Hoe privacygevoelige gegevens veilig blijven
Mobiel bestellen en betalen bij restaurants, bioscopen, parkeergelegenheden en meer. Dat is het uitgangspunt van de populaire app MyOrder. De bestel- en betaaldienst werd in 2008 opgericht en kan inmiddels op ruim 14.500 locaties in Nederland worden gebruikt. Het streven van MyOrder is om de functionaliteit van het bestaande platform steeds verder uit te breiden met nieuwe tools en oplossingen voor verschillende toepassingen en branches, zoals de mogelijkheid om gerichte reclames of een bepaalde korting te laten zien op basis van persoonlijke voorkeuren en locatie. Het doel hierbij is om MyOrder op termijn niet alleen in Nederland, maar ook in het buitenland inzetbaar te maken.
“Om het technisch mogelijk te maken het platform makkelijker uit te bouwen, speelde MyOrder met de gedachte om de hosting van het platform over te hevelen naar Amazon,” zegt Frank van Vonderen, management consultant bij VKA.
“Dit zou de nodige bedrijfsmatige voordelen bieden, maar MyOrder realiseert zich ook dat een verhuizing van het platform consequenties kan hebben voor de gewenste gegevens- en privacybescherming. Hoeveel gegevens gaan er heen en weer? Welke gevoelige persoonsgegevens komen bij Amazon te staan? Op welke manier kan Amazon die gegevens bekijken?
Niet iedereen wil aan de grote klok hangen dat hij of zij elke vrijdagavond zes cocktails wegtikt in een singles bar in Amsterdam. Met andere woorden: de order- of transactiehistorie van een MyOrder-account kan gevoeligheid met zich meebrengen.”
Keurig en modieus begrip
Om uit te zoeken wat de consequenties van een verhuizing naar Amazon zouden zijn, vroeg MyOrder-CTO Gert-Jan Rösken aan Verdonck, Klooster & Associates om een zogenaamde Privacy Impact Analyse (PIA) uit te voeren. Van Vonderen: “Tijdens de PIA hebben we gekeken naar hoe de informatie door de applicatie heengaat en welke stukjes van de informatie feitelijk bij Amazon terecht zou komen. Bij MyOrder vonden ze de PIA spannend, omdat ze heel graag naar het Amazon-platform willen, maar wel op een veilige manier. Daarom was het belangrijk dat er een heldere beschrijving van de risico’s zou komen. VKA doet dit soort analyses vaker en wat we merken, is dat organisaties vaak moeite hebben met het vertalen van de privacywetgeving naar concrete eisen. En vaak verliezen ze het zicht op de keuzes die je als organisatie nodig hebt.”
Klanten als MyOrder laten hun applicaties deels ontwikkelen door ontwikkelaars die ook niet altijd exact weten hoe het zit met privacybeschermende maatregelen, legt Van Vonderen uit. “De gesprekken die wij tijdens de PIA hebben gevoerd met zowel MyOrder als de ontwikkelaar van de app, leidden tot leuke inzichten aan beide kanten. We dienden zo niet alleen de klant, maar hielpen ook de ontwikkelaar om duurzaam te kijken naar privacy binnen applicatieontwikkeling. Privacy by design is een keurig en modieus begrip, maar wij hebben er daadwerkelijk inhoud aan weten te geven door architectuur en privacy met elkaar te verbinden. Daar ben ik trots op. Klanten zullen het effect ervan niet direct merken, maar doordat wij een goede job hebben gedaan, kunnen zij er vanuit gaan dat ze de MyOrder-app ook na de overheveling onbezorgd kunnen gebruiken.”
In het kort
Frank van Vonderen werkt sinds 2011 als management consultant bij VKA. Zijn taak is om ervoor te zorgen dat klanten tevreden zijn met de opdrachten die VKA doet. “Het leukste aan mijn baan is dat ik met zoveel verschillende klanten te maken heb. Privacy is de gemene deler, maar de ene dag ben ik bezig met een omroepinstelling, de andere dag met MyOrder, dan weer met een zorginstelling voor geestelijk gehandicapten. Dat zorgt ervoor dat mijn werk heel divers en uitdagend is.”