Het Europees Parlement heeft ingestemd met de nieuwe wet General Data Protection Regulation (GDPR) en MEP’s (Model European Parliament) hebben ermee ingestemd hun bestaande wetgeving aan te passen aan moderne technologie. Bepaalde wijzigingen vallen daarbij op.
Zo zijn er nu zwaardere straffen voor bedrijven die de wet bescherming persoonsgegevens overtreden – met boetes van maximaal vier procent van de globale omzet – en de eis dat bedrijven datalekken van persoonsgegevens binnen 72 uur melden. Dit was de laatste stap van de update van bestaande regelgeving die stamt uit 1995 – een proces dat vier jaar heeft geduurd.
Positieve resultaten
Hoewel het nog twee jaar duurt voordat deze wetten een rol gaan spelen, is het reeds nu een grote stap in het gevecht tegen cybercriminelen. Deze nieuwe regelgeving zal namelijk zeker positieve resultaten hebben.
Zo zullen bedrijven die op grote schaal gevoelige data verwerken iemand aan moeten wijzen die verantwoordelijk is voor databeveilging. Ook wordt men verantwoordelijk voor een aanval die andere gebruikers bereikt dan het bedrijf zelf en zal er zowel naar bedreiging van buitenaf- als intern gekeken moeten worden. Beiden wetten zijn logische strategische veranderingen voor bedrijven die cybersecurity serieus nemen.
Mean-time-to-Detect
Toch verwacht ik dat de flinke boetes en met name de korte tijd om datalekken te melden, feiten zijn die bedrijven rechtop doen zitten. Om hieraan te voldoen, zullen organisaties op korte termijn stappen moeten nemen om er zeker van te zijn dat ze te allen tijde inzicht hebben in alle netwerk-, systeem-, gebruikers- en applicatie activiteiten, en hier ook volledige grip op hebben.
‘Mean-time-to-Detect’ en ‘Mean-time-to-Respond’ zijn daarbij belangrijke begrippen. Zeker in het licht van het feit dat wereldwijd de gemiddelde tijd die data-inbraken nodig hebben om ontdekt te worden in weken en zelfs maanden worden gemeten. Zonder goed inzicht is het vrijwel onmogelijk om een data lek in slechts 72 uur te ontdekken, analyseren en rapporteren, laat staan om erop te reageren.
Grootste opschudding
Aan deze nieuwe regelgeving wordt nu al verwezen als de grootste opschudding in de Europese datawetten van de afgelopen twintig jaar– en dat is waarschijnlijk ook terecht. Als organisaties onwetendheid blijven veinzen op het gebied van it-security, zullen ze daar helaas de – steeds strenger wordende – consequenties van voelen.
