GDPR begint bij een veilige laptop

Over iets meer dan een half jaar treedt de GDPR in werking. Daarmee komt er een Europees kader dat bedrijven verplicht werk te maken van de bescherming van data. Veel meer dan een securityvraagstuk, gaat het daarbij om risicobeheer. En het grootste risico - dat weet iedereen - is de mens. Een pragmatische benadering van GDPR situeert zich dan ook voor een groot deel bij de eindgebruiker en de manier waarop die met data omgaat.

GDPR begint bij een veilige laptop

Op 25 mei 2018 is het zover. Vanaf dan geldt overal in de Europese Unie de GDPR of General Data Protection Regulation. De regelgeving biedt een nieuw kader voor de bescherming en uitwisseling van persoonsgegevens. Geen enkele organisatie ontsnapt eraan: van multinational en kmo, tot de vzw van de voetbalclub. Logisch, want elke organisatie beschikt over persoonsgebonden data van medewerkers, klanten en leveranciers. De GDPR heeft betrekking op alle informatie over een Europese 'geïdentificeerde of identificeerbare natuurlijke persoon'.

Niet alleen de data op zich zijn belangrijk, maar ook wat de organisatie ermee doet. Wie met medewerkers, klanten en leveranciers omgaat, verzamelt, bewaart en deelt data over personen. De GDPR stelt daar nu een duidelijk kader voor. Eenvoudig gesteld is de GDPR erop gericht de privacy van de burger te beschermen. De wetgeving moet ervoor zorgen dat niemand privacygevoelige data exploiteert op een manier of voor een doel waarvoor de betreffende burger geen toestemming heeft gegeven. Belangrijk is daarbij dat de wetgever de verantwoordelijkheid neerlegt bij het bedrijf dat de data beheert.

Delen

Data bevinden zich vaak verspreid over het bedrijf, in HR-systemen, ERP, CRM, e-mail en toepassingen voor document management. Even goed staan er data op laptops en smartphones enUSB-sticks.

Concreet stelt de GDPR de organisatie voor enkele nieuwe verplichtingen. Voor de deadline van 28 mei volgend jaar moet ieder bedrijf een interne audit doorvoeren. De bedoeling is daarbij de bestaande situatie in kaart te brengen. De data bevinden zich vaak verspreid over het bedrijf, in HR-systemen, ERP, CRM, e-mail en toepassingen voor document management. Even goed staan er data op laptops en smartphones, USB-sticks, enzovoort. Over welke data gaat het precies? In welke systemen? Wie heeft toegang tot de data? In een tweede stap moet de organisatie veiligheidsmaatregelen nemen rond de toegang tot de data en het gebruik ervan. Het doel is duidelijk: de risico's op dataverlies - met of zonder opzet - en diefstal van data zo veel mogelijk beperken.

Doet er zich toch een incident met dataverlies voor, dan moet de organisatie een noodplan opstarten. Gaat het om een lek waarbij privacygevoelige data betrokken zijn, dan verplicht de GDPR de organisatie om het incident binnen de 72 uur te melden. Verder gaat de GDPR uit van privacy by default voor de ontwikkeling van nieuwe producten en diensten. Dat zet een rem op het oneigenlijke of onnodige gebruik van privacygevoelige gegevens. Tegelijk schrijft de GDPR ook privacy by design voor. Het betekent dat de organisatie bij de ontwikkeling van producten en diensten rekening moet houden met de voorschriften van de GDPR. Om het nieuwe kader af te dwingen, schermt Europa met hoge boetes: tot twee procent van de omzet (met een plafond van tien miljoen euro) voor inbreuken op de GDPR en tot vier procent van de omzet (maximum twintig miljoen euro) voor datalekken.

Delen

Een datalek leidt immers niet alleen tot reputatieschade, maar mogelijk ook tot een boete.

De GDPR schept in de eerste plaats een wettelijk kader. De wet vermeldt niet hoe de concrete invulling van de nieuwe verplichtingen dient te gebeuren. Ondanks de link met IT, gaat het bij GDPR in de eerste plaats om risicobeheer. Welk risico is de onderneming bereid te nemen? Een datalek leidt immers niet alleen tot reputatieschade, maar mogelijk ook tot een boete. Even goed kan de organisatie de redenering omdraaien. Wie zich in orde stelt met de voorschriften van de GDPR, kan dat in de markt als een opportuniteit uitspelen. Een bedrijf dat op een voorbeeldige manier met zijn data omgaat, geniet sneller het vertrouwen van klanten en partners.

Het staat een organisatie vrij om de risico's op datalekken op een heel pragmatische manier in te dekken. En uiteraard spelen de leveranciers van software en hardware daar op in. Zo zet HP bij de EliteBook x360 - het topmodel in zijn lijn van business convertibles - overduidelijk in op security. De gebruiker meldt zich aan via Multi-Factor Authentication die steunt op gezichts-, iris- en vingerafdrukherkenning. Dat maakt het zo goed als onmogelijk om een verloren of gestolen toestel binnen te dringen. Meer nog, wanneer de laptop een bedreiging detecteert, dan voert HP SureStart automatisch een reset van het BIOS uit. Trouwens, de bescherming van confidentiële gegevens kan soms ook heel eenvoudig zijn. Om indiscrete blikken op het scherm te vermijden voorziet HP de EliteBook x360 van een Sure View-privacyscherm. Dat verduistert het scherm vanaf de zijkanten, zodat je buren op de trein - of op kantoor - niet kunnen zien waar je mee bezig bent. Het voorbeeld toont aan hoe een organisatie het risico op datalekken heel praktisch kan benaderen: door te beginnen met de medewerkers veilige toestellen aan te bieden.

Onze partners