AVG en de invloed van open source

  • ± 1 minuut

De AVG lijkt meer indruk te maken dan de huidige Wbp dat doet. Ongeacht of het terecht is, laat de AVG (binnen onze niche) een ieder op zijn minst stil staan bij de vele facetten van softwareontwikkeling.

Via LinkedIn werd ik geattendeerd op een artikel, met een flinke portie ironie geschreven. Hierin wordt beschreven hoe onze creditcardgegevens onderschept worden, die vervolgens doorverkocht kunnen worden aan derden. Dit werd allemaal mogelijk gemaakt middels JavaScript code.

Terwijl het artikel goed wegleest en meer dan plausibel is, was ik vooral nieuwsgierig hoe dit bereikt werd, oftewel, hoe de kwaadaardige code toegepast kon worden. De conclusie is dat het voordeel van open source, ook direct de valkuil en nadeel kan zijn wanneer we het hebben over security, en dus AVG / bescherming van persoonsgegevens.

Open source debet aan datalekken

Alhoewel het open source heet, kunnen we onbewust een software afhankelijkheid creëren wanneer er gebruik wordt gemaakt van bijvoorbeeld packages. Over deze plugin/package afhankelijkheid schreef ik eerder, maar het inzetten van open source kan ook misplaatste vertrouwen kweken, met gevolgen voor bescherming van persoonsgegevens als gevolg.

Dat wordt in het artikel van David Gilbertson vrij duidelijk door hem geïllustreerd. Hij geeft dan ook aan dat zo een hack vrij eenvoudig te distribueren is. Om hem te quoten:

Lucky for me, we live in an age where people install npm packages like they’re popping pain killers.

Alhoewel hij stelt dat zijn verhaal puur fictioneel is, kan dit een werkelijk scenario zijn. De vraag is dan ook, of er in praktijk niet reeds sprake is van dit scenario en onze creditcardgegevens wellicht reeds in handen is van kwaadwillenden. Dit zou een enorm datalek betekenen. Creditcard gegevens valt onder bijzondere of gevoelige persoonsgegevens, waardoor niet alleen Autoriteit Persoonsgegevens, maar ook de betrokken zelf geïnformeerd moeten worden.

Alhoewel de discussie voor of tegen open source, een discussie op zichzelf is, schudt zijn relaas een ieder op zijn minst wakker en laat het zien dat er breder gekeken moet worden wanneer we het hebben over software ontwikkeling, AVG en de inzet van open source.