AVG en de invloed van open source

De AVG lijkt meer indruk te maken dan de huidige Wbp dat doet. Ongeacht of het terecht is, laat de AVG (binnen onze niche) een ieder op zijn minst stil staan bij de vele facetten van softwareontwikkeling.

Via LinkedIn werd ik geattendeerd op een artikel, met een flinke portie ironie geschreven. Hierin wordt beschreven hoe onze creditcardgegevens onderschept worden, die vervolgens doorverkocht kunnen worden aan derden. Dit werd allemaal mogelijk gemaakt middels JavaScript code.

Terwijl het artikel goed wegleest en meer dan plausibel is, was ik vooral nieuwsgierig hoe dit bereikt werd, oftewel, hoe de kwaadaardige code toegepast kon worden. De conclusie is dat het voordeel van open source, ook direct de valkuil en nadeel kan zijn wanneer we het hebben over security, en dus AVG / bescherming van persoonsgegevens.

Zelf aan de slag om je website of toepassing privacy vriendelijk te maken? Lees onze drie-delige website tips:

  1. Cookie-loze youtube video's
  2. AddThis & ShareThis
  3. Twitter & Facebook Widget

Open source debet aan datalekken

Alhoewel het open source heet, kunnen we onbewust een software afhankelijkheid creëren wanneer er gebruik wordt gemaakt van bijvoorbeeld packages. Over deze plugin/package afhankelijkheid schreef ik eerder, maar het inzetten van open source kan ook misplaatste vertrouwen kweken, met gevolgen voor bescherming van persoonsgegevens als gevolg.

Dat wordt in het artikel van David Gilbertson vrij duidelijk door hem geïllustreerd. Hij geeft dan ook aan dat zo een hack vrij eenvoudig te distribueren is. Om hem te quoten:

Lucky for me, we live in an age where people install npm packages like they’re popping pain killers.

Alhoewel hij stelt dat zijn verhaal puur fictioneel is, kan dit een werkelijk scenario zijn. De vraag is dan ook, of er in praktijk niet reeds sprake is van dit scenario en onze creditcardgegevens wellicht reeds in handen is van kwaadwillenden. Dit zou een enorm datalek betekenen. Creditcard gegevens valt onder bijzondere of gevoelige persoonsgegevens, waardoor niet alleen Autoriteit Persoonsgegevens, maar ook de betrokken zelf geïnformeerd moeten worden.

Alhoewel de discussie voor of tegen open source een discussie op zichzelf is, schudt zijn relaas een ieder op zijn minst wakker en laat het zien dat er breder gekeken moet worden wanneer we het hebben over software ontwikkeling, AVG en de inzet van open source.

Afluisteren via CSS

Het klinkt onwaarschijnlijk, maar ook via CSS of afbeeldingen kan inzage worden verkregen in het reilen en zeilen van je website of applicatie-gebruikers. Maakt een online omgeving zoals een webshop, applicatie of website dus gebruik van third-party bronnen en zijn er al dan niet gevoelige of bijzondere persoonsgegevens in het spel? Overweeg dan of het gebruik van third-party toepassingen in verhouding staat tot de risico's van verwerkingen.