MikeZ

Met een gedegen, gedocumenteerde, security analyse (bv obv STRIDE) gekoppeld aan een risico analyse (bv DREAD) kun je vaststellen welke beveiligingsaspecten noodzakelijk zijn voor de desbetreffende applicatie. Middels een security audit door een onafhankelijke derde partij kan vervolgens de analyse en implementatie getoetst worden. Op deze manier kun je, in geval van nood, aantonen dat je uitvoerig aandacht hebt besteed aan het beveiligen van de persoonsgegevens. Je expertise hierbij moet uiteraard wel in verhouding staan tot de complexiteit en het risicoprofiel van de applicatie. De uitkomst van de analyse kan natuurlijk zijn dat de situatie zich niet leent voor gebruik op een (al dan niet shared) internet omgeving. In de praktijk heb ik dit overigens nog nooit meegemaak en ik heb met behoorlijk vergaande medische en financiele gegevens te maken gehad.