Op de een of andere manier duurt het lang voordat richtlijnen en verordeningen uit Brussel zichtbaar worden. Ze zijn lange tijd gehuld in mist en opeens staan ze voor je. Dit geldt ook een beetje voor de General Data Protection Regulation (GDPR) van de EU. Deze wordt eind dit jaar van kracht. Als u als organisatie of bedrijf persoonlijke gegevens van klanten en relaties opslaat, lees dan verder.
De GDPR is een verordening die de bescherming van persoonsgegevens harmoniseert binnen alle 28 EU-lidstaten. De huidige EU-richtlijn inzake gegevensbescherming (95/46/EC) zorgde voor een te grote verscheidenheid binnen de lidstaten en houdt onvoldoende rekening met globalisering en technologische ontwikkelingen zoals sociale netwerken en cloud computing. Daarnaast is de afgelopen jaren het verzamelen van data geëxplodeerd; vaak zonder dat EU-burgers hiervoor toestemming hebben gegeven. Ook bestaan er verwarrende verschillen binnen de nationale wetgevingen van de EU-lidstaten. De GDPR houdt hier wel rekening meer. Het belangrijkste doel van de GDPR is om de persoonsgegevens van burgers te beschermen. Uitgangspunt daarbij is een grotere verantwoordelijkheid en aansprakelijkheid voor bedrijven en organisaties die persoonsgegevens verzamelen, opslaan en verwerken.
En daarom is het belangrijk om te weten wat de GDPR is. U mag als bedrijf alleen onder strikte voorwaarden en voor een legitiem doel persoonlijke gegevens verzamelen. En u moet aantonen dat u voldoet aan de GDPR en dat de benodigde maatregelen hebt genomen om deze na te leven. Uw organisatie is daarmee te allen tijde juridisch aansprakelijk voor de bescherming van (ongestructureerde) data, indien deze data verloren raakt, gestolen wordt, aangepast wordt of gebruikt zonder autorisatie.
Valkuilen
Dit levert de volgende vier valkuilen op voor bedrijven die gebruikmaken van opslag of applicaties in de cloud.Veel – zo niet de meeste – persoonsgegevens waarvoor een bedrijf verantwoordelijk is, worden ongestructureerd opgeslagen. Met andere woorden: de gegevens zitten niet in vooraf gedefinieerde datasystemen of clouddiensten die voldoen aan de wettelijke eisen en die regelmatig geüpdatet, gepatcht en geaudit worden als onderdeel van een beheercyclus;
- Medewerkers binnen de organisatie gebruiken vaak ongestructureerde data binnen samenwerkingsapplicaties, zoals SharePoint. Deze gegevens worden opgeslagen op mobiele apparaten en gedeeld met anderen via ongeautoriseerde applicaties en cloudopslaglocaties, die buiten de directe controle van de organisatie vallen. De trend van Bring Your Own Device (BYOD) heeft dit probleem versterkt;
- Werken met niet-goedgekeurde clouddiensten kan ernstige risico’s voor de organisatie met zich meebrengen, op juridisch gebied, qua businesscontinuïteit en reputatieschade;
- Er is een meldingsplicht van inbreuken op de privacy, met een niet misselijke boete van vijf procent van de jaarlijkse omzet van een onderneming. Gevolgd door rigide controle op de manier waarop de onderneming persoonlijke gegevens verzamelt, opslaat, gebruikt en beveiligt.
Wat kunt u als bedrijf doen om bovenstaande valkuilen te ontwijken? Vijf tips:
- Weet welke gebruikers of clouddiensten binnen uw organisatie data verwerken.
- Breng alle cloudapplicaties in kaart die mensen binnen de organisatie gebruiken.
- Voorkom dat persoonlijke gegevens worden opgeslagen of verwerkt binnen niet-beheerde clouddiensten.
- Bescherm persoonlijke gegevens als deze opgeslagen zijn of verwerkt worden binnen clouddiensten.
- CIO’s moeten bijzondere aandacht schenken aan dit probleem en de maatregelen om deze clouddiensten in het kader van de zichtbaarheid en controle van de organisatie mee te implementeren.
Neem bovenstaande vijf tips ter harte. Beschouw ze als de mistlampen op uw auto, waardoor de contouren van mogelijke problemen langzaam zichtbaar worden. Wilt u de impact van de GDPR voor uw organisatie in kaart brengen, lees dan de Netskope-whitepaper.
Thomas Kramps, Regional Director Benelux bij Netskope
