Laatste nieuws
 
 
  Achtergrondartikelen  
 

Inmiddels weet iedereen dat de General Data Protection Regulation (ofwel GDPR) bijna van kracht is. Toch moeten veel bedrijven nog actie ondernemen ter voorbereiding, inclusief de organisaties die denken met één aankoop ‘GDPR-proof’ te zijn (zie stap 3). Hieronder een aantal stappen om jouw organisatie klaar te maken voor de GDPR.

1.    Begrijp goed wat GDPR inhoudt
Weet waar je mee te maken hebt en waarom. Elk bedrijf dat persoonlijke informatie van een EU-burger verwerkt en/of opslaat moet voldoen aan de GDPR met ingang van 25 mei. In de kern gaat deze wetgeving over het machtigen van betrokkenen om toegang te krijgen tot de informatie die over hen wordt bewaard.

Er zijn tientallen artikelen geschreven over GDPR, maar het is geen IT-checklist. De verordening is niet-dwingend en opzettelijk ambigu geschreven. De enige technologie die specifiek beschreven wordt is encryptie. Verder wordt er alleen gesproken over ‘geschikte bedieningselementen’ en de ‘nieuwste technologieën’. De reden daarvoor is dat actuele technologie in rap tempo vernieuwd wordt, waardoor het niet reëel zou zijn de verordening continu aan te passen.

Een van de meest opvallende elementen is de verplichting om de Information Commissioner’s Officer (ICO) binnen 72 uur op de hoogte te stellen wanneer er sprake is van een datalek. Dit gaat echter niet alleen om het melden aan de ICO dat er een incident is geweest, maar er worden detailleerde gegevens verwacht van de data en de gebieden in jouw omgeving waar de dader is binnengedrongen.

Dus wanneer een organisatie op vrijdag slachtoffer is geworden van een inbreuk op privédata, moet op maandag zo spoedig mogelijk aan de ICO alle details verstrekt worden zoals dat staat uitgelegd in het meldingsformulier voor inbreuken. Heeft jouw organisatie de informatie over de mensen en processen klaarliggen om te kunnen rapporteren welke gegevens zijn geopend en geëxtraheerd?

2.    Wees je bewust van de gevolgen bij het niet naleven van de GDPR
De boete voor een datalek is volgens de GDPR 4% van de omzet. Dit is genoeg om bedrijven van elke omvang hard te raken.

Maar naast de boetes, kan een datalek ook schade aanrichten aan de reputatie en dus de omzet van een bedrijf. Een nieuwe hack krijgt tegenwoordig steeds meer aandacht in de media. Deze verhalen worden wekelijks gerapporteerd en hebben invloed op het vertrouwen dat klanten hebben in bedrijven en daarmee ook op de waarschijnlijkheid om een dienst opnieuw te gebruiken.

De grootste impact is echter niet eens de schade op de reputatie – als organisaties niet voldoen aan de verordening kan de ICO de data in beslag nemen en de bedrijfsvoering stilleggen. Dit kan nog wel eens de meest schrikbarende consequentie zijn van een laks databeleid.

3.    Neem het heft in eigen handen
De GDPR is geen eenvoudige verordening, de wettekst bestaat uit niet minder dan 99 artikelen. Naast de secties over IT-implementaties en de technische oplossingen, waaronder encryptie van data, gaat een groot deel over organisatorische veranderingen. Dit omvat onder meer veranderingen in processen en mogelijk ook mensen. Een oplossing met zogenaamde 'ingebouwde GDPR-bescherming' is daarom niet te vertrouwen.

Omdat de implementatie van de verordening in verschillende lagen en onderdelen van de organisatie verwerkt moet worden bestaat er geen kant-en-klare oplossing. Bovendien is het niet mogelijk de verantwoordelijkheid af te wenden: een bedrijf is volgens de GDPR ten allen tijde zelf aansprakelijk voor dataverlies.

4.    Tijd voor een capabiliteits-check   
Het vinden van de juiste oplossing voor een bedrijf begint met begrijpen wat reeds aanwezig is, wat moet worden aangepast en waar wellicht de hulp van een partner nodig is.

Het goede nieuws is dat het voor veel bedrijven een geval van evolutie zal zijn, niet van revolutie. Door vooraf een gap-analyse uit te voeren kan een GDPR- en gegevensbeveiligingsoplossing worden ontwikkeld die is afgestemd op de specifieke vereisten van een organisatie.

5.    Overbrug de ontbrekende competenties
Menselijke verrijking van technologie telt zwaar mee in het beveiligen van data. De technologie zal niet altijd herkennen waar en wanneer een organisatie kwetsbaar is. Er zijn mensen nodig die proactief de digitale omgeving scannen op kwetsbaarheden en zwakke punten.

Een geschikte partner kan de juiste expertise en ondersteuning bieden om deze behoefte in te vullen. Door met regelmaat te zoeken naar anonieme activiteiten of misbruik van privileges kan zelfs een datalek worden voorkomen voordat de schade is aangericht. Technologie alleen is hier niet toe in staat.

6.    Controleer de tijdlijnen
Een hacker’s grootste vriend is tijd. Hoe langer een indringer ongestoord kan rondneuzen in een zakelijke omgeving, hoe groter de schade is. Daarom is het van belang om deze tijdlijn zoveel mogelijk te beperken.

Een belangrijk middel om dit te bewerkstelligen is het opstellen van een actieplan dat in werking treedt als er een inbraak wordt gedetecteerd. Hierin wordt niet alleen vastgelegd hoe de schade geminimaliseerd moet worden, maar ook hoe het incident zo spoedig mogelijk gerapporteerd kan worden. Een gespecialiseerde partner kan niet alleen ondersteuning bieden bij het opstellen van een dergelijk actieplan, maar kan tevens deze taken op zich nemen. Voor organisaties met beperkte IT-capaciteiten kan dit de ideale manier zijn om op relatief eenvoudige wijze aan de meldplicht van de GDPR te voldoen.


Bert Stam
Sales en marketing directeur Noord-Europa
Rackspace

Plaats op:
Datum: 9 mei 2018
Bron: Rackspace
Gerelateerde artikelen  
30-08-2017 Nieuws GDPR Compliance Checker van ESET en Mazars
22-08-2017 Nieuws Previder introduceert GDPR-check voor bedrijven
17-05-2017 Achtergrondartikelen Bedrijfsleven op grote schaal slachtoffer datalekken
11-04-2018 Achtergrondartikelen GDPR – de tijd dringt nu echt!
21-06-2017 Nieuws Qualys Cloud Platform voor beheer in- en externe risico's
 
 

- partners -

 
 
 
 
 
� 2007 - 2018 Vakwereld. All rights reserved Pagina geladen in 0,19 seconden.