De digitale wereld is de nieuwe economie. Zij geeft energie aan onze industrie en wakkert de consumptie aan. Persoons- en bedrijfsgegevens vormen het hart van dit snel groeiende fenomeen. Cloud computing, mobiele webdiensten, slimme productie en sociale media veranderen het bedrijfslandschap radicaal.
Volgens de Europese Commissie zijn nu twee miljard mensen aangesloten op het internet en al gauw ronden we de kaap van drie miljard gebruikers. Voor veel ondernemers biedt deze tendens enorme commerciële opportuniteiten, maar ze brengt ook grote ongerustheid mee en nieuwe uitdagingen. Blootstelling aan beveiligingsinbreuken kan de rentabiliteit van een bedrijf ernstige schade toebrengen en zijn merkbekendheid aantasten. En de situatie is nog complexer: bedrijfsleiders maken zich grote zorgen over de kennis van de gegevens binnen hun netwerk. Daarbij is het verontrustend dat juist de data waarvan zij het bestaan niet kennen best wel eens aangevallen kunnen worden. De op stapel staande general data protection regulation (GDPR) van de EU wordt een mijlpaal voor de praktijk van gegevensverwerking. Maar… ben jij wel voorbereid op de eengemaakte cyberbeveiligingsmarkt? Is je organisatie klaar om haar datacontrole en gegevensprocessen aan te passen aan de nieuwe regels?
Hou de datum èn je data in het oog
Bedrijven die in Europa zaken willen doen of met EU-klanten willen handelen, moeten zich vanaf 25 mei 2018 schikken naar de GDPR. Deze EU-regulering wordt de norm voor alle Europese landen.
Voor de invoering is er geen nationale wetgeving vereist, zoals dat bij richtlijnen vaak wel het geval is. Er komen nieuwe regels voor de verantwoordingsplicht, sterkere consumentenrechten en beperkingen voor internationale gegevensstromen. Door dit initiatief moeten organisaties hun visie over persoonsgegevens herzien. Ook de grenzen van ondernemingen en de verantwoordelijkheden van bedrijfsleiders moeten zij hertekenen. Heel wat bedrijven zijn van oordeel dat boetes onvermijdelijk zijn en dat zij bij niet-naleving wel tot voorbeeld zullen worden gesteld. Mogelijke boetes bedragen tot 4 procent van de totale inkomsten of twintig miljoen euro, waarbij het hoogste bedrag telt. Bedrijven groot en klein zullen zich dan nog moeilijk gegevensinbreuken kunnen veroorloven die zo’n grote potentiële aardschok voor hun inkomsten betekenen.
Vertrouwen is voor partijen binnen een zakenrelatie altijd al een fundamentele vereiste geweest.
Dit was nooit belangrijker dan vandaag op het internet, waar de betrokken partijen elkaar nooit werkelijk ontmoeten. De GDPR gaat uit van een op risico gebaseerde benadering, waarbij veilige procedures en controles worden ingevoerd om gevoelige informatie te beschermen. Als klantengegevens gecompromitteerd zijn, heeft dat ernstige gevolgen en niet-naleving leidt tot enorme boetes.
Zoals bij elke regelgeving en de naleving ervan, kan dit worden gezien als een dure en tijdrovende praktijk. Maar anderzijds kan het een stimulans zijn voor bedrijven om zaken te doen in nieuwe markten, waar zij hun conformiteit en sterke veiligheidscontroles als een onderscheidende factor kunnen uitspelen.
Het gaat niet langer op dat ‘actuele veiligheidsprocessen voor iedereen volstaan, als ze voor mij veilig zijn’. Wat je online doet, kan voor iedereen gevolgen hebben, thuis en op het werk.
Persoonlijke informatie is zoals je individueel paspoort. Geef je je paswoord weg, dan geef je je identiteit prijs. Goede praktijken helpen om een beter online gedrag te bewerken en daar heeft de hele digitale gemeenschap baat bij. Sommigen vrezen dat meer regels en wetten slecht zijn voor de business. Hoewel de GDPR een nieuw initiatief is van de EU, wordt ze toch alom onthaald als een positieve doorbraak. De regulering zal belangrijke parameters aanbrengen voor de handel met de EU en uiteindelijk de vitale gegevens van haar gemeenschappen beschermen. Hiertegenover staat dat de data die bedrijven geacht worden te beschermen moeilijker te controleren en te volgen zijn, doorheen de waaier van apparaten en het mobiele gedrag van de werknemers. Als ondernemingen hun bedrijvigheid en infrastructuur niet beschermen, kan dat betekenen dat zij data-inbreuken riskeren en niet-conform worden bevonden.
