28 januari is de internationale data privacy day, ook wel data protection day. Hoewel iedereen uiteraard dagelijks zijn gegevens moet beschermen, is deze dag in het leven geroepen om extra stil te staan bij die noodzaak. Vooral omdat er steeds weer nieuwe ontwikkelingen zijn, waardoor data op een andere manier beschermd moet worden of men moet oppassen voor nieuwe dreigingen. Een aantal security-experts geeft hun kijk op die veranderingen.

Renske Galema, Area VP bij CyberArk: “Hoewel het in security vaak gaat over toenemende cyberdreigingen en blootgestelde gegevens, moeten we de positieve stappen die door de sector zijn gezet ook benoemen. Er zijn veel incidenten, maar de laatste tijd is er wetgeving doorgevoerd die gegevens van bedrijven en consumenten beter beschermd en security weer wat hoger op de agenda heeft gezet. Ook zijn er belangrijke ontwikkelingen geweest die security-maatregelen bij bedrijven hebben versterkt, waardoor tal van aanvallen afgeweerd zijn. We mogen dit als aanmoediging zien dat we de juiste weg zijn ingeslagen. Toch is een themadag als Data Privacy Day belangrijk om te beseffen dat het werk nog lang niet gedaan is. Het fungeert als herinnering dat ieder individu een rol moet spelen in de bescherming van data en privacy. Echte controle vereist actie, waakzaamheid en samenwerking van ons allemaal. We moeten prioriteit blijven geven aan proactieve maatregelen om gegevensprivacy te beschermen. De steeds groter wordende hoeveelheden gegevens, de snelle vooruitgang in technologieën zoals AI en natuurlijk de steeds geraffineerdere dreigingsactoren vereisen een niet-aflatende focus en actie. Identiteitsbeveiliging is een essentiële pijler van die data-privacy. Het implementeren van robuuste oplossingen voor identiteitsbeheer en het beschermen van gebruikersgegevens zijn essentiële stappen in het minimaliseren van risico’s en het voorkomen van inbreuken. Door prioriteit te geven aan identiteitsbeveiliging, kunnen organisaties en individuen belangrijke stappen zetten in de richting van het werkelijk controle krijgen over hun gegevens.“

Jeroen van Winden, CTO bij Esri Nederland”: “Specialistische data, zoals geografische data, wordt steeds toegankelijker en integreert steeds beter met andere software. Dit stelt bedrijven in staat om ruimtelijke data te benutten voor het herkennen van patronen, het visualiseren van complexe informatie en het verkrijgen van nieuwe inzichten. Maar geografische data zijn waardevol én gevoelig. Privacy en beveiliging kunnen dan ook geen bijzaak zijn, of iets wat achteraf geregeld wordt. Technologieën zoals GIS (Geografische Informatiesystemen) hebben alleen duurzame impact als privacy en beveiliging vanaf het ontwerp geïntegreerd zijn. Om dit te ondersteunen is betrouwbare software die voldoet aan regelgeving essentieel. Zo moeten systemen bijvoorbeeld een duidelijk overzicht bieden van wat er met informatie gebeurt om persoonsgegevens te volgens de AVG te beschermen. Een andere maatregel is per medewerker vastleggen welke informatie toegankelijk is. We moeten samen aan een digitaal landschap werken waarin privacy en veiligheid de basis vormen van innovatie. Alleen door ‘privacy first’ te omarmen, kunnen we de kracht van technologie gebruiken om een positieve impact te maken op de wereld.”

Maarten Werff, Solution Consultant Cybersecurity bij Conscia: “De afhankelijkheid van Amerikaanse techbedrijven voor cloud-infrastructuur brengt risico’s met zich mee voor data privacy, vooral gezien de conflicterende wetgeving tussen de VS en de EU. Amerikaanse techbedrijven vallen onder wetgeving zoals de Cloud Act, die hen kan verplichten om data aan Amerikaanse autoriteiten over te dragen, zelfs als deze data buiten de VS wordt opgeslagen. Dit kan in conflict komen met de AVG, die strikte eisen stelt aan de bescherming van persoonsgegevens en overdracht van data buiten de EU. Een resilient cloud kan deze risico’s beperken door data lokaal op te slaan, end-to-end encryptie toe te passen en hybride of Europese oplossingen te gebruiken. Organisaties moeten strategisch inzetten op data-soevereiniteit en duidelijke afspraken maken met leveranciers om persoonsgegevens effectief te beschermen.“

Aileen Cronin, SVP and Chief Privacy Officer, F5: “Kunstmatige intelligentie is in essentie data-intelligentie. Daarom moet gegevensprivacy en, in bredere zin, het ethisch gebruik van gegevens, voorop blijven staan in de AI-revolutie. Het is ook van cruciaal belang dat organisaties over de hele wereld verder kijken dan de wettelijke eisen ten aanzien van gegevensgebruik, om niet alleen te anticiperen op de verwachtingen van consumenten maar deze zelfs te overtreffen. Dit omvat transparantie over hoe er met gegevensbeheer wordt omgegaan, het bewust omarmen van ‘privacy-by-design’-principes op elk mogelijk moment en het minimaliseren van gegevensverzameling op basis van de keuze van de consument.“

Dennis de Hoog, CEO Computest Security: “Hoewel dataprivacy een doorlopende prioriteit zou moeten zijn, is het zeer relevant hier met Data Privacy Day extra aandacht voor te vragen. We zien namelijk dat privacygevoelige data een steeds belangrijker pressiemiddel is bij ransomware-aanvallen. Aanvallers gebruiken een ‘hit and run’-gebaseerde methode, waarbij ze met data-extortie beperkte hoeveelheden waardevolle gegevens stelen en veel druk uitoefenen om zo snel mogelijk te betalen. Uiteraard met de dreiging deze data anders openbaar te maken. Een andere belangrijke, actuele bedreiging op het gebied van dataprivacy, is het gebruik van steeds geavanceerdere AI toepassingen om identiteitsfraude te plegen. Denk bijvoorbeeld aan het gebruik van deep fake-technieken die worden ingezet voor imitatie en social engineering. Door deze technologie te misbruiken kunnen op redelijk simpele wijze CxO- en ‘Adversary in the Middle’-aanvallen (AitM) worden uitgevoerd om financiële fraude te plegen. Door prioriteit te geven aan dataprivacy kunnen financiële schade, reputatieschade of juridische complicaties worden voorkomen. Data Privacy Day is in dat opzicht een mooi initiatief, maar ook de toenemende regeldruk op het gebied van dataprivacy en daarbij behorende boetes, zou organisaties moeten aansporen tot een proactieve strategie over te gaan. Om het risico op datadiefstal en de gevolgen daarvan te verkleinen, is het raadzaam dat zij zich naast een continue focus op security awareness, richten op dataclassificatie, het verbeteren van encryptie, het opstellen van een incident responsplan en het versterken van hun algehele cyberweerbaarheid.”