Op 25 mei 2018 gaat de GDPR-wetgeving van kracht. Die zal een invloed hebben op alle bedrijven die data gebruiken van Europese burgers. Met de nieuwe regelgeving wil de Europese Unie de gegevens van haar burgers beter beschermen. Zo zullen zij onder meer het recht hebben om ‘vergeten te worden’. En om oude gegevens of informatie waarvan zij vinden dat het foutief bemachtigd of fout is, te laten verwijderen.
GDPR en transparantie
Organisaties moeten over die informatie volledig transparant zijn als ernaar gevraagd wordt. Ook moeten ze kenbaar maken over welke persoonlijke gegevens ze allemaal beschikken [zogenaamde PII= personal identifiable information], op welke manier ze die gebruiken, hoe ze aan de informatie zijn gekomen en aan wie zie die informatie doorspelen. Als ze niet conform de regelgeving zijn, riskeren ze boetes tot 4 procent, of € 20 miljoen van hun globale jaaromzet per overtreding.
Ondanks het feit dat de klok tikt, zijn veel bedrijven nog niet klaar voor GDPR. Ze dienen nog heel wat technische, organisatorische en juridische zaken uit te klaren. Drie praktische feiten op een rij.
1 Het halve werk met een ISMS
Om te voldoen aan de vereisten van GDPR, kunnen bedrijven de gevestigde procedures gebruiken. Degene die bijvoorbeeld al een goed werkend, geüpdatet Information Security Management System (ISMS) hebben in overeenstemming met ISO 27001 , hebben al het halve werk gedaan. Het enige wat hen nog rest, is het uitbreiden van de scope, de processen instellen die databescherming vereisen en aanvullende legale controles implementeren. Dit is relatief eenvoudig als de vorige processen goed in de praktijk werden geïmplementeerd.
2 Analyseer de situatie en controleer de processen
In de eerste plaats moeten bedrijven hun huidige situatie uitvoerig analyseren, afgehandelde en onvoltooide taken opsommen en een prioriteitenlijst maken. Infrastructuur die niet meer up-to-date is – en bijgevolg dus ook niet meer veilig – kan hierbij een groot obstakel vormen. Ook netwerksystemen (denk aan cloudoplossingen, partnerapplicaties of supply chains) moeten in overweging genomen worden. Daarna bepalen bedrijven het best of de maatregelen die geïmplementeerd dienen te worden, kunnen worden bewerkstelligd met de huidige infrastructuur of dat er nieuwe hard- of software nodig is.
3 State-of-the-art beveiliging
GDPR schrijft state-of-the-art beveiligingsmaatregelen voor, waaronder verdedigingsmechanismen tegen grote DDoS-aanvallen (Distributed Denial-of-Service), antivirus- en antimalware-software en strikte identificatie- en authenticatietoestellen. Zo is bijvoorbeeld een next-gen firewall, in tegenstelling tot een IP table firewall, conform de laatste technologische ontwikkelingen. Een risicoanalyse hoort ook bij het bepalen waar er maatregelen gewenst of nodig zijn.
Ondanks het feit dat GDPR veel overeenkomsten heeft met eerdere regelgevingen, moeten bedrijven hun compliance-maatregelen opnieuw ontwikkelen. Zo dient een bedrijf, op het vlak van persoonlijke gegevens, niet alleen de eigen manier van handelen onder de loep te nemen, maar ook de procedures van al hun dienstverleners en partners wereldwijd die dergelijke informatie verwerken en opslaan. Het verhoogde risico betekent dat strenger risicobeheer, dat de consequenties van databescherming onderstreept, noodzakelijk wordt. Daarnaast moeten de contracten voor contract data processing worden aangepast in samenwerking met de serviceproviders, of moeten er nieuwe worden afgesloten. Ook de bestaande procedurebeschrijvingen zullen herzien moeten worden.
Xavier Biermez, Managing Director van Konica Minolta Business Solutions België
