DE BASICS VAN DATABESCHERMING (deel 1)
Het lijkt erop dat de hack bij ODIDO (tenminste) het gevolg is van social engineering. Medewerkers die bij gegevens konden zijn misleid door hackers, en hebben deze hackers zo direct of indirect toegang gegeven tot veel gevoelige informatie.
Onderstaande (aanpassing op het bekende) XKCD stripje stipt een terecht punt aan: in sommige gevallen is de menselijke gebruiker de zwakte, niet de onderliggende versleuteling.
"Kun je dan technisch niets doen om dit soort hacks te voorkomen?" zul je misschien denken.
"Au the contraire!" Zou ik in goed Frans willen reageren. Er zijn hele goede databeveiligingstechnieken die beschermen tegen dit soort hacks, en die de schade als ze toch optreden veel minder erg maken.
Ik wil de komende dagen tenminste *drie* methodes wat verder toelichten. Allemaal technieken die we hebben ingebouwd in onze PEP Repository voor verantwoord datagebruik. Deze software ontwikkelen we open source aan de Radboud University.
Vandaag wil ik aftrappen met:
1) Fijnmazig toegangsbeheer.
In de meeste gevallen hoeven onderzoekers of medewerkers maar toegang tot kleine onderdelen van een dataset.
Bijvoorbeeld: de collega die moet controleren of de consentformulieren goed zijn ingevuld hoeft waarschijnlijk geen toegang tot medische gegevens of ingevulde vragenlijsten van deze mensen. Het 'vinkje' dat deze medewerker zet is genoeg voor de onderzoekers die met de medische data aan de slag gaan. Zo hoeven de mensen over wie de data gaat voor hen niet herleidbaar te zijn.
Een ander voorbeeld: een computersysteem waarmee vragenlijsten worden ingevuld moet de antwoorden ergens (permanent) kunnen opslaan zodat die toegankelijk worden voor onderzoekers. Dit systeem hoeft deze data alleen maar te kunnen schrijven/exporteren, zodat als het wachtwoord van dat systeem op straat komt te liggen, de nieuwe eigenaar de reeds ingevulde vragenlijsten niet kan opvragen.
En wanneer opgeslagen persoonsgegevens worden gedeeld met een onderzoeker, wil je alleen _die_ data delen die noodzakelijk is voor dat onderzoek. "Data minimalisatie" noemen we dat (en dat stelt de AVG ook verplicht). Als data dan onverhoopt uitlekt blijft de schade beperkt. Natuurlijk zorg je er voor onderzoek voor dat er nooit namen, BSN's of andere direct herleidbare gegevens in de dataset zitten.
To be continued! Morgen wil ik iets meer vertellen over Micropseudonimisatie. Stay tuned!
(graag vragen, opmerkingen en verzoeken in de commentaren!)
Joep Bos-Coenraad (macroblog)
@joepbc@hear-me.social
This is the 'macro-microblog account' for @joepbc . Please follow me there as well!
hear-me.social
Joep Bos-Coenraad (macroblog)
@joepbc@hear-me.social
This is the 'macro-microblog account' for @joepbc . Please follow me there as well!
hear-me.social
@joepbc@hear-me.social
·
Feb 24, 2026
1
0
0
Loading comments...