Zorgeloos samenwerken in netwerktijden

Dit moet een netwerkorganisatie weten over de nieuwe Europese privacywetgeving

De meerderheid van de Nederlandse bedrijven weet niet wat de impact is van de nieuwe Europese privacywetgeving die in mei volgend jaar van kracht wordt. Ook voor netwerkorganisaties heeft de General Data Protection Regulation (GDPR) gevolgen.

De nieuwe regels geven consumenten een veel betere bescherming van hun eigen data. Zo moeten bedrijven expliciet toegang vragen tot data van personen of om derde partijen toegang te geven tot deze data. Bovendien hebben mensen ‘het recht vergeten te worden’, oftewel, ze mogen eisen dat al hun persoonlijke gegevens uit de bestanden – en back-ups! – van een bedrijf worden gewist. Uit onderzoek van security-organisatie ESET blijkt dat 61 procent van de bedrijven de impact van de nieuwe wet- en regelgeving niet kan inschatten. En dan hebben we het nog niet eens over de impact op netwerkorganisaties, organisaties die vaak gegevens met elkaar delen. Wat moet je regelen en wie is er aansprakelijk op het moment dat er onverhoopt toch gevoelige data gelekt wordt? Mensen, processen en technologie Harm van Koppen is Distribution Channel Manager bij security-leverancier Sophos. Om het complexe vraagstuk van de GDPR behapbaar te maken, richt hij zich op drie thema’s: mensen, processen en technologie. ‘De veiligheid van gegevens valt of staat met de mensen die ermee bezig zijn. Het is belangrijk dat zij zich bewust zijn van de consequenties op het moment dat ze onverschillig met gevoelige data omgaan. Bewustwording is dus een heel belangrijk onderdeel in het proces om je netwerkorganisatie ‘GDPR-proof’ te maken. Je kunt met technologie veel afdekken, maar je voorkomt er niet mee dat een werknemer een foto maakt van een beeldscherm waarop privacygevoelige informatie staat.’ Netwerkbedrijven doen er goed aan om hun processen kritisch te bekijken en te definiëren waar de beveiliging strakker moet en waar het minder noodzakelijk is. Met een voorbeeld van een woningbouworganisatie legt Harm van Koppen de processen uit. ‘Een aanvraag voor een nieuwe keuken is een proces waar weinig privacygevoelige gegevens aan te pas komen. Maar bij de aanvraag voor huursubsidie zijn persoonlijke en financiële gegevens gemoeid. Classificeer de verschillende processen en de verschillende soorten informatie om zo de juiste processen te beveiligen.’ Risico’s van de cloud Netwerkorganisaties werken graag samen in de cloud. Hoe veilig is dat? Van Koppen: ‘Leveranciers van clouddiensten zijn zich steeds meer bewust dat de security op orde moet zijn, maar ik vermoed dat veel gebruikers dat besef nog niet hebben. Beveiliging wordt nog te vaak gezien als sluitpost. Organisaties kiezen voor de cloud vanwege bepaalde bedrijfsprocessen en security werkt in hun beleving dan vertragend en verstorend, maar de nieuwe Europese wetgeving heeft daar heel andere ideeën over.’ Op het moment dat twee organisaties samenwerken in de cloud en het ene bedrijf gevoelige data zonder toestemming van de eigenaar op een Dropbox-account of andere clouddienst zet waar de andere onderneming toegang tot heeft, is dat bedrijf na 25 mei 2018 – het moment dat de GDPR in werking treedt – aansprakelijk voor het lekken van informatie. De gevolgen kunnen fors zijn; de boetes onder de nieuwe wetgeving kunnen oplopen tot 20 miljoen of 4 procent van de wereldwijde omzet. Complex en verstrekkend Om te voorkomen dat het na inwerkingtreding van de GDPR volgend jaar fout gaat, moeten netwerkbedrijven nu al nadenken over hoe ze hun medewerkers bewustmaken van de manier waarop ze met privacygevoelige gegevens moeten omgaan. Bovendien moet kritisch worden bekeken welke processen extra beveiligd moeten worden en welke technologie daarvoor beschikbaar is. ‘Het is een complexe wetgeving met verstrekkende gevolgen’, stelt Van Koppen. ‘Er zitten veel haken en ogen aan, dus ik adviseer ieder management team om zich zo snel mogelijk te verdiepen in wat het voor jouw bedrijf betekent.’ Om snel te kunnen zien of bedrijven voldoen aan de nieuwe Europese richtlijnen zijn er verschillende ‘GDPR compliance checks’ beschikbaar. Zoals bijvoorbeeld die van Sophos: https://www.sophos.com/en-us/lp/compliancecheck.aspx en die van ESET: https://www.eset.com/nl/zakelijk/gdpr-compliance-checker/.