaal belang dat organisaties over de hele wereld verder kijken dan de wettelijke eisen ten aanzien van gegevensgebruik, om niet alleen te anticiperen op de verwachtingen van consumenten maar deze zelfs te overtreffen, vindt zij. ‘Dit omvat transparantie over hoe er met gegevensbeheer wordt omgegaan, het bewust omarmen van privacy-by-design-principes op elk mogelijk moment en het minimaliseren van gegevensverzameling op basis van de keuze van de consument.’
Dataprivacy en deepfake
Dennis de Hoog, ceo van Computest Security, vindt dat dataprivacy een doorlopende prioriteit zou moeten zijn. Het is volgens hem belangrijk dat er op Data Protection Day extra aandacht voor het onderwerp is. ‘We zien dat privacygevoelige data een steeds belangrijker pressiemiddel is bij ransomware-aanvallen. Aanvallers gebruiken een hit-and-run-gebaseerde methode, waarbij ze met data-extortie beperkte hoeveelheden waardevolle gegevens stelen en veel druk uitoefenen om zo snel mogelijk te betalen. Uiteraard met de dreiging deze data anders openbaar te maken.’
Een andere actuele bedreiging op het gebied van dataprivacy is volgens De Hoog het gebruik van steeds geavanceerdere ai-toepassingen om identiteitsfraude te plegen. ‘Denk aan het gebruik van deepfake-technieken die worden ingezet voor imitatie en social engineering. Door deze technologie te misbruiken, kunnen op redelijk simpele wijze zogenoemde cxo- en adversary-in-the-middle-aanvallen worden uitgevoerd om financiële fraude te plegen.’ Om het risico op datadiefstal en de gevolgen daarvan te verkleinen, is het volgens hem raadzaam organisaties zich naast een continue focus op securityawareness, richten op dataclassificatie, het verbeteren van encryptie, het opstellen van een incidentresponsplan en het versterken van hun algehele cyberweerbaarheid.
Data Protection Day
De Europese Data Protection Day wordt jaarlijks op 28 januari gehouden om bewustzijn te creëren over privacy en de bescherming van persoonlijke gegevens. De dag werd voor het eerst georganiseerd in 2007 en is symbolisch gekozen omdat op 28 januari 1981 de Conventie 108 werd ondertekend, het eerste internationale verdrag gericht op gegevensbescherming. Het doel is om individuen bewust te maken van hun privacyrechten en hen te informeren over hoe ze hun gegevens beter kunnen beschermen, met activiteiten zoals workshops, lezingen en campagnes. Inmiddels wordt de dag wereldwijd erkend, onder meer in de VS, waar de dag doorgaat als Data Privacy Day.
