De AVG. We zijn er al drie jaar mee bezig en het wil maar niet echt lukken. Hoe komt het dat Nederlandse bedrijven zoveel moeite hebben met te voldoen aan deze privacywetgeving? Volgens het CIO Platform is het massale gebruik van clouddiensten van Amerikaanse leveranciers als Google, Amazon of Microsoft de reden waarom de AVG nog steeds niet bij alle bedrijven op orde is. “Deze clouddiensten stellen de gebruikers van hun software te vaak niet in staat de Europese regels na te leven. Daarnaast zijn ze niet transparant over wat ze doen met hun klantdata.” Het CIO Platform roept in het Financieele Dagblad de Europese wetgever op ervoor te zorgen dat de softwareleveranciers hun producten alleen aan de EU-markt mogen leveren als zij zelf de AVG-eisen naleven.
AVG normering
Het CIO platform staat niet alleen. Ook de Nederlandse overheid waarschuwde voor het gebruik van Google’s G Suite Enterprise software (tegenwoordig bekend onder de naam Google Workspace). Ondanks deze waarschuwende woorden denken nog veel bedrijven dat ze met het gebruik van bijvoorbeeld Office 365 voldoende veilig zijn. En dat ze voldoen aan wet- en regelgeving (waaronder de AVG en de NTA 7516 normering). Dat klopt niet, maar veel organisaties zijn hiervan niet op de hoogte. Zo kwam ik laatst leverancier tegen die een gemeente had overtuigd dat bij gebruik van Office 365 helemaal geen aanvullende maatregelen voor e-mailbeveiliging nodig waren. Bizar, maar niet uniek.
Email Data Protection Supplementen
Wat moet je als organisatie dan wel doen? Je kan altijd kiezen voor een Europees alternatief. Dit in de vorm van een partij die dezelfde diensten biedt als Microsoft of Google. Wil je liever gebruik blijven maken van bijvoorbeeld Office 365? Dan raadt de Europese Commissie (in hun advies van november 2020) aan om de informatie op zo’n manier te versleutelen dat de grote Amerikaanse tech-giganten geen toegang tot je gevoelige data hebben. Dit kan met Email Data Protection Supplementen. Deze zogenaamde supplementen integreren in de software van bijvoorbeeld Office 365, brengen een extra beveiligingslaag aan én zorgen ervoor dat alleen jij de sleutels hebt tot gevoelige data.
AVG en extra tools
Europese organisaties kunnen dus wél voldoen aan de AVG én gebruik blijven maken van deze Amerikaanse leveranciers, mits ze de juiste extra beveiligingstools gebruiken. Ook Gartner bespreekt dit in het rapport ‘2020 Market Guide for Email Security’ . Hierin staat dat “[…] de overstap naar cloud-gebaseerde e-mail om een herziening van mechanismen en processen voor emailbeveiliging vragen. De eisen en problemen rond het waarborgen van overeenstemming met de wet- en regelgeving leggen een sterkere nadruk op de gegevensbescherming voor e-mail.”
Zivver werd in datzelfde rapport genoemd als een van de vijf representatieve Email Data Protection Specialisten, wereldwijd. De technologie van Zivver voor veilige uitgaande e-mail en bestandsoverdracht beschermt de data van klanten. En dit, tijdens alle drie stadia van e-mailcommunicatie. Namelijk voor, tijdens en na verzending. Dankzij een snelle integratie kunnen werknemers gebruik blijven maken van hun vertrouwde e-mailomgeving, zoals Outlook, Office 365 of Gmail. De software van Zivver biedt controlemechanismen en rapportagetools die nodig zijn om te voldoen aan richtlijnen als de Nederlandse NTA 7516 normering en natuurlijk de AVG (GDPR). Ook wanneer organisaties al werken met Office 365 of Google’s G-Suite.
Data-beveiligingslaag
Het voldoen aan de AVG is dus best mogelijk als je als organisatie gebruik wilt blijven maken van Microsoft, Google of Amazon. Maar alléén als er een data-beveiligingslaag wordt toegevoegd. Dat is een absolute noodzaak. Dit, zeker in een tijdperk waarin steeds meer mensen thuiswerken en organisaties in hoog tempo overstappen naar de cloud.
Rick Goud, CIO Zivver
