Over een klein jaar wordt de European General Data Protection Regulation (GDPR) van kracht. Sommige bedrijven zijn er misschien al klaar voor, terwijl anderen nog veel werk hebben liggen als het gaat om het verzamelen, opslaan, gebruiken en beveiligen van persoonsgegevens.
Maar volgens beveiligingsexperts moeten bedrijven voor zichzelf eerst de volgende vraag beantwoorden voordat ze iets anders gaan doen: hoe belangrijk zijn persoonsgegevens voor het bedrijf?
‘Data driven’ zijn is helemaal hot op het moment, dus de kans is groot dat bedrijven niet zonder persoonsgegevens kunnen of willen. En zelfs als jouw organisatie zonder data kan, dan kan dat in de toekomst natuurlijk veranderen. Daarom moet je kritisch kijken naar jouw huidige én toekomstige behoeften.
Het is mogelijk dat bedrijven die geen persoonlijke gegevens willen of nodig hebben, het verzamelen, opslaan en analyseren van persoonsgegevens afstoten. Dat maakt het makkelijker om te voldoen aan de nieuwe wetgeving.
Volgens F-Secure experts zijn GDPR compliance providers bedrijven die gespecialiseerd zijn in het beheren van persoonsgegevens. Deze bedrijven werken volgens procedures die kloppen met de regelgeving en geüpdate worden als dat nodig is. Deze dienstverlening is vergelijkbaar met het uit handen geven van payment processing aan een gespecialiseerde partij in het geval van een webwinkel.
Op dit moment zijn er geen bedrijven die gespecialiseerde GDPR-compliance diensten verkopen, waardoor de meeste organisaties die werken met persoonsgegevens zelf voorbereidingen moeten treffen. En volgens de GDPR ligt de aansprakelijkheid nog steeds bij de organisatie die deze gegevens gebruikt (hoewel financiële risico’s eventueel contractueel overgedragen kunnen worden aan derden).
Hoewel dit misschien voelt als een ongewenste last, zegt F-secure Risk Management Consultant Laura Noukka dat er een echte kans bestaat dat bedrijven die werken met persoonsgegevens zich verkijken op de GDPR.
“Bedrijven moeten zich voorbereiden op de regulering,” zegt Noukka. “Het goede nieuws is dat als je nu goed omgaat met persoonsgegevens, je klaar bent voor de toekomst. Maar je moet het wel goed doen, wat betekent dat je nu moet investeren in het verbeteren van het verzamelen en het opslaan van de data. En in het beschermen van deze data.”
Dus, terwijl de GDPR voornamelijk gezien wordt als een combinatie van kosten en strafmaatregelen, zeggen Noukka en anderen dat het een goede richtlijn is voor bedrijven om persoonsgegevens op een veilige, verantwoorde manier te beheren.
GDPR Compliance is geen risico. Het is een aanpak om risico’s te verminderen
Er is al veel geschreven over hoe GDPR straffen uitdeelt aan bedrijven die zich niet houden aan de regulering. Maar volgens Noukka is dat maar één kant van het verhaal.
“De GDPR spreekt twee soorten risico’s aan: het risico op datalekken en het risico op misbruik van de privacy van mensen. In het geval van een datalek ben je de controle kwijt over jouw data en dat voel je eerst in de vorm van operationele kosten en imagoschade. Het risico op misbruik van privacy is beter te managen onder de GDPR, aangezien je de gegevens nog in handen hebt en controle hebt over de situatie.”
F-Secure CEO Samu Konttinen zegt dat, verwijzend naar Allianz’s 2016 Risk Barometer, cyberincidenten het op twee na grootste risico zijn voor bedrijven. De GDPR dwingt bedrijven om te investeren in het beheersen van dergelijke risico’s. Maar waar moeten deze bedrijven beginnen?
“De GDPR is een goed uitgangspunt voor het opzetten van een veilige omgeving voor persoonsgegevens. De wet zal niet helemaal waterdicht zijn, maar zal voldoende stimulans geven voor bedrijven om zich voor te bereiden op beveiligingsincidenten. En om er op te reageren. Het voldoen aan de GDPR maakt bedrijven sterker in het bestrijden van de risico’s, veroorzaakt door het moderne security landschap,” zegt Antti Vähä-Sipilä, hoofdadviseur bij F-Secure.
