Databeveiliging en privacy bij een app: hoe zit dat?

Met de opkomst van meer technologie zijn aandachtsgebieden als databeveiliging en privacy ook meer en meer in het geding.

4 minuten - Gepubliceerd door Webuildapps HQ op 6 april 2017

Dicht slot op een deur

Recente voorbeelden

Een recent voorbeeld is die van de BankGiro-, Postcode- en Vriendenloterij, waarbij de gegevens van 450.000 personen op straat zijn gekomen. Dit lek kwam voort uit een slechte beveiliging van een derde partij en laat maar weer eens zien hoe kwetsbaar systemen kunnen zijn. Wat kun je als organisatie doen om dit datalekken te voorkomen en wat doe je als het onverhoopt toch gebeurt?

Meldingsplicht datalekken

Met ingang van 1 januari 2016 is de meldplicht datalekken van kracht gegaan. Dit houdt in dat alle organisaties, zowel bedrijven als overheden, direct melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek ontdekken.

We spreken van een datalek als er een inbreuk is op de beveiliging van de persoonsgegevens. Verdere specificaties van de Wet bescherming persoonsgegevens vind je hier.

Vernieuwing van de wetgeving omtrent databescherming

Ook de Europese Unie heeft niet stilgezeten en komt anno 2018 met een nieuwe set privacyregels. Zo kunnen er boetes worden uitgedeeld aan ondernemingen die niet zorgvuldig omgaan met hun klantgegevens. Zo'n boete kan oplopen tot vier procent van de jaaromzet. Daarnaast gaat de EU het moeilijker maken om data buiten Europa te exporteren.

Ook moeten ouders voortaan toestemming gaan geven voor jonge gebruikers (13 tot 16 jaar) voor het delen van hun data.

Best practices voor databeveiliging in apps

Om jouw onderneming niet hetzelfde lot als van de eerder genoemde loterijen te laten ondergaan, doe je er goed aan om als onderneming (en consument) bewust bezig te zijn met de beveiliging van belangrijke en privacygevoelige data. We hebben een aantal tips op een rijtje gezet om je op weg te helpen:

  • Laat een app alleen data versturen via een versleutelde verbinding (SSL/HTTPS). Een SSL verbinding versleutelt de gegevens tussen verzender en ontvanger, wat het voor derden onmogelijk moet maken om deze gegevens in te zien. Wil je extra zeker zijn pas dan ook SSL pinning toe waardoor een man-in-the-middle-attack veel moeilijker wordt.
  • Zorg ervoor dat op het toestel gegevens beveiligd en versleuteld worden opgeslagen.
  • Bepaal welke onderdelen vanuit de OWASP Mobile App Security Checklist relevant zijn en controleer deze regelmatig.
  • Ook aan de achterkant van de app (API/webservices) dient de beveiliging in orde te zijn, controleer deze aan de hand van de OWASP Web Application Security Cheat Sheet.

Daarnaast zijn er een aantal open deuren die we niet vaak genoeg kunnen herhalen.

  • Zorg overal voor unieke en sterke wachtwoorden van minimaal 12 karakters. (Tip: maak een wachtwoord veilig én makkelijk met een wachtzin)
  • Update alle software tijdig en consequent. Oudere versies met bekende problemen zijn een gemakkelijke prooi voor hackers en kwaadwillenden en worden dan ook regelmatig gebruikt om toegang tot systemen en data te krijgen.
  • Zorg dat alle medewerkers zich bewust zijn van het belang van een goede IT- beveiliging en hier secuur mee omgaan. Niet alleen servers en werkplekken, maar ook persoonlijke devices moeten goed zijn afgeschermd van de buitenwereld. Helaas komt het in organisaties nog te vaak voor dat het personeel - bewust of onbewust - de zwakste schakel in de beveiliging is.

Extra beveiligingslagen toevoegen

Als beveiliging voor jouw app echt een ding is dan kun ook een stap verder gaan in het beveiligen van gegevens. Er zijn een aantal manieren waarop je een extra beveiligingslaag kunt toevoegen:

  • Gebruik maken van tweestapsverificatie (2FA). Zo bescherm je iedere inlogpoging met een unieke inlogcode. Een bekend voorbeeld hier van is de Google Authenticator. Ook de Raboscanner, waarmee klanten van Rabobank hun digitale handtekening kunnen zetten valt hieronder. Andere (meer geavanceerde) opties zijn bijvoorbeeld een irisscan of vingerafdrukscanner zoals TouchID van Apple.
  • Vertrouw op encryptie. Encryptie maakt data, commmunicatie en code onleesbaar voor derden op het moment dat deze worden geupload. Deze data is alleen terug te krijgen met behulp van de juiste encryptiesleutels. Zorg dat deze nooit in de buurt komen van je data en maak (indien van toepassing) duidelijke afspraken over het beheer hiervan met je cloudprovider.
  • Maak gebruik van Machine Learning. Machine Learning kan zichzelf in de loop van de tijd het gedrag van alle medewerkers aan leren. Op het moment dat er een niet legitieme handeling wordt verricht, merkt het systeem dit op en geeft hier een melding van. Vragen die het systeem zich bijvoorbeeld stelt zijn: Vindt deze activiteit binnen of buiten werktijd plaats? Wordt dit device herkend? Is dit een werkgerelateerde actie?

Aandacht voor beveiliging

Voor alle bedrijven is het beveiligen van data relevant. In de toekomst zal de impact en het risico van slechte databeveiliging alleen maar duidelijker worden omdat hackers vaak al lichtjaren voor lopen ten opzichte van de maatschappij. Besteed daarom continue aandacht aan databeveiliging en inventariseer risico's door kritische vragen te stellen over welke data je gaat bewaren, waar je deze bewaart en waarom. Wees je bewust van het risico dat je loopt als jouw app data lekt. Als ervaren app ontwikkelaar denken we graag mee over hoe je zo goed mogelijk beschermt blijft.

Opkomst van IoT: toepassingen van de toekomst

Realtime inzicht in jouw zorgdeclaraties

Ook interessant om te lezen

Dicht slot op een deur

12 oktober 2017

Tips en tools

3 stappen om de ROI van een app vooraf in te schatten

6 minuten

3 stappen om de ROI van een app vooraf in te schatten

Return on investment, oftewel ROI, is een van de belangrijkste cijfers voor een onderneming. Het (vooraf) berekenen van de ROI kan lastig zijn, zeker als je niet weet welke return je kunt verwachten. Daarom laten we je graag zien aan de hand van welke 3 stappen wij de verwachte ROI inschatten. 
Dicht slot op een deur

7 januari 2022

Trends

7 belangrijke technologie trends in 2022

15 minuten

7 belangrijke technologie trends in 2022

Elke organisatie zit anders in elkaar en kan technologie trends op een bepaalde manier benutten. Welke trends zijn in 2022 populair en kunnen door bedrijven gebruikt worden om nóg meer waarde te leveren aan hun eindgebruikers?
Dicht slot op een deur

2 december 2020

Trends

Privacy en databeveiliging anno 2020

9 minuten

Privacy en databeveiliging anno 2020

De app TikTok heeft in 2020 flink wat stof doen opwaaien. Met deze app kunnen mensen leuke, korte filmpjes maken en deze uploaden naar het platform. Een soort Vine, maar dan wat gekker. Amerika wil TikTok verbieden en de Autoriteit Persoonsgegevens doet onderzoek naar de veiligheid. Dit is slechts één van de manieren waarop apps en privacy dit jaar in het nieuws kwamen. Wat speelt er nog meer?