Onze collega Roos Dijkxhoorn sprak met BNR Nieuwsradio over dit datalek: hoe heeft dit kunnen gebeuren en hoe voorkom je dit in de toekomst?
In deze situatie is er sprake van een gedeelde verantwoordelijkheid. Survalyzer is verantwoordelijk voor de veiligheid van de software, terwijl DUO verantwoordelijk is voor het correct inschatten van de informatiebeveiligingsrisico’s. Het datalek had voorkomen kunnen worden als de kwetsbaarheid eerder was ontdekt door een pentest, maar ook als de gegevens niet waren gedeeld.
Vragen die je kunt stellen in deze situatie zijn:
- Is er nagedacht over de gevoeligheid van de informatie?
- Hoe en waarom is de keuze gemaakt voor een derde partij om enquêtes te versturen?
Die gedeelde verantwoordelijkheid gaat over meerdere partijen, maar ook over meerdere vakgebieden: privacy en security. De oplossing begint bij het nadenken over de risico's van een bepaalde verwerking. Wat kan er gebeuren als deze informatie beschikbaar komt voor onbevoegden? Is dat risico acceptabel?
Vervolgens kijk je naar de security eisen: hoe gaat de leverancier om met de risico’s en hebben ze hun security op orde? Ook als je op papier alles in orde hebt, kunnen er nog steeds fouten worden gemaakt. Daarom is het verstandig om extra technisch onderzoek te doen, zoals een pentest. In een pentest komen dit soort kwetsbaarheden naar boven en kunnen ze opgelost worden voordat, in dit geval, de enquête verstuurd werd.
Ben je benieuwd naar het hele artikel of de uitzending? Deze vind je hier: