De eerste van januari markeert het begin van het jaar, maar er is een datum die het begin van een heel nieuw tijdperk in het Europese bedrijfsleven inluidt. En deze datum, 25 mei 2018, nadert snel. Dit is de dag dat de EU’s General Data Protection Regulation (GDPR) volledig van kracht is.
Er is veel gepraat over GDPR en de meeste bedrijven hebben zich de afgelopen tijd al voorbereid. Velen hebben adviezen ingewonnen bij hun advocatenkantoren om inzicht te krijgen in de eisen en implicaties van de verordening. Ook hebben ze top-notch cybersecurity-oplossingen in huis. Een prima uitgangssituatie zou je denken, maar er zijn een aantal zaken die de nodige aandacht verdienen.
1. Persoonsgegevens beveiligen
Ten eerste vereist het beveiligen van klantgegevens een 360-graden benadering. Om te voldoen aan de GDPR-eisen moet een bedrijf alles weten over de persoonsgegevens die ze in bezit heeft. Waar de gegevens vandaan komen bijvoorbeeld, maar ook wat er gebeurt tussen verzamelen en verwijderen. Uiteraard is het ook van belang dat het bedrijf weet hoe de gegevens beveiligd zijn. Dit heef niet alleen te maken met de technische aspecten, ook de processen moeten goed bekeken worden. En dit vergt de nodige training. Daarnaast benadrukt GDPR dat security onderdeel moet zijn van de hele organisatie. Security is niet iets wat je ‘erbij’ doet, maar wat door heel de organisatie omarmt moet worden.
2. Correct melding maken van inbreuken
In de tweede plaats wordt een inbreuk soms pas na maanden of zelfs jaren erkent. Het verplicht melden van een inbreuk op persoonsgegevens binnen 72 uur is iets wat elk bedrijf zou moeten omarmen. In de praktijk betekent dit dat bedrijven de risico’s van de inbreuken serieus moeten nemen, moeten investeren in 24/7 incident detection and response mogelijkheden en ervoor moeten zorgen dat er intern procedures zijn om inbreuken te melden. Het is onze ervaring dat je de combinatie machine en mens nodig hebt om de echte inbreuken te herkennen én te melden. Onze Live Security-aanpak combineert geavanceerde technologie met de laatste inzichten die onze experts hebben opgedaan tijdens onderzoek in het veld. Tegenwoordig is het mogelijk om bijna alle aanvallen in minder dan 30 minuten te detecteren.
Volgens de Allianz Risk Barometer 2016 zijn cyber incidenten wereldwijd het op twee na hoogste zakelijke risico. Op de vierde plek staan natuurrampen, iets waar de meeste bedrijven zich al zwaar tegen verzekerd hebben. Tegenwoordig is het veel waarschijnlijker dat jouw bedrijf het slachtoffer wordt van een cyber incident dan van een brand of aardbeving. Daarom is het verstandig om jouw bedrijf voor te bereiden op cyberrampen en de GDPR:
1. Investeer in een uitgebreide Privacy Impact Assessment dat de technische en managementinformatie combineert in een holistische kijk op de privacy competenties van jouw bedrijf.
2. Benader de preventieprocessen, het opsporen en het reageren op incidenten proactief. Dit vraagt zowel om technische als menselijke inspanning, en dat 24 uur per dag en 7 dagen per week.
3. Ontwikkel je eigen richtlijnen voor wanneer een inbreuk plaatsgevonden heeft. Dit is iets wat intern opgepakt moet worden.
4. Zorg voor een goede analyse van iedere inbreuk en de omgeving van de inbreuk.
5. Overweeg om jouw bedrijf te verzekeren tegen cyberaanvallen. Naast de juridische implicaties en aanzienlijke boetes, kan een inbreuk het einde van jouw bedrijf betekenen.
Cybersecurity is aan de orde van de dag. We horen er dagelijks over in de media. Daarom staat cybersecurity terecht wereldwijd op de agenda’s van de politiek, handel en de toekomst. We kunnen het belang van cybersecurity niet langer ontkennen. We zijn allemaal een doelwit, persoonlijk of als onderdeel van een massale aanval. Onszelf voorbereiden is het enige wat we kunnen én moeten doen.
Categories