GDPR: General Data Protection Regulation. In het Nederlands: de Algemene Verordening Gegevensbescherming. Deze complexe Europese wetgeving gaat in mei 2018 van kracht. Het maakt niet uit of je organisatie aanwezig is in Europa, en evenmin waar je applicaties en data worden opgeslagen. Als er in je bedrijf gegevens van EU-burgers worden gestockeerd of gebruikt, moet je beginnen na te denken om compliant te zijn met GDPR… Hoe sneller, hoe liever.
GDPR vereist dat bedrijven volledig nieuwe procedures implementeren voor het verzamelen en bewaren van identificeerbare persoonsgegevens (personally identifiable information, PII). PII wordt gedefinieerd als alle mogelijke informatie die betrekking heeft op het privé-, professionele of het publieke leven van een Europese burger. Denk aan ip-adressen, bankgegevens, e-mailadressen, social media-berichten, enzovoorts. Het doel van GDPR is om ervoor te zorgen dat deze persoonlijke data wordt opgeslagen met toestemming van de persoon, enkel gebruikt wordt voor het opgegeven doel en dit voor een duur die in lijn ligt met de reden waarvoor de gegevens zijn verkregen.
Organisaties die GDPR niet naleven, kunnen zware boetes krijgen: twintig miljoen euro of 4 procent van hun wereldwijde inkomsten. Per incident wel te verstaan. Voor grote bedrijven kan dit snel oplopen tot enkele miljarden euro’s.
Wie snel even online zoekt, vindt een leger advocaten, zelfverklaarde ‘experts’ en leveranciers die allemaal advies geven over wat je zou moeten doen om in orde te zijn met GDPR. Maar wij vinden dat veel van die raad te snel naar technologie grijpt. Er zijn enkele fundamentele stappen die je moet nemen vooraleer je je zorgen begint te maken over de impact van GDPR op je it-systemen.
Vier belangrijke stappen
1. Bewustzijn en Opleiding
Niemand zal uit zichzelf je GDPR-inspanningen ondersteunen als hij of zij niet weet wat GDPR is. Begin dus met het opleiden van de collega’s: wat houdt de wet in? Waarom is het relevant voor ons? Wat zijn de gevolgen bij niet-naleving? Welke van onze applicaties komen in aanmerking? Een basisopleiding is van vitaal belang: niet alleen om mensen bewust te maken van de nieuwe regeling, maar ook om na te denken over hoe je personeel en financiële middelen moet toewijzen om compliant te zijn.
2. Monitor de situatie
GDPR is heel nieuw en tot op zekere hoogte ook nog vaag. Hoe het zal worden gecontroleerd en gehandhaafd is nog niet volledig bepaald. Er is al veel informatie beschikbaar, maar weinig kan je als definitief beschouwen. Uiteraard moet je, als je een sleutelrol hebt in de GDPR-planning van je organisatie, zo veel mogelijk lezen zodat je het belangrijkste eruit kan distilleren. Idealiter lees je ook de verordening zelf. Want als puntje bij paaltje komt, is het de wet die telt. Dan is het handig dat je die wet ook begrijpt en sta je in een veel betere positie om doeltreffend te werken met de andere stakeholders binnen het bedrijf.
Weet dat verschillende EU-instanties (langzaam) bezig zijn om delen van de wet uit te klaren. Zij publiceren deze bevindingen regelmatig dus check af en toe of er nog updates zijn geweest.
3. De jacht op data
Je uiteindelijke strategie om compliant te zijn met GDPR bestaat in hoofdzaak uit twee componenten: enerzijds processen en controles op de bestaande applicaties van de organisatie en anderzijds processen die nodig zijn wanneer nieuwe toepassingen worden uitgerold. Voor het eerste moet je zoeken naar data in de bestaande it-systemen die zouden moeten voldoen aan GDPR.
Het vinden van dit type data is de driver om te bepalen hoe groot je GDPR-inspanning moet zijn. Er bestaan tools die deze gegevensclassificatie kunnen automatiseren of tools die het risico voor je organisatie kunnen inschatten.
4. Installeer en controleer degelijke logsystemen
Alle compliance-systemen identificeren het loggen van data als een sleutelcontrole. Bij de implementatie van GDPR zal dit niet anders zijn. Daarom is het een logische stap om de log-activiteiten op belangrijke applicaties en ondersteunende infrastructuur te doorzoeken en te verifiëren. Je mag dit niet beperken tot het loggen alleen, maar controleer – al dan niet geautomatiseerd – ook regelmatig de logs op ongeautoriseerde of kwaadaardige activiteiten. Het moet ook de logs van admin-activiteiten op kritische infrastructuur omvatten. Recent verscheen er bijvoorbeeld een rapport over de online sites van een Zuid-Amerikaanse bank die uren werden gekaapt door een aanvaller die de admin-account van de bank had gebruikt.
