Home Security Evaluatie na één jaar AVG (GDPR)

Evaluatie na één jaar AVG (GDPR)

41
AVG

25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG) officieel in werking trad, stond zonder twijfel rood omcirkeld in de agenda van elke Chief Information Security Officer (CISO). Deze privacywetgeving vereiste veel aandacht. En de nodige wijzigingen van zowel alle Europese organisaties als organisaties wereldwijd die zaken doen met Europeanen. Nu de eerste verjaardag van de AVG nadert, is het tijd voor een evaluatie.

De veranderingen in een oogopslag

In de Europese Unie mag je persoonlijke gegevens alleen verzamelen voor legitieme doeleinden. En onder strikte voorwaarden. Organisaties die de data verzamelen en beheren, moeten het bovendien voldoende beschermen tegen misbruik. Er zijn nu meer verplichtingen, verantwoordelijkheden, nieuwe en uitgebreide rechten én aanzienlijke boetes voor degenen die het verkeerd aanpakken. Bovendien stelt de nieuwe meldplicht datalekken dat organisaties binnen 72 uur alle gerelateerde informatie over een lek moeten verzamelen en melden aan de desbetreffende regelgever. Dat is een flinke onderneming en vraagt om een uitgebreid calamiteitenplan.

Wijzigingen in regelgeving zijn nog wel eens vaag ten tijde van hun invoering. Op den duur krijgen ze vorm door wettelijke precedenten en standaarden, als gevolg van overtredingen. Deze ‘evolutie’ zorgt bij alle bedrijven voor een bepaalde onzekerheid, zowel bij organisaties die worden beboet voor schending van de nieuwe regelgeving (zoals Google in Frankrijk), als bij alle andere bedrijven.

Één jaar in praktijk vanuit zakelijk perspectief

Twaalf maanden AVG heeft tot nu toe gezorgd voor meer datahygiëne; de invoering vraagt van organisaties een meer proactieve houding ten opzichte van het beschermen en beheren van data. In het verleden moesten bedrijven eerst inzicht verkrijgen in hun verschillende datapools, die vaak verspreid waren over verschillende afdelingen. Veel organisaties moesten eerst achterhalen of zij wel wettelijke toestemming hadden voor het gebruiken van alle persoonlijke informatie van Europeanen.

Tijdens de eerste periode van de AVG heb ik een aantal interessante gesprekken gevoerd met organisaties wereldwijd over hun eerste ervaringen met de nieuwe privacyverordening. Veel van de CISO’s in de Verenigde Staten gaven aan dat zij de AVG hebben omarmd als hun wereldwijde standaard. Dat blijkt vaak gemakkelijker en kosteneffectiever dan de wetgeving alleen voor EU-gerelateerde activiteiten door te voeren. Daarnaast geven zij aan dat het van cruciaal belang is om samen te werken met werknemers en klanten. Dit opdat zij volledig op de hoogte zijn van alle security-gerelateerde activiteiten die zijn geïmplementeerd om hen te beschermen. Daarmee bescherm je namelijk ook de organisatie. Het garanderen van de privacy en security van bedrijven, medewerkers en klanten vormt je eerste verdedigingslinie.

Focus op best-practice security en privacy operations

Het is volkomen begrijpelijk dat CISO’s en privacy-professionals het afgelopen jaar in beslag zijn genomen door de AVG. Desondanks vind ik dat compliance met AVG, alsook met alle andere regelgeving, een kwestie moet zijn van focus op best-practice security en privacy operations. Dát is waar organisaties hun schaarse middelen en inspanningen op moeten inzetten. En nog belangrijker. Ze moeten die best practices overnemen en implementeren voor de gehele organisatie. Al die activiteiten komen bovenop de verplichting van CISO’s en privacy-professionals om te zorgen dat het bedrijf snel op veranderingen in kan spelen. Dit, terwijl zij tegelijkertijd moeten omgaan met de verschillende eisen die gelden in alle regio’s en landen. Dit heeft onvermijdelijk invloed op de moeilijke uitdaging om compliant te zijn en gelijktijdig het bedrijf te beschermen én omzet te genereren.

Een andere factor om rekening mee te houden, is de Brexit. De onzekerheid rondom de uitkomst zorgt voor allerlei uitdagingen. Wat betreft databescherming kunnen bedrijven in eerste instantie terugvallen op standaard Europese contractbepalingen voor data-overdracht tussen de EU en landen daarbuiten. Wanneer de gemeenschappelijke basis voor dataprivacy verloren gaat bij een no-deal Brexit, zullen die bepalingen ervoor zorgen dat data voldoende beschermd blijft.

Bepalingen op natuurlijke wijze naleven binnen de gehele organisatie

Na invoering van de AVG reageerden veel organisaties overdreven door volledige datapools te verwijderen die niet aan de dubbele opt-in voldeden. In veel gevallen was dat het gevolg van een gebrek aan kennis over het correct managen van die datapools. Vlak voor de invoering werd er dan ook op grote schaal nog toestemming verzameld. Dit leidde overigens niet tot de gewenste resultaten; het resulteerde dikwijls in een flinke verkleining van de contactendatabase.

Hoewel de nieuwe privacywetgeving heeft gezorgd voor meer datahygiëne, heeft het ook gezorgd voor meer bureaucratie. Zo is er nog geen standaardisering beschikbaar voor het vereenvoudigen van deze processen met universele templates. Om desondanks registraties bij te houden en compliance aan te kunnen tonen, is een groot aantal sjablonen en formulieren in het leven geroepen. De certificeringsprocessen die momenteel lopen, gebaseerd op artikel 42 van de AVG, introduceren een (vrijwillig) proces dat helpt bij het aantonen van compliance met de wetgeving.

AVG staat relatief gezien nog in de kinderschoenen. Het vraagt daarom om een zekere flexibiliteit van organisaties nu de eerste jurisprudentie is vastgelegd en standaarden zich ontwikkelen. Ik adviseer bedrijven om, te midden van alle verwarring, te (blijven) zorgen dat ze hun zaakjes op orde hebben op het gebied van privacy, data en security. En dat beleid uniform door te voeren in alle regio’s waarin zij werken. Organisaties moeten zich tevens concentreren op security en privacy van medewerkers. Dit, aangezien zij de eerste verdedigingslinie van het bedrijf vormen. In plaats van alle AVG-eisen eenvoudigweg af te vinken, wordt de AVG dan op een meer natuurlijke wijze nageleefd binnen de gehele organisatie.

Rainer Rehm, Data Privacy Officer EMEA bij Zscaler

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here