Naleving, net als cybersecurity in het algemeen, vereist dat bedrijven meer doen dan alleen nieuwe beveiligingsproducten kopen. Hier een aantal zaken waar bedrijven zich op moeten richten bij het voorbereiden op de GDPR:
Enterprise Architects spelen een belangrijke rol in succesvolle GDPR-projecten
Voorbereiden op de GDPR betekent dat de afhandeling van persoonsgegevens verandert. Niet alleen in technische zin, maar ook in hoe bedrijven informatie verwerken, omdat de informatie zich door verschillende processen en onderdelen van een bedrijf beweegt. Het gaat hier om structurele veranderingen, veel afdelingen zijn betrokken. IT en de juridische afdeling bijvoorbeeld. Maar het betrekken van een Enterprise Architect als kartrekker van een GDPR-compliance project zorgt ervoor dat nieuwe processen en structuren betrouwbaar, duurzaam en kosteneffectief zijn. En in overeenstemming met de regelgeving zoals de GDPR.
Security aanpakken moeten de privacybehoeften van individuen aanpakken
Een belangrijk doel van de GDPR is het beschermen van persoonsgegevens. Het concept beveiligen kan zowel plaatsvinden op architectonisch vlak (toegang van personen, rechten van individuen, reactie op verzoeken voor gegevens, data-minimalisatie) of op security vlak (kleine aanvalsoppervlak, detectie, respons, enz.).
Door beide goed in te richten kunnen bedrijven verschillende risico’s verminderen, zoals misbruik van persoonsgegevens en datalekken.
Incidentdetectie en responsmogelijkheden worden belangrijker
Veel bedrijven investeren in hun beveiligingssysteem, zoals firewalls en endpoint protection producten. Maar dit is niet genoeg voor de GDPR. In feite spelen detectie- en reactiemogelijkheden, net als het verbeteren van de netwerkbeveiliging, een belangrijke rol in de security aanpak. Het opsporen van incidenten binnen het systeem en het beheren van de schade die aanvallers kunnen veroorzaken, moet prioriteit krijgen om te voldoen aan de GDPR.
En het is nog belangrijker om te vermelden dat detectie- en responsmogelijkheden essentieel zijn voor het beheren van beveiligingsincidenten, zoals datalekken. Hoewel er veel manieren zijn waarop een bedrijf niet in overeenstemming is met GDPR, zijn de risicoprofielen van datalekken en andere vormen van non-compliance (zoals het traag reageren op subject acces requests) anders. Prioriteren van beveiligingsmaatregelen die inbreuken voorkomen (dat voorkomt grotere problemen, zoals non-compliance), is zinvol voor bedrijven.
GDPR-compliance betekent dat je voorbereid bent op dingen die verkeerd gaan
Enterprise Architects kunnen helpen met het houden van toezicht en zorgen ervoor dat afgesproken processen worden onderhouden en gevolgd. Wat is er geregeld als zo’n proces onderbroken wordt? In het geval van een datalek bijvoorbeeld. Het beheersen van een dergelijk risico heb je, in principe, op dezelfde manier voorbereid als bij andere rampen.
Hieronder een aantal suggesties om jouw bedrijf voor te bereiden voor zaken die fout kunnen gaan.
- Periodieke Red Teaming tests die organisaties helpen bij het vinden van kwetsbaarheden in het afhandeling en de processen van persoonsgegevens, zodat ze kunnen worden verholpen.
- Een regelmatige herziening van het incidentplan van het bedrijf. Onder de GDPR hebben bedrijven 72 uur de tijd om een schending te melden, zodra deze is ontdekt. Die 72 uur kan het bedrijf gebruiken om de schade van het beveiligingsincident te beperken, om zo snel mogelijk weer aan het werk te gaan. Daarom is het verstandig om te investeren in detectiemogelijkheden en is een geüpdate incidentplan essentieel.
- Voer regelmatig crisis management oefeningen uit. Simulatieoefeningen bijvoorbeeld waar een crisis management team een situatie, zoals een datalek, voorgeschoteld krijgt. Zo kunnen ze hun incidentplan goed oefenen. Dergelijke oefeningen houden het team alert voor incidenten.
GDPR compliance is een doorlopend proces, niet een eenmalige oplossing
Veel mensen hebben het over GDPR compliance als iets wat je een keer moet inregelen en dat het dan genoeg is. Maar door deze instelling wordt GDPR eerder een last, in plaats van een kans. En die mindset ondermijnt alle voordelen die GDPR met zich meebrengt.
Categorieën