GDPR vraagt nieuwe kijk op ICT-beveiliging
Verantwoordelijkheid opnemen voor de persoonsgegevens die een bedrijf beheert. Dat is het kernbegrip van de nieuwe privacyregelgeving van de Europese Unie. Maar is iedereen daar straks ook echt klaar voor ?
Wellicht duikt de afkorting GDPR de komende maanden wel vaker in de kolommen van Data News op. Voluit : General Data Protection Regulation. Het gaat om de nieuwe privacyregulering van de Europese Unie die op 25 mei 2018 in werking treedt. Tot dan geldt een Europese directieve uit 1995, door onze overheid destijds in lokale regelgeving omgezet. “Alleen al op dat vlak zorgt de GDPR meteen voor een groot verschil”, zegt Kris Vansteenwegen, head of security lifecycle services bij ict-dienstverlener NRB. “De GDPR gaat niet met een lokale vertaling gepaard. De regulering geldt meteen voor iedereen.”
Inhoudelijk draait de GDPR voornamelijk rond accountability. Bedrijven nemen verantwoordelijkheid op voor de data van personen die ze beheren. Ze mogen die data alleen gebruiken als ze daar een gewettigde reden voor hebben. Meer nog, ze moeten de data beschermen, zodat ze alleen voor die gewettigde redenen bruikbaar zijn. “Het gaat om persoonsgegevens”, zegt Kris Vansteenwegen. “Daardoor is de materie sterk gelinkt aan ict-beveiliging, met name de beveiliging van de operationele aspecten van een bedrijf en de beveiliging van informatie. We bevinden ons op het snijpunt tussen privacy en security.”
RISICOBEHEER
Omwille van de operationele maatregelen die eraan verbonden zijn, is de GDPR sterk gelinkt aan ict. Toch gaat het hier in wezen ook om een traject waarbij governance een cruciale rol speelt. “De regulering vraagt een bedrijf om maatregelen te nemen in functie van risico’s”, legt Kris Vansteenwegen uit. “Europa schrijft daarbij geen concrete stappen voor, maar verplicht een onderneming wel om risico’s correct in te schatten en af te dekken.” Net daarom zitten heel wat bedrijven nog met vragen rond de GDPR. “Eigenlijk komt het erop neer dat het topmanagement van de onderneming de risico’s moet kennen. In het kader daarvan moet het de organisatie de middelen geven die nodig zijn om de data te beschermen.”
Hieruit volgt automatisch dat ook het operationele management van de onderneming de risico’s moet kunnen inschatten. Een nauwe samenwerking tussen ict en de juridische dienst van de onderneming dringt zich daarbij op. “Die samenwerking zal nodig zijn. De ict-afdeling – op operationeel niveau – is doorgaans niet altijd vertrouwd met de juridische aspecten van het gebruik en de beveiliging van data.” Tegelijk is er meer bewustzijn nodig op het niveau van de eindgebruikers. “Dat zijn uiteindelijk de mensen die met de data aan de slag gaan. Zij moeten meer weten over mogelijke bedreigingen en de kwetsbaarheid van data. Met andere woorden : ook voor de hr-afdeling – onder meer via de opleiding van medewerkers – is hier een rol weggelegd.”
HOGE BOETES
De GDPR mag dan geen stappenlijst bieden met acties die een bedrijf moet ondernemen, de regulering stelt wel een reeks concrete eisen. Zo moet een onderneming een gegronde reden hebben om persoonsgegevens te verzamelen. Ze moet documenteren hoe de processen verlopen waarin de data terechtkomen en hoe ze de data daarbij beveiligt. Wanneer de onderneming een datalek detecteert waarbij er schade is aan personen, dan moet ze dat binnen de 72 uur rapporteren. “Dat is bijzonder snel”, zegt Kris Vansteenwegen, “zeker omdat de onderneming moet melden wanneer het lek ontstond, welke data er zijn gelekt, welke maatregelen ze neemt enzovoort.” Eenvoudig is dat zeker niet, al was het maar omdat de acties van hackers of malafide insiders – of de onachtzaamheid van een medewerker – heel vaak pas weken of maanden na de feiten aan het licht komen.
“De GDPR vraagt om een compleet nieuw securitybeleid”, aldus Kris Vansteenwegen. “Je moet eerst het hele plaatje zien, daarna kan je pas gericht werk maken van de identificatie, classificatie en beveiliging van de data.” En zoals dat gaat bij beveiliging zal de onderneming ook hier een afweging moeten maken. Meer flexibiliteit in het gebruik van data leidt vaak tot meer risico. Wellicht zorgen de vooropgestelde boetes ervoor dat de bedrijven die afweging op een ernstige manier maken. De boetes lopen op tot twee procent van de omzet (maximum tien miljoen euro) voor non-conformiteit en tot vier procent (maximum twintig miljoen) voor datalekken. Intussen komt mei 2018 snel dichterbij. “Voor heel wat bedrijven is er nog veel werk aan de winkel”, besluit Kris Vansteenwegen. “In ieder geval is het de hoogste tijd om met risicoanalyse en het opstellen van een beleid te beginnen.”
Dries Van Damme
Fout opgemerkt of meer nieuws? Meld het hier