Enorme boetes voor wie te laconiek omgaat met data van klanten of medewerkers

De nieuwe EU-privacywet heeft grote gevolgen voor het bedrijfsleven en andere organisaties. De General Data Protection Regulation (GDPR) wordt dit jaar van kracht en dat betekent dat organisaties niet heel veel tijd meer hebben om hun mensen, processen, organisatie en ICT-voorzieningen daarop in te richten. De boetes zijn enorm voor wie te laconiek omgaat met beveiliging en bescherming van persoonlijke data van klanten.

Het doel van de GDPR is dat elk individu weer baas wordt over zijn eigen data. Burgers moeten op verzoek volledig inzage kunnen krijgen in alle informatie die door een bedrijf of instelling over hen is vastgelegd. Ook het doel van de vastlegging moet kraakhelder zijn. Bovendien, als burgers niet meer willen dat hun gegevens worden bewaard en verwerkt, en er zijn geen wettelijke gronden die dat tegenhouden, dan dienen die gegevens op verzoek direct verwijderd te kunnen worden.

Boetes tot 100 miljoen euro

Personen, bedrijven of instellingen die persoonlijke data van klanten in beheer hebben – in GDPR-termen heten die ‘data controllers’– of zij die dat soort data verwerken (‘data processors’) zijn verplicht tot implementatie van dusdanige technische en organisatorische maatregelen, dat de beveiliging optimaal is gegarandeerd. Doe je dat niet, dan word je daar keihard op afgerekend. Niet alleen worden er fikse boetes in het vooruitzicht gesteld (250.000 tot 100 miljoen euro, of een omzetgerelateerde boete van tussen de 0,5 en 5 procent!), maar ook komt er een meldingsplicht indien je persoonsgevoelige data ‘verspeelt’, terwijl je die niet afdoende hebt beschermd.

Impact op mensen, processen, organisatie en ICT

• Enorme boetes voor wie te laconiek omgaat met data van klanten of medewerkers
• Volgens Rob Westerhoff, directeur van ICT security-distributeur Crypsys uit Gorinchem, is de impact van de nieuwe Europese regelgeving ook voor Nederland erg groot. “Het gaat om technologie, maar ook om de mensen in je bedrijf, de processen en de organisatie. Bij medewerkers moet je eigenlijk al in de functieomschrijving vastleggen tot welke informatie zij wel en niet toegang mogen hebben. Processen moet je nauwkeurig inrichten en organisatorisch moet je regelen wie werkt met welke data.”
• Iedere organisatie, groot of klein, moet zijn datamanagement opnieuw aan een zorgvuldige inspectie onderwerpen, zegt Pieter Lacroix, managing director van Sophos Nederland. “Je moet verzoeken van klanten om inzage, wijziging en verwijdering van data kunnen honoreren en je moet te allen tijde verantwoording kunnen afleggen over hoe je met de data van klanten bent omgesprongen. Dat betekent het constant monitoren, evalueren en waar nodig herinrichten van dataverwerkingsprocedures, maar het betekent bovenal het implementeren van ‘state of the art’-technologie ter bescherming van data die je onder je hoede krijgt. Het goede nieuws is dat het implementeren van dergelijke maatregelen de laatste jaren veel eenvoudiger, en dus ook financieel aantrekkelijker, is geworden.”

Encryptie is een belangrijk wapen

Rob Westerhoff van Crypsys: “Het gaat om analyseren van datagebruik, beveiliging van mobiele data, versleuteling van gegevens: je moet dus absoluut kiezen voor een integrale beveiligingsoplossing. Wat ons betreft biedt Sophos op dat gebied een van de best beschikbare oplossingen.” Encryptie (versleuteling van data) is een belangrijk wapen in de strijd om gegevensbescherming. Toch zijn veel bedrijven vaak nog terughoudend met encryptietechnologie, omdat versleuteling voorheen de IT-performance negatief beïnvloedde. Met moderne encryptieproducten, zoals SafeGuard Enterprise van Sophos, is dat voorbij. Lacroix: “Deze oplossing biedt protectie én performance. Het volgt de data en biedt bescherming waar die data ook wordt opgeslagen: op de devices van gebruikers, hun shared folders, een USB-stick of in de cloud. Bovendien is deze moderne encryptietechnologie ook nog eens eenvoudig te managen.”

• Pieter Lacroix
• Westerhoff ziet de nieuwe EU-privacywet ook als een kans. “Als distributeur van Sophos leveren wij ICT-dienstverleners security-oplossingen. De General Data Protection Regulation maakt het noodzakelijk dat bedrijven serieus en structureel werk maken van databeveiliging. Ik zie dat eindklanten er nog maar mondjesmaat mee bezig zijn. Alle reden voor onze ICT-dienstverleners om dit onderwerp eens even goed op de agenda van klanten te zetten. Het is bij uitstek een onderwerp waar een ICT-dienstverlener kan bewijzen dat hij een strategische partner is. Het gaat hier niet over het blussen van brandjes maar om een integrale aanpak van ICT-security die van levensbelang is voor bedrijven.”