Ik? Zelf in de Cloud?
Persoonsgegevens, een actueel punt van discussie. De wet Meldplicht Datalekken, een maatregel om het uitlekken van dergelijke gegevens te signaleren en daarmee hopelijk terug te dringen. Tevens een mooi proces van bewustwording voor vele organisaties.
Op dit moment zijn je persoonlijke gegevens bij vele organisaties bekend, opgeslagen in databases en worden daar gebruikt voor diverse zaken. Wat voor zaken eigenlijk? Tja, dat weet je eigenlijk niet zeker. Je bent de controle over je eigen gegevens kwijt en zult moeten vertrouwen op de organisatie die met jouw gegevens in de weer is.
Maar waarom draaien we het niet om? Je persoonlijke gegevens zijn tenslotte van jou en van niemand anders! Natuurlijk hebben sommige organisaties (tijdelijk) toegang nodig tot je gegevens. Maar moeten die organisaties dan meteen alles verzamelen en een hele database aanleggen waar iedereen in terecht komt, met alle risico’s van dien?
Dat moet toch anders kunnen?
Stel je hebt een eigen stukje ruimte in een Cloud, met alle beschikbaarheidsgaranties die je nodig hebt. Uiteraard goed versleuteld, met encryptie waarvan jij alleen de private key in bezit hebt. Dit om zeker te weten dat je gegevens niet in verkeerde handen kunnen vallen. In dit stukje Cloud zitten je gegevens, zoals je naam, adres, telefoonnummer, BSN, etc. Hier heb je zelf de controle over. Zowel om toe te voegen als om te verwijderen.
Op het moment dat een organisatie bepaalde gegevens van je nodig heeft, kunnen ze via een specifiek verzoek toestemming aan je vragen om deze gegevens in te mogen zien. Je kunt dan zelf precies bepalen welke gegevens deze organisatie in mag zien en over welke periode, of misschien slechts eenmalig. Die keuze is aan jou!
Deze opzet heeft een aantal voordelen:
- Is altijd up-to-date, je beheert dit immers zelf
- Geen toegang voor onbevoegden
- Informatie kan niet gaan “zwerven” tussen verschillende organisaties
- Zelf controle wie wat mag zien en wanneer
- Je kunt zelf zien wanneer welke informatie is opgevraagd en door wie
- Nationaal en Internationaal bruikbaar
Om een dergelijk concept ten uitvoer te brengen moeten er natuurlijk nog de nodige technische uitdagingen worden overwonnen en procedurele standaarden worden ontwikkeld. Denk hierbij aan de volgende zaken:
- Uitwerken gebruiksmodel
- Gebruikersvriendelijke, laagdrempelige interface voor de gebruikers
- Technische standaarden (API’s) voor opvragen van de gegevens
- Procedures voor het indienen van een verzoek
- Procedures voor het intrekken van toestemmingen
- Veranderen huidige mindset van zowel organisaties als particulieren
- Communicatieplan
- Nationaal en Internationaal draagvlak creëren
Met de huidige technologieën is dit naar mijn mening zeker te realiseren. Er is nog wel wat werk te verzetten, maar daar zijn we niet vies van!
Wie durft de handschoen op te pakken en deze uitdaging mee aan te gaan?
Sowieso sta ik altijd open om over bovenstaand idee te sparren. Neem gerust contact met me op!
5 januari, 2016, Twan van der Meer CISSP, CISA, SCF