Seminar Blog: “Bent u klaar voor de GDPR?”

Op 25 mei 2018 wordt de GDPR (General Data Protection Regulation) van kracht. Deze Europese wetgeving komt in plaats van de Wet Bescherming Persoonsgegevens (WPB) uit 1995 en de wet Meldplicht Datalekken uit 2016. De nieuwe wetgeving heeft vergaande gevolgen voor elk bedrijf dat met data werkt. Over dit thema organiseerde Fastbyte, in samenwerking met WatchGuard, KnowBe4 en First Lawyers een seminar in Houten.

 

De kennisochtend werd ingeleid door Marc Abercrombie, adviseur bij Fastbyte ICT Solutions. In snel tempo schetste hij het veranderende landschap waarbinnen de IT-functie moet opereren.

 

Abercrombie stelt: “de weg naar de Cloud is een logische. Bedrijven die er vroeg bij waren, plukken daar de vruchten van.”  Denk aan een toegenomen slagvaardigheid, hogere snelheid van besluitvorming en daardoor een hogere omzet, marge en winst. Hij benadrukt dat er eigenlijk geen enkel bedrijf meer is dat géén IT-bedrijf is. Elk bedrijf werkt met data: “We gaan minder vaak naar de dokter, maar hebben wel continu monitoring van onze gezondheid.”  Of wat te denken van het IoT? “We gaan alles meten zodat we veel beter kunnen reageren op dat wat komt. Dat betekent dat we veel meer data verzamelen. Denk na! Denk na over wat dit betekent voor je IT-securitybeleid.”

 

GDPR: Belangrijk voor élke organisatie

Chris Franso, de CTO (Chief Technology Officer) van Fastbyte vertelt over de General Data Protection Regulation. “We hadden, zeker vanuit IT-oogpunt, al heel veel elementen van de GDPR onder controle moeten hebben”. Toch blijkt dit bij veel bedrijven nog niet het geval.

 

De belangrijkste risicofactor bij data-bescherming is human error, zo vertelt hij. En dat is niet gek, want in de gemiddelde MKB-onderneming worden gemiddeld 500 apps gebruikt. Hiervan is ruwweg 90% onveilig: “We kijken vooral naar de voorkant: hoe kan het (de app) helpen. Maar je moet de risico’s wél in kaart hebben”.

 

Tegelijkertijd constateert hij dat 80% van al het werk tegenwoordig “buiten de deur” gebeurt. Dat maakt het voeren van een effectief en efficiënt IT-securitybeleid stukken moeilijker. Veel bedrijven besluiten daarom meer vanuit de Cloud te werken. Zij veronderstellen dat de Cloud-serviceprovider daarmee de verantwoordelijkheid voor de beveiliging overneemt. Dat blijkt echter niet het geval te zijn, als opdrachtgever blijf je verantwoordelijk voor de bescherming van je gegevens. Dat begint bij het sluiten van adequate bewerkingsovereenkomsten, maar met de komst van de GDPR ligt de bewijsdruk volledig bij het bedrijf. Je blijft te allen tijde verantwoordelijk voor de databescherming.

 

Dat betekent dat bedrijven goed moeten nadenken over de stap naar de Cloud. Immers, hoe meer je in de Cloud doet, hoe meer je zult zien dat data verspreid wordt, zowel over aanbieders als geografisch (server locatie). Je zult dus meer locaties moeten beheren en krijgt met verschillende wetgevingskaders te maken. Om over de continuïteitsrisico’s die een faillissement van een Cloud-aanbieder met zich meebrengt maar te zwijgen.

 

Weet wat je hebt

Het is, zo benadrukt Franso, uitermate belangrijk dat je weet welke data je hebt, waar deze staat, wie erbij kan en hoe de dataflow verloopt. Ook moet je de toegangsrechten goed definiëren én borgen dat degene die inlogt ook daadwerkelijk de juiste persoon is: “Voorheen werd gedacht vanuit de informatie naar de gebruiker. De informatie stond centraal, die moest toegankelijk gemaakt worden. Maar nu wordt alles rondom de gebruiker (en al zijn devices) geregeld.”

 

Deze verandering van denkwijze komt ook in de GDPR tot uiting. Niet langer is het de techniek die dicteert wat mogelijk is, vanaf nu begint IT-security met het opstellen van beleid. De IT-functie is de uitvoerder van dit beleid.

 

gdprblog Seminar Blog: "Bent u klaar voor de GDPR?"

 

 

Privacy is niet alleen “voor” grote bedrijven.

Judith Vieberink, advocaat bij First Lawyers bevestigt dit. De IT moet ervoor zorgen dat de GDPR wordt nageleefd. Maar wat zijn eigenlijk de wettelijke eisen waaraan je moet voldoen? En voor wie geldt de GDPR eigenlijk?

 

De GDPR blijkt te gelden voor élke organisatie die is gevestigd in Europa. Maar ook voor niet-EU-landen geldt deze regelgeving wanneer data wordt verzameld van Europese burgers. Ook een Amerikaans bedrijf als Facebook, of het Chinese AliBaba moet voldoen aan de wetgeving die onder meer stelt dat de consument op het moment van dataverzameling moet worden geïnformeerd over het doel van de registratie en daar actief mee akkoord moet gaan (grondslag). Gebruik van data voor andere doelen dan die waarmee de consument expliciet heeft ingestemd is niet toegestaan.

