De meeste consumenten hadden pas door dat de GDPR van kracht werd toen hun mailbox overspoeld werd door e-mailberichten van bedrijven. Deze lieten weten dat hun privacybeleid was gewijzigd. Ze vroegen toestemming om berichten te blijven sturen. Dat er achter de schermen een grote omslag plaatsvond, was niet voor iedereen duidelijk. Wat is er aangepakt? Wat staat ons nog te wachten?
Het eerste wat de meeste bedrijven voor de inwerkingtreding van de wet deden, is de meest in het oog springende tekortkomingen aanpakken. Als organisaties persoonsgegevens gebruikten voor marketingdoeleinden, moesten ze contact met de betrokken klanten opnemen. Ze moesten opnieuw toestemming krijgen voor de opslag en het gebruik van persoonsgegevens. Vervolgens bekeken de organisaties hun procedures voor het verzamelen van deze gegevens. Afhankelijk van allerhande factoren, zoals het gebruik van legacy IT-systemen en/of de cloud-strategie van de organisatie, was én is dit een belangrijk proces om te evalueren.
IT-beveiliging
Naast het opslaan en verwerken is nog een ander aspect van belang. Dat is de IT-beveiliging. Grotere ondernemingen, dienstverleners en overheidsinstellingen beschikken vaak al over netwerkbeveiliging. Deze groep is daarom snel geneigd om te vertrouwen op hun bestaande mogelijkheden. En om hun focus op andere aspecten van GDPR-compliance te richten. Maar het is nog maar de vraag of de huidige beveiligingsmechanismen van organisaties kunnen voorkomen dat cyberaanvallen in een datalek resulteren.
Als er een datalek optreedt, heeft de getroffen organisatie maximaal 72 uur de tijd om het incident bij de toezichthouder te melden. Een interessante draai die de GDPR hieraan geeft is dat de organisatie zelf kan bepalen of het datalek ernstig genoeg is om te worden gemeld. Dat is namelijk niet nodig als “het lekken van persoonsgegevens naar alle waarschijnlijkheid geen afbreuk doet aan de rechten en vrijheden van de betrokkenen”. Als de organisatie ertoe besluit om het datalek wel te melden — iets wat niet per definitie in een boete hoeft te resulteren — moet die melding van een hoop informatie worden vergezeld. Dit maakt het belangrijker dan ooit om te weten waar persoonsgegevens precies liggen opgeslagen.
Omdat de kans groter is dat organisaties een boete krijgen opgelegd voor een datalek dan voor enige andere vorm van niet-naleving, zouden zij hun huidige beveiligingsmogelijkheden veel grondiger moeten bestuderen, zwakke schakels in de beveiliging identificeren en een uitgebreid plan opstellen om die problemen te verhelpen.
GDPR vereist meerdere samenwerkende technologieën
Met het oog op de toenemende druk van de regelgeving en het groeiende aantal complexe cyberbedreigingen, moeten organisaties er honderd procent zeker van zijn dat hun beveiligingsinfrastructuur in staat is om hun netwerk uitgebreid te beschermen. Deze moet zoveel mogelijk cyberaanvallen pareren, waar die zich ook maar voordoen, en snel indringers te detecteren die de eerste verdedigingslinie passeren. In dat laatste geval zou de organisatie in staat moeten zijn om tegenmaatregelen te treffen die de kans op schade tot een minimum beperken. Op die manier kunnen zij beter vaststellen of het nodig is om het datalek wel of niet aan de toezichthouder moeten melden.
Er bestaat echter geen enkele afzonderlijke technologie die dit allemaal voor elkaar kan spelen. Organisaties die hun operationele mogelijkheden evalueren in het licht van de strikte eisen van de GDPR, kunnen deze kans aangrijpen om verder te gaan waar de GDPR ophoudt. Meer in het bijzonder zouden ze moeten nagaan of hun huidige infrastructuur voor netwerkbeveiliging volledige ondersteuning biedt. En dan voor zowel hun huidige zakelijke behoeften, als voorzienbare toekomstige eisen. Met andere woorden: organisaties kunnen de GDPR ook aangrijpen als een zakelijke kans. In plaats van een eenmalige compliance-inspanning.
Wat doen ze buiten Europa met de GDPR?
Tot dusver is het echter nog altijd niet duidelijk welke maatregelen toezichthouders zullen treffen tegen een bedrijf buiten de EU dat de richtlijn heeft geschonden. Een interessant neveneffect van de GDPR is dan ook dat een aantal bedrijven buiten de EU heeft besloten om hun online content te blokkeren voor bezoekers uit de EU. Hebben we te maken met een permanente maatregel? Of weigeren deze bedrijven tijdelijk de toegang tot hun websites. Dit, totdat ze meer inzicht in de gevolgen van de GDPR hebben verworven?
Voor sommigen luidt de GDPR het begin in van een nieuw tijdperk. Een tijdperk waarin de relatie tussen het gegevenssubject en verzamelaars van data in het voordeel van de eerste uitvalt. Voor anderen is dit het zoveelste voorbeeld van een overbodige richtlijn die zijn doel voorbijstreeft. Veel bedrijven die niet in de EU zijn gevestigd denken er zo over. De tijd zal leren hoe effectief de GDPR zal zijn. Het valt echter te verwachten dat de toegenomen bewustwording rond de verzameling, het gebruik en de beveiliging van persoonsgegevens een grote verbetering zal zijn ten opzichte van de situatie van vóór de inwerkingtreding van de GDPR.
Patrick Grillo, EMEA Sales and Marketing Director bij Fortinet
