Onlangs kregen wij de vraag of we een verklaring kunnen afgeven waarin wij aangeven dat onze klanten door onze software werken conform de nieuwe privacyverordening ‘algemene verordening gegevensbescherming’ (AVG, of GDPR in het Engels). Helaas, was het maar zo gemakkelijk.
Maar natuurlijk kan ik wel tips geven. Bijvoorbeeld voor MKB-organisaties, onderwijs- en zorginstellingen die willen weten of ze al voldoen aan de GDPR. Ik zal maar meteen met de deur in huis vallen: veel bedrijven en organisaties weten dus niet goed of zij al voldoen aan GDPR. Dit terwijl de ‘meldplicht datalekken’, die in feite dezelfde gevolgen heeft als de GDPR, al anderhalf jaar geldt. Ook de GDPR is al goedgekeurd en krijgt concrete gevolgen vanaf 25 mei 2018.
Software die conformiteit met de GDPR garandeert, bestaat niet. Dit is ook onmogelijk, omdat datalekken in duizend-en-één verschijningsvormen kunnen plaatsvinden. Hackers en malware zijn slechts twee mogelijke vormen van datalekken waartegen de oplossingen van G DATA kunnen beschermen. Maar het verlies van een USB-stick, diefstal van een smartphone, een spreadsheet met personeelsgegevens dat naar de verkeerde persoon wordt gemaild: daarvoor zijn echt andere maatregelen nodig, zowel technisch als organisatorisch.
Hulpmiddelen tegen datalekken
Er zijn talloze slimme hulpmiddelen om te voorkomen dat het verlies van een fysieke datadrager leidt tot daadwerkelijk lekken van privacygevoelige gegevens. Denk aan encryptie en data wissen op afstand. Nederlandse bedrijven hebben het voordeel dat de huidige Nederlandse wet- en regelgeving al in lijn is met GDPR en dat de Nederlandse wetten voorrang hebben op de Europese GDPR. Veel organisaties voldoen daardoor al aan de regels.
Mijn advies is: breng eerst in kaart waar de risico’s liggen en hoe deze afgedekt zijn. In België zal de GDPR leidend worden. Daarom heeft mijn collega Eddy Willems op basis van een overzichtelijk stappenplan van de Belgische Privacy Commissie een presentatie gemaakt die kan helpen bij het invoeren van een bedrijfsbreed beleid om datalekken te voorkomen.
Werken in de cloud
Veel bedrijven maken gebruik van een cloudoplossing. Hoewel dit verschillende nadelen heeft op onder meer het gebied van transparantie (hoe worden de gegevens beveiligd?), authenticatie (hoe controleert de cloud bij het inloggen dat jij bent wie je zegt dat je bent?) en autorisatie (wie bij de leverancier hebben allemaal toegang tot jouw gegevens en hoe goed zijn deze mensen gescreend?), moet je feitelijk stellen dat er op het gebied van security ook voordelen zijn. Hoe je het ook wendt of keert: het is de core business van cloudleveranciers om gegevens te beschermen en zij doen dit dan ook meestal veel beter dan individuele bedrijven, die hierin niet gespecialiseerd zijn.
Toch voelt een cloud onveilig. Vooral omdat het voor veel organisaties nieuw en onbekend is. Maar vergelijk het eens met vliegen versus zelf autorijden. Statistisch gezien is een kilometer autorijden veel gevaarlijker dan een kilometer vliegen. Desondanks hebben veel meer mensen last van vliegangst. Het zal het gebrek aan controle zijn, ook al ben je zelf onkundiger dan een professioneel piloot. Bij het selecteren van een cloudleverancier moet je dus expliciet vragen of zij voldoen aan de GDPR. En dit ook contractueel laten vastleggen.
Europese regels
Wel wil ik hier een kritisch punt plaatsen bij Amerikaanse cloudleveranciers. Het is de vraag of die nog wel voldoen aan de GDPR, omdat de Amerikaanse overheid zich niet gebonden voelt aan Europese regels. Hierover heb ik eerder een artikel geschreven voor BlogIt.
Een simpele stelregel is: iedere organisatie blijft altijd zelf eindverantwoordelijke als het gaat om privacygevoelige informatie, ook als deze in de cloud staat. Wie passende maatregelen heeft getroffen, hoeft echter niet direct bang te zijn voor een boete. Het belangrijkste verschil met voorheen is dat de bewijslast is omgekeerd. Jouw organisatie moet dus kunnen aantonen dat ze passende maatregelen heeft genomen om datalekken te voorkomen. Als dat niet het geval is, krijg je een waarschuwing en de kans om het probleem op te lossen.
Privacygevoelige informatie
Ik ben benieuwd hoe lezers van deze blog omgaan met de GDPR. En met de al eerder in Nederland ingevoerde verplichting om datalekken te melden. Samen ervaringen delen, kan immers iedereen helpen in de strijd tegen cybercriminelen. Vooral als die het gemunt hebben op privacygevoelige informatie. En als we één ding hebben geleerd tijdens onze jarenlange strijd tegen virussen, ransomware, zoals WannaCry, en andere vieze trucjes van cybercriminelen, dan is het wel dat samenwerking loont. Het is in ons gezamenlijk belang om cybercriminelen zo snel mogelijk de pas af te snijden. Daarom graag jullie reacties onder deze blog. Voor degenen die na deze blog toch nog twijfelen of ze voldoen aan de GDPR, zijn onze securityspecialisten natuurlijk altijd bereid om mee te denken.