Het is bijvoorbeeld cruciaal om klantengegevens die via mobiele apparatuur worden geraadpleegd te beveiligen, om grote problemen te vermijden. Dit is in het bijzonder nodig bij diefstal waarbij gegevens op afstand moeten worden gewist. Ook elk bedrijf dat gegevens in de ‘cloud’ opslaat, moet eigenaar blijven van zijn centraal beschikbare informatie en er de controle over behouden. Het moet zijn beleid aanpassen en encryptie-oplossingen voorzien, zodat het als controlerende onderneming als enige de juiste bestanden kan openen.
Volgens de regulering moeten bedrijven elke inbreuk aan de toezichthouder melden binnen de 72 uur nadat ze ervan kennis hebben genomen, zowel voor werknemers als klanten. De informatie hierover moet volledig zijn, met een omschrijving van de aard van de inbreuk, het getroffen aantal verzamelde gegevens, de contactgegevens van de managers verantwoordelijk voor de data en de maatregelen die de onderneming voorziet om het probleem op te lossen.
Hoe werkt gegevensbescherming?
Data begrijpen en de gegevensstroom controleren, analyseren, in een context plaatsen en opvolgen is essentieel bij het beheer van persoonlijke gegevens en bedrijfsinformatie. Of het nu gaat om bankieren, het maken van producten, kleinhandel of onderwijs, elke minuut worden er gegevens aangemaakt. Datasets zijn niet statisch – ze zijn flexibel en veranderlijk, terwijl ze stromen doorheen verschillende platformen en kanalen. Ze zorgen voor kennis en stabiliteit – het vormt het fundament van commerciële intelligentie.
Het is een gouden regel dat we onze technologie-fobieën moeten achterlaten en als verantwoordelijke cyber-burgers helpen om misdrijven te bestrijden. Een eerste vereiste volgens de GDPR is de aanstelling van een verantwoordelijke voor gegevensbescherming (chief data protection officer) om zowat alle bedrijven ervan te verzekeren dat ze conform zijn met de wetgeving. Dus, wie staat er in je bedrijf op dit ogenblik garant voor gegevensbescherming? In essentie zullen de meeste ondernemingen een expert moeten aannemen om dit belangrijke domein binnen het bedrijf te beheren.
Dit doet ook andere vragen rijzen: tot wie moet je je richten voor ondersteuning bij gegevensbeveiliging? Het GDPR-initiatief zal helpen om innovatie aan te wakkeren.
Bereid je voor op de digitale economie
Cybercriminaliteit beperkt zich niet tot een regio of een bepaalde vorm van bedrijvigheid. Iedereen kan erdoor worden getroffen, zowel in de bedrijfswereld als in privé-gemeenschappen. De levering van goederen en diensten voedt onze economie, maar ook hackers zonder scrupules verrijken zich met onze kostbare informatie. Wie ‘data’ zegt, zegt ‘dollars’: de tijd is rijp om toegang tot gegevens te beschermen.
De eengemaakte Europese cyberbeveiligingsmarkt is een goed idee. Ze werd ontworpen om de kloven te dichten in de vrij stromende digitale commerciële sectoren waarin wij ons bewegen. Samen hiermee kunnen innovatieve beveiligingsoplossingen en –diensten een belangrijke hulp zijn om de gegevens te beschermen in de cruciale toepassingen van het bedrijf. De cyberbeveiligingsbranche is een van de snelst groeiende sectoren in de wereld. De EU neemt al de leiding bij de ontwikkeling van een sterke cultuur rond gegevensbeveiliging en voert stevige maatregelen in tegen de niet-naleving ervan.
Ben je een verantwoordelijke EU-cyber-burger of voel je je geroepen om deel uit te maken van een gereguleerde eengemaakte cyberbeveiligingsmarkt? Dan is het nu tijd om je data op orde te brengen. Anders zal de GDPR-deadline de hiaten blootleggen in je digitale systemen met privégegevens. Wees voorbereid, conform en veilig.
Lizzie Cohen-Laloum, Senior Vice President EMEA Sales, F5 Networks