 

Rechten

De GDPR geeft de consument het in Nederland al bestaande recht op inzage en bevestigt het “Right to be forgotten”.  Ook herhaalt deze regelgeving de Meldplicht rondom datalekken. De Europese regels gaan echter stukken verder dan dat. Zo vereist de GDPR dat je vanuit het beginsel van “Privacy by Design” te werk gaat. Een organisatie moet zodanig worden ingericht dat je kunt garanderen dat data veilig is. In de woorden van de wet moet je zorgen voor “toepasselijke en proportionele technische en organisatorische maatregelen” om “te voldoen aan de eisen van deze Regeling en de rechten van de data subjecten te beschermen.”

 

Data protection officer (DPO)

Hiertoe moet een Data Protection Officer worden aangesteld: een onafhankelijk opererende functionaris, met een eigen budget, die zich alleen bezighoudt met het garanderen van de data integriteit.

 

Deze regels roepen nogal wat vragen op. Geldt dit ook voor een klein bedrijf? Kunnen bedrijven deze extra kosten wel dragen? Is dit wel proportioneel? Vieberink verwijst in haar antwoord naar een rapport van Deloitte waarin gesteld wordt dat de GDPR kan leiden tot het faillissement van de helft van de Nederlandse MKB-bedrijven: “Dat kan natuurlijk niet de bedoeling zijn. Het is juist de intentie dat dit voor een economische boost zorgt”.

 

Third Party

Om het nog ingewikkelder te maken is een organisatie niet alleen verantwoordelijk voor de eigen IT-security, maar ook die van onderaannemers (subcontractors). In theorie gaat die aansprakelijkheid de hele keten van leveranciers en subcontractors door. Dat maakt het leven ingewikkelder. Gelukkig zijn er al tussenpartijen (Third Parties) in opkomst die voor een zekere mate van uniformiteit en borging kunnen zorgen. Een voorbeeld hiervan is Myobi.

 

“Onnoemelijk ingewikkeld”

Ton den Brader, van WatchGuard gaat in op een aantal technische instrumenten om data te beschermen. Volgens hem moet elk bedrijf beginnen met een data-inventarisatie. Welke data hebben we, waar is deze opgeslagen, voor welk doel mogen we deze data gebruiken, wie heeft toegang en hoe is dit ingericht? Op basis van deze inventarisatie moet een data policy worden opgesteld door het MT. Pas daarna kan de techniek beginnen. En de techniek kan veel: VPN, 2FA, toegangsrechten, segmentering van databases, firewalls, sandboxing en nog veel meer technische termen komen voorbij. Allemaal noodzakelijk.

 

Maar niet voldoende.

 

De meeste datalekken zijn namelijk niet het gevolg van technische onvolkomenheden, maar van menselijke fouten. Lianne Schultz van KnowBe4 kan hierover honderduit vertellen. Uit de losse pols geeft ze een aantal voorbeelden van succesvolle Phishing. KnowBe4 werkt aan het vergroten van Security Awareness, onder meer door actief Phishingmails te sturen naar bedrijven om te meten hoeveel mensen in de val trappen. Saillant detail: vorig jaar deed KnowBe4 een test onder haar eigen personeel. Tot hun grote verbazing bleek ruim de helft van de medewerkers er met open ogen in te tuinen.  Dit illustreert dat Security Awareness niet iets is dat je even een keer op een trainingsmiddag onder de knie krijgt: “Het houdt niet op. Het is een continu proces. Blijven testen, blijven trainen”, zegt Schultz.

 

Speervissen

Dat het continu trainen effectief is, blijkt uit een andere phishing aanval. Drie medewerkers, alle drie gemachtigd tot betaling, ontvingen een e-mail met een betaalverzoek. De mail zag er echt uit en leek afkomstig van een bekende partner. Toch viel één ding op: de URL klopte niet. Eén letter was verkeerd.  Schultz: “De tijd dat je een ING-mailtje krijgt, in fout Nederlands, terwijl je bankiert bij de RABO-bank is allang voorbij.” Phishing wordt steeds meer specifiek op een bepaald bedrijf getarget.  In plaats van een haakje uit te gooien en te wachten of er iets bijt, richten cybercriminelen zich tegenwoordig op één specifiek doelwit. “Spearfishing” noemt Schultz dit.

 

Denk na!

Strengere wetgeving, een complexere omgeving, slimmere criminelen en ingewikkelder techniek. Er staat ons dus nogal wat te wachten.  En het hoofd in het zand steken is geen optie. Maar hoever moet je gaan? Wat moet je bedrijf doen? Het panel, bestaande uit de vier sprekers, krijgt de ene vraag na de andere op zich afgevuurd. Al snel ontstaat een levendige discussie, waaruit blijkt dat de meeste aanwezigen nog het nodige denkwerk moeten verrichten. Antwoorden zijn niet zo één-twee-drie te geven. Immers, elk bedrijf is uniek.

 

Het is zaak die unieke situatie in kaart te brengen en vervolgens de juiste maatregelen te nemen. Dat is lastig. Maar gelukkig zijn er bedrijven zoals Fastbyte en haar partners die hierin kunnen ondersteunen.

 

Sfeerimpressie Seminar

 

 

Youtube-GDPR-1024x575 Seminar Blog: "Bent u klaar voor de GDPR?"

 

Bent u geïnteresseerd in meer over dit onderwerp? Of heeft u aanvullende vragen over dit artikel, neem dan gerust contact met ons op. Onze specialisten staan u graag te woord.