Hoe zorgt u dat uw gegevens veilig genoeg zijn voor GDPR (AVG)?

U bent waarschijnlijk al bekend met de GDPR (AVG), de Algemene Verordening Gegevensbescherming. De wet wordt in mei 2018 effectief en introduceert zowel nieuwe rechten voor EU-burgers als nieuwe verplichtingen voor bedrijven die de persoonlijke informatie van gebruikers verzamelen, gebruiken of verwerken.

Hoe beïnvloedt de GDPR uw organisatie?

De GDPR omvat een verscheidenheid aan nieuwe mandaten voor gegevenscontrolemechanismen (bedrijven die persoonlijke informatie verzamelen over EU-burgers) en gegevensverwerkers (bedrijven die gegevens opslaan, verzenden of verwerken namens gegevenscontrollers):

• Bedrijven moeten actieve toestemming verkrijgen voordat ze persoonlijke gegevens verzamelen of verwerken
• Individuen kunnen vragen dat hun persoonlijke gegevens worden verwijderd uit de database van een bedrijf en kunnen kopieën van hun gegevens opvragen in een draagbaar formaat
• Bedrijven moeten de autoriteiten en de getroffen personen binnen 72 uur na een gegevensinbreuk op de hoogte brengen, tenzij de besmette gegevens worden beschermd door codering of soortgelijke maatregelen
• Elk bedrijf moet een functionaris voor gegevensbescherming aanstellen om de naleving van de GDPR toe te zien
• Bedrijven moeten gegevensbescherming in hun producten en diensten bouwen ‘door ontwerp en als standaard’

Sancties voor niet-naleving kunnen ernstig zijn. Toezichthoudende autoriteiten hebben de bevoegdheid om organisaties maximaal 4% of 20 miljoen euro van hun jaarlijkse inkomsten te beboeten en kunnen na een overtreding zwaardere audit- en rapportageverplichtingen opleggen.

Hoe kunt u zorgen dat u aan de vereisten van de GDPR voldoet?

De Smartcrypt technologie combineert krachtige codering, vereenvoudigt sleutelbeheer en intelligente gegevensontdekking om bedrijfsbreed controle over gevoelige gegevens mogelijk te maken. Deze technologie helpt organisaties om aan hun GDPR-verplichtingen te voldoen en tegelijkertijd gegevens te beschermen tegen interne en externe cyberbedreigingen.

• Beveiliging van gegevensverwerking (artikel 32): Organisaties moeten kunnen aantonen dat ze passende technische en organisatorische maatregelen hebben genomen om een ​​beveiligingsniveau te waarborgen dat past bij het risico, inclusief versleuteling van persoonlijke gegevens.
• Meldingen over gegevensinbreuken (artikel 34): Organisaties moeten toezichthoudende autoriteiten en betrokken personen binnen 72 uur na een datalek melden. Organisaties zijn echter vrijgesteld van de vereiste om personen op de hoogte te stellen als de gestolen gegevens worden beveiligd.
• Gegevensbescherming door ontwerp en door standaardinstellingen (artikel 25): Organisaties moeten intern beleid aannemen en maatregelen uitvoeren die met name voldoen aan de principes van gegevensbescherming door ontwerp en standaardinstellingen van gegevensbescherming.

Deze principes moeten worden overwogen bij het ontwikkelen, ontwerpen en gebruiken van toepassingen, diensten en producten.

De SmartCrypt technologie past sterke codering (encryptie) toe. Deze codering blijft bij de gegevens, zelfs wanneer deze worden gedeeld of opgeslagen buiten het netwerk van de organisatie. Dit zorgt ervoor dat gegevens ontoegankelijk blijven voor onbevoegde gebruikers, zelfs als ze worden gestolen of misbruikt.

Met vereenvoudigd sleutelbeheer en platformonafhankelijke bediening kan SmartCrypt er voor zorgen dat al uw gegevens binnen uw bedrijf voorzien zijn van encryptie waar nodig en onafhankelijk van het IT-platform waarop ze staan.

In tegenstelling tot oplossingen die alleen gegevens versleutelen wanneer deze niet in gebruik zijn, beschermt SmartCrypt gegevens overal waar deze worden gebruikt, gedeeld en opgeslagen.

De Data Discovery- en encryptiefunctionaliteit van Smartcrypt helpt organisaties bij het vinden en beschermen van gevoelige gegevens zodra deze zijn aangemaakt of opgeslagen.

Wat is Data Discovery?

Niet te verwarren met e-discovery (het proces van het vinden van elektronische informatie voor gebruik in rechtszaken), is Data Discovery het proces van het scannen van bestanden en mappen om te bepalen welke locaties gevoelige informatie bevatten. Gevoelige informatie kan elke vorm van gegevens zijn - van persoonlijke gezondheidsinformatie, tot intellectueel eigendom en tot e-maillijsten van klanten - die een organisatie uiteraard moet beschermen.

Hoe werkt SmartCrypt Data Discovery?

Het proces voor het vinden van gegevens begint met het definiëren van wat gevoelige gegevens precies zijn. Organisaties moeten bepalen wat zij als ‘gevoelig’ beschouwen door hun zakelijke behoeften te evalueren. De definities moeten alle soorten gegevens omvatten die worden gedekt door de GDPR en andere sectormandaten.

Nadat een bedrijf heeft besloten welke gevoelige informatie moet worden gedefinieerd, is de volgende keuze om te kijken waar er gezocht moet worden naar de data - zijn dit gebruikersapparaten, netwerklocaties, uitgaande e-mail of al het voorgaande - en wat te doen met de gevoelige gegevens nadat deze zijn geïdentificeerd. Die laatste stap is waar typische hulpprogramma's voor het ontdekken van gegevens tekortschieten. De meeste discovery-producten kunnen rapporteren over waar de gevoelige gegevens zich bevinden en sommige kunnen de mogelijkheid bieden om gegevens te verwijderen zodra deze zijn geïdentificeerd, maar meer kunnen ze niet.

SmartCrypt Data Discovery kan zoeken naar de gegevens en deze voorzien van encryptie. Als module van Smartcrypt is het mogelijk de data real time te versleutelen.

Hoe nu verder?

Wij bij SRC Secure Solutions kunnen u verder helpen - zowel juridisch als technologisch - hoe u het best uw gegevens kunt beschermen en met welke middelen. U kunt op onze site srcsecuresolutions.eu terecht voor meer informatie.

James Cheney, SRC Secure Solutions BV