Misverstanden over privacy in tech | Agoria

Misverstanden over privacy in tech

Afbeelding
Gepubliceerd op 20/07/21 door Patrick Coomans
Privacy. Het is vaak geen populair begrip in technologiebedrijven. Privacy is een synoniem voor de overlast die gegevensbeschermingswetgeving met zich meebrengt. Privacy hindert de functionaliteit van ons systeem en conflicteert met de security-vereisten. Bovendien, waarom zouden we ons zorgen maken over privacy? Privacy is toch dood, niet? Fout. Fout. En nog eens fout!

Privacy is belangrijk.

Voordat we bekijken waarom privacy er wel toe doet, moeten we begrijpen wat privacy is. Privacy betekent dat je controle hebt over je persoonlijke informatie en over hoe deze verzameld, verwerkt, en gedeeld wordt.

Waarom benaderen we privacy anders in ons online leven dan in ons echte leven? In de offline wereld zal niemand de nood aan privacy in vraag stellen. Wanneer iemand je bijvoorbeeld vraagt hoe je dag was, zal je antwoord variëren: een beleefde ‘goed’ wanneer je de persoon niet goed kent, wat hoogtepunten van je dag tegen een kennis, of een uitgebreid verslag waarin je alle details in geuren en kleuren vertelt tegen je beste vrienden. Het antwoord hangt sterk af van de context.

Je verwacht bovendien dat iedereen de informatie die je deelt in vertrouwen behandelt. Beeld je in dat er een groot bord in je straat staat dat je buurt informeert over je dagdagelijkse activiteiten. Of stel je voor dat je een onbekende ontmoet die alles van je persoonlijke leven weet via via. Een onaangename gedachte. Gelukkig maar fictie.

Deze concepten zouden ook moeten gelden in ons digitale leven. Het feit dat onze digitale persoonlijke data worden verzameld, verwerkt, en gedeeld door computersystemen maakt dit minder tastbaar, maar zeker niet minder problematisch. Integendeel. Gelet op het groeiende aantal computers en ‘slimme’ toestellen die we elke dag gebruiken en de algemene big data hype, zijn er wel exabytes aan persoonlijke informatie beschikbaar over elk van ons.

Herinner je je nog dat advertentiebord en die goedgeïnformeerde onbekende? Deze zijn realiteit in onze digitale levens.

Mensen zijn bezorgd om privacy. Technologiebedrijven zouden dat ook moeten zijn.

De redenering dat als je niets misdoet, je niets te verbergen hebt gaat niet op. We hebben allemaal dingen die we voor onszelf willen houden en informatie waarvan we slechts stukjes en beetjes met anderen willen delen. Het is trouwens ons recht om dat te doen.

Technologiebedrijven gaan echter vaak wat soepeler om met persoonlijke data.  “Zoveel mogelijk verzamelen, en later wel bedenken wat we er zoal kunnen mee doen,” leek wel de tendens de afgelopen jaren. Geen strak plan nochtans.

Eerst en vooral, het is verboden. Het verwerkingsdoel moet bijvoorbeeld altijd gespecifieerd zijn voordat nog maar een eerste bit persoonlijke data mag verzameld worden. Er moet bovendien een wettelijke basis zijn om dit te doen. En uiteraard mag de data nadien ook enkel gebruikt worden voor het vooraf bepaalde doel.

Ten tweede, hoe meer persoonlijke data een bedrijf verzamelt, hoe meer verantwoordelijkheid het heeft om de data goed te beheren: beveilig de data, dwing beperking van verwerkingsdoelen af, verwijder data wanneer deze niet meer strikt noodzakelijk zijn, etc. Dit is minder vanzelfsprekend dan dat het misschien klinkt. Ben je bijvoorbeeld zeker dat alle instanties van je data verwijderd zijn, inclusief die in de back-ups en logbestanden?

Gelukkig zien we een groeiende interesse in privacy. Gegevenslekken en privacy-overtredingen hebben immers een grote impact op de reputatie van een bedrijf. Consumenten geven aan dat ze waarde hechten aan hun privacy. (Denk bijvoorbeeld aan de plotse wissel van WhatsApp naar Signal, getriggerd door aangepaste privacy policies.)

Privacytechnologie is booming. Grote bedrijven, zoals Apple, erkennen de waarde van privacy en gebruiken dit zelfs als een competitief voordeel in hun marketingcampagnes. 

Privacy zal je systeem niet breken 

Het is een veelgehoord misverstand dat privacy zou conflicteren met de functionele of quality vereisten van het softwaresysteem. Privacy negeren tot het moment dat je product klaar is voor oplevering is echter geen goede strategie. Als je privacy enkel beschouwt als bijzaak, iets dat je op het einde van het ontwikkelingsproces nog snel even moet aftoetsen, dan zal het ongetwijfeld in strijd zijn met bestaande vereisten. De sleutel tot succes is het tijdig integreren van privacy features in het ontwikkelingsproces.

Vergelijk het met het bouwen van een huis. Stel dat al het structurele werk voltooid is: muren, dak, ramen, vloer; alles is klaar. Pas op dat moment begin je na te denken over de loodgieterij. Dat zal duidelijk problemen opleveren. Sommige bouwwerken moeten opnieuw uitgevoerd worden. Je zal afwegingen moeten maken en toegevingen moeten doen. Niet al je loodgieterij-vereisten zullen nog mogelijk zijn gegeven de vergevorderde afwerkingsgraad van de bouwwerken (badkamers en keukengootstenen zijn toch maar overschat, niet…?). Ofwel zal je een deel van je gebouw moeten neerhalen en fundamentele wijzigingen maken aan het gebouw. Of, en dat is zelfs het meest waarschijnlijke, zal je toegevingen moeten doen in beide sets van vereisten. 

Wat een verspilling van geld, tijd, en mogelijkheden!

Dit is gelukkig niet hoe huizen gebouwd worden. Tijdens de ontwerpfase zullen alle vereisten (nutsvoorzieningen, stabiliteit, esthetiek, etc.) al in beschouwing genomen worden. Je combineert en aligneert deze om zo jouw droomhuis te maken.

Dezelfde aanpak moet ook bij systeemontwikkeling toegepast worden. Je neemt op voorhand al alle functionele vereisten en kwaliteitsvereisten, zoals security en privacy, mee in beschouwing. Deze op mekaar afstemmen in een vroege fase van het ontwikkelingsproces maakt het mogelijk om een systeem te bouwen dat voldoet aan alle vereisten, zonder grote toegevingen te moeten doen.

Samengevat: Gebruik privacy als een competitief voordeel. Pas privacy toe by design. Integreer privacy vroeg en systematisch in het ontwikkelingsproces.

Deze en nog veel meer aan privacy-by-design gerelateerde misvattingen zullen aan bod komen in onze gratis microles 'Cybersecurity & Privacy as a Sales Enabler in Health-Tech' op dinsdag 27 juli van 11u45-12u30.

Klik hier voor meer details en om u in te schrijven.
 

#industriepartnerschap #sterkondernemen


Bijdrage door Kim Wuyts, Ph.D. (https://distrinet.cs.kuleuven.be/people/KimWuyts
Kim Wuyts is een postdoctoral onderzoeker aan het Department Computerwetenschappen van de Katholieke Universiteit Leuven, en lid van de werkgroep Security: Development processes And Middleware aan de DistriNet Research Group (https://distrinet.cs.kuleuven.be/). Ze is mede-auteur van de privacy threat modelling methodology LINDDUN. (https://www.linddun.org/).

Was dit artikel nuttig?