Voldoet jouw organisatie al aan de spelregels van GDPR?

Algemeen
vrijdag, 24 februari, 2017
ESC - IT empowering business - GDPR AVG audit - security privacy experts



General Data Protection Regulation of GDPR staat nu al op de lijst van buzzwoorden van het jaar 2017. Een mooi modewoord, maar wat betekent het eigenlijk? Wel zo handig om te weten, want ook jij krijgt ermee te maken. Het heeft betrekking op alle EU-organisaties die werken met gegevens van inwoners én niet-inwoners van de Europese Unie. We hebben wat belangrijke ins en outs van de nieuwe regelgeving voor je opgelijst.

Weet je nog hoe het eraan toe ging tijdens de millenniumproblematiek? Het probleem waarbij veel computersystemen in de wereld niet goed voorbereid waren op de twee met drie nullen. En er dus per ongeluk weer 1900 van maakten. Zo groot is de impact van GPDR ook, alleen met één verschil: als je er als organisatie nog niet klaar voor bent, staan je zware boetes te wachten. Het is belangrijk dat we samen verantwoordelijk omgaan met privacygevoelige data. Altijd en overal, dus niet alleen wanneer er risico is op een datalek.



ESC - General Data Protection Regulation GDPR AVG - security partner



Meer dan een paar regels op papier
GDPR draait om privacy, of beter gezegd: om vrijheid. De vrijheid om je persoonlijke informatie te beheren en de vrijheid om vergeten te worden. Sommige mensen vinden dit overdreven, of zien het ‘big data tijdperk’ als nog zo’n buzzwoord. Laten we daarom een stap dieper gaan.

Iedereen heeft herinneringen aan zijn of haar tienerjaren. Sommige herinneringen zijn fenomenaal en gedenkwaardig, anderen zou je het liefst zo snel mogelijk vergeten. Gelukkig zitten velen van die herinneringen ergens in je achterhoofd verstopt en kom je ze niet meer dagelijks tegen. Dat geldt niet voor de tieners van vandaag. Zij delen alle gebeurtenissen in hun leven via sociale media. Alles is te achterhalen: slimme, minder slimme en zelfs hele domme aandenkens in foto’s en woorden. Zo kan de serieuze eerste indruk tijdens een job-interview behoorlijk botsen met de feestende kroegfoto’s op je sociale pagina. Dit crashfenomeen zal alleen maar groter worden, omdat mensen steeds meer online delen. GDPR helpt organisaties om die informatie te beschermen. Dat betekent dat de consument zelf toegang heeft tot eigen informatie en het bedrijf daarnaast veiligheid en privacy moet garanderen.



ESC - General Data Protection Regulation GDPR AVG - security partner



De teller loopt door…
Organisaties hebben nog tot 25 mei 2018 om zich voor te bereiden om GDPR-compliant te worden. Nu denk je misschien: ‘Die datum lijkt nog zo ver weg.’ Maar er zit wel een addertje onder het gras. Je moet als bedrijf op die datum meer dan compliant zijn. Jouw organisatie moet er echt helemaal klaar voor zijn – matuur – als het gaat om het beheren van de informatie. Dat betekent dat je moet weten welke informatie wordt bewaard door mensen, op welke toestellen die mensen werken, op welke netwerken die toestellen zich bevinden en ga zo maar door. Het is niet mogelijk om deze informatiestromen strikt te beheren, als je niet 100% zicht en controle hebt op ieder persoon die informatie in het beheer heeft.


Nog een adder
Zowel grote als kleine ondernemingen hebben dezelfde verantwoordelijkheid en moeten net zo compliant zijn. Het gaat er vooral om hoeveel en welk type persoonlijk identificeerbare informatie (PII) jouw organisatie beheert. Is er bijvoorbeeld een inbreuk op persoonsgegevens? Dan ben je verplicht om binnen 72 uur melding te maken bij een toezichthoudende autoriteit. Voor een grote organisatie met een compleet detectie- en reactieplan, zal dit geen probleem zijn. Maar juist voor kleinere organisaties kan dit een hele uitdaging zijn en is er een behoorlijke investering nodig.


In theorie én in de praktijk
Wanneer je ‘op papier’ compliant bent en alle processen mooi in een document hebt geplaatst, zegt dat dus nog niet zoveel. In de wetgeving staat duidelijk beschreven wat er gebeurt als je in de praktijk niet goed voorbereid bent: je loopt risico op een boete die kan oplopen tot 4% van je jaaromzet. Het is dus verre van genoeg om je als een goede huisvader over je data te buigen. GDPR is daarom ook een goede test. Het is niet iets dat je zomaar afschuift en weglegt bij het legal-departement of het IT-team. Het is een verantwoordelijkheid voor het hele bedrijf. De zwakste schakel is daarbij de mens zelf. We moeten meer dan ‘responsible zijn, namelijk response-able’. Wie niet op tijd kan reageren, riskeert een zware boete. Daar is de regelgeving alvast zeer duidelijk over.


ESC - General Data Protection Regulation GDPR AVG - security partner


Wees kritisch op je deskundige
Er zijn heel wat cloudgebaseerde dienstenmodellen op de markt om klanten te helpen om GDPR compliant te worden. Let wel, vermijd leveranciers die ‘black blox-‘toepassingen aanbieden. In dit geval bestaat er namelijk niet zoiets als ‘one size fits all’.


Waar moet je op letten? Elke juiste oplossing heeft 3 componenten:

  • protectie (bescherming)
  • detectie (opsporing)
  • response (reactie)


Dus is je data voldoende beveiligd, heb je diensten in huis om lekken en breuken te ontdekken en heb je een reactieplan op orde? Dan voldoe je aan de GDPR-regelgeving.

Onze experts helpen u graag bij het uitwerken van een goed plan. Bel: 09 329 93 06


ESC - General Data Protection Regulation GDPR AVG - security partner



SOURCE
Karel Dekyvere - Chief Security Officer - Microsoft BE - 24/02/2017 #MicrosoftPulse
#DoCoolThings #DoGreatThings #DoSmartThings #DoGoodThings

Nieuwsbrief

Ons team van +75 experts deelt zijn kennis. Benieuwd naar de laatste evoluties?
Ontvang je ook graag telkens een uitnodiging voor de informatieve ontbijtsessies? Schrijf je dan hier in voor onze nieuwsbrief!