Op 25 mei 2018 wordt de Europese General Data Protection Regulation (GDPR) toegepast over de gehele Europese Unie. Deze Europese regelgeving, in werking getreden vanaf mei 2016, legt een reeks uniforme richtlijnen op het vlak van it-security vast voor alle bedrijven in Europa.
Een belangrijk aspect van de GDPR is de verplichting om datalekken te melden aan de autoriteiten. Het doel van de Europese Unie is om een betere controle over de toegankelijkheid tot persoonsgegevens te waarborgen. Daarnaast worden bedrijven verplicht om, binnen een tijdsspanne van 72 uur, de regulator te informeren over datalekken.
De belangrijkste vraag is of de Belgische bedrijven hier op tijd klaar voor zullen zijn. We zien in ieder geval dat veel bedrijven er zich bewust van zijn dat de GDPR er aan zit te komen, maar weinigen weten eigenlijk wat het inhoud en hoe men zich moet voorbereiden. Zijn Belgische bedrijven klaar voor de GDPR? Ik heb zo mijn twijfels.
Privacycommissie neemt goede stappen
De verantwoordelijkheid om datalekken te melden ligt nog steeds bij de bedrijven zelf. Ze moeten echter goed geïnformeerd worden over de procedures die doorlopen moeten worden om een datalek te melden. Dit alles valt onder de verantwoordelijkheid van de Belgische Privacycommissie. Er zijn al goede stappen genomen om bedrijven steeds beter in te lichten over de gevolgen van de GDPR via een eigen webpagina en een stappenplan ter informatie.
Met de komst van de GDPR is de Privacycommissie begonnen met een informatiecampagne die gericht is op de Belgische bedrijfswereld. Net zoals de Nederlandse Autoriteit Persoonsgegevens nemen zij hier het voortouw in. Dat is logisch aangezien zij ook de straffen gaan uitdelen indien een datalek niet gemeld wordt vanaf mei 2018. Toch blijven de bedrijven zelf de beslissende factor aangezien zij nu het spel moeten meespelen en zich zo goed mogelijk moeten voorbereiden.
Te afwachtend
Het is net dáár waar nog steeds het schoentje wringt. Bedrijven moeten met de komst van de GDPR zelf stappen ondernemen om zich voor te bereiden. Dit is echter veel gemakkelijker voor de grotere bedrijven aangezien zij hiervoor de slagkracht hebben. Zij moeten wel, naargelang hun grootte en omzet, een data protection officer aanstellen die verantwoordelijk is voor de juiste gang van zaken rond de beveiliging van persoonsgegevens.
Voor kmo’s echter is dit helemaal anders. Zij beschikken niet over personeel dat voortdurend aan de slag kan zijn op het vlak van cybersecurity en zien dit vaak ook niet als prioritair. Daarvoor wenden ze zich wel steeds vaker naar externe experts om hun hierbij te helpen. Toch is er in het algemeen een laksere houding bij Belgische bedrijven in vergelijking met Nederland.
Bij onze noorderburen zijn Meldplicht Datalekken en de GDPR al heel lang een hot topic en ze hebben zich hier dan ook goed op kunnen voorbereiden. De terughoudende houding in België is bij alle types en groottes van bedrijven te vinden. Ik heb vaak de indruk dat ze wachten om maatregelen te nemen tot ze zien dat een ander bedrijf zijn vingers brandt aan de GDPR en dat ze dan pas in actie zullen komen. Uiteraard zal het dan rijkelijk te laat zijn.
Securitystrategie
Een goede securitystrategie kan net de hoge boetes van de GDPR helpen voorkomen. Het probleem is echter dat veel bedrijven denken dat het genoeg is om een goede firewall en een dure security suite te hebben. Maar dit is enkel het preventieluik, terwijl detectie en response ook belangrijke onderdelen zijn van zo’n strategie. Een wetgeving zoals de GDPR maakt deze aspecten net zoveel belangrijker.
Goede detectie zorgt voor een sterke bewijslast. Doordat data wordt opgeslagen, kun je terugkijken in het verleden. Dan valt vaak ook vast te stellen of er, bijvoorbeeld via het netwerk, gegevens zijn weggesluisd. Het belangrijkste hierbij is dat het een solide bewijslast kan opleveren waarmee je kunt stellen: ‘Ik kan uitsluiten dat data is gelekt’. Tot op heden gaan veel partijen uit van het zaligmakende idee van preventie, terwijl men niet stilstaat bij het feit dat deze maatregelen kunnen falen of omzeild worden. De vraag is of je in staat bent om dit te detecteren en wat er moet gebeuren als het toch misgaat.
Daarnaast is het reactieluik net zo belangrijk en hoort er in ieder geval toch een globaal plan van aanpak te zijn dat door een intern of een extern team kan gevolgd worden. Hierdoor kunnen de teams niet alleen de lekken vinden en dichten om zich te beschermen in de toekomst, maar ook een uitgebreid rapport maken van de hele situatie: Wanneer vond het lek plaats? Hoe is dit gebeurd? Wat is in plaats gesteld om het lek enerzijds te dichten en anderzijds in de toekomst te vermijden?. En het is net dat rapport dat doorslaggevend zal zijn bij de regulator om boetes te vermijden.
Grote boetes voorkomen
De driedelige strategie van preventie, detectie en response wordt nu steeds belangrijker met de GDPR-handhaving vanaf mei 2018. Vooral het correct rapporteren van datalekken wordt uiterst belangrijk aangezien een regulator op basis van dit rapport beslist of het lek gemeld moet worden aan de buitenwereld, en dan vooral aan de stakeholders, en daarnaast ook de boetelast zal bepalen indien er volgens hem niet correct genoeg gehandeld is.
Daarom moeten bedrijven nu beginnen met evenwichtig aandacht te geven aan alle drie deze luiken. Ze vormen de basis voor een goede cybersecuritystrategie en stellen je in staat om indien nodig een accuraat rapport te kunnen voorleggen aan de data protectie autoriteit van het land waarin de inbraak of het dataverlies plaatsvindt. Preventie zorgt voor je solide muur rond je gegevens, detectie zorgt ervoor dat je een ongewild gat in je muur snel kan detecteren en response zorgt ervoor dat de organisatie weet hoe de muur terug dient gerepareerd te worden en wie van het gat en de reparatie op de hoogte gebracht dient te worden.
Christof Geirnaert, Regional Sales Director Belux bij Fox-IT