GDPR en de informatielevenscyclus

Laurence Pitt, security strategist EMEA bij Juniper Networks

Met dit artikel wil ik graag het idee uit de wereld helpen dat de GDPR (General Data Protection Regulation) een loden last voor bedrijven zal zijn. Daarnaast wil ik voorkomen dat mensen de fout maken om te denken dat het voorkomen van boetes de enige reden voor bedrijven is om aan de eisen van deze richtlijn te voldoen. Maar voordat ik een poging waag, wijd ik eerst even uit naar een van mijn andere passies, auto’s. Puur om mijn standpunt te verduidelijken.

Om veilig te kunnen rijden moet er aan verschillende voorwaarden worden voldaan. Mijn auto moet in goede staat verkeren en regelmatig worden geïnspecteerd om er zeker van te zijn dat die aan de minimale veiligheidseisen voldoet. Verder moet ik me aan de geldende verkeersregels houden en op een manier rijden die gepast is voor de situatie op de weg. Ten slotte verwacht ik dat andere weggebruikers hetzelfde doen. De vrijheid die ik verkrijg door het volgen van de regels, wegen voor mij ruimschoots op tegen enig ongemak dat ik hierdoor ondervind. Dit voorbeeld is in een notendop hoe ik ook over de GDPR denk. Het doel van deze ‘algemene verordening gegevensbescherming’ is de informatie-gerelateerde rechten en vrijheden van Europese burgers te waarborgen en standaardisatie te bieden voor organisaties. Wat op zijn beurt moet bijdragen aan meer efficiëntie.

Richtlijnen voor databescherming bestaan al. De GDPR gaat die harmoniseren voor zover dit het beheer en de verwerking van persoonlijke data van EU-burgers betreft. Als een EU-burger zijn persoonlijke gegevens toevertrouwt, is het niet meer dan logisch dat het beschermd moet worden. Het is een kwestie van gezond verstand die nu in een juridisch kader wordt gevat. Hoewel ik er zeker van ben dat de komst van de GDPR gepaard gaat met scherper toezicht, heb ik er evenveel vertrouwen in dat toezichthouders proportioneel te werk zullen gaan. Om terug te keren naar het voorbeeld van autorijden: dit valt te vergelijken met een scenario waarin twee bestuurders twee verschillende ongelukken veroorzaken met een vergelijkbaar resultaat, maar de opgelegde boetes kunnen verschillen vanwege verzachtende omstandigheden.

Nu de datum waarop de GDPR in werking treedt (25 mei 2018) steeds dichterbij komt, zijn er een hoop dingen die bedrijven kunnen en moeten doen. Voor mij is “security by design” een perfect uitgangspunt omdat deze benadering op de informatiecyclus is gebaseerd. Hierdoor is het mogelijk om snel tot de kern te komen van de vraag waarom data voor een organisatie van belang is. Deze aanpak daagt organisaties uit om na te gaan welke data in de praktijk is verzameld en wat ermee gedaan wordt. Er zullen diverse benaderingen van informatielevenscyclus voorbijkomen. In het algemeen concentreer ik me op vier hoofdstadia: verzamelen, opslaan en beveiligen, gebruiken en afdanken.

Verzamelen (en alleen wat relevant is)

Zakelijk succes is afhankelijk van kwalitatief hoogwaardige data. In een tijd waarin er zoveel data wordt gegenereerd, is het verleidelijk om alles wat los en vast zit te verzamelen, simpelweg omdat het kan. Denk na over welke data van cruciaal belang is voor de bedrijfsvoering en definieer vervolgens het doel waarvoor die wordt. Er is toestemming nodig van de EU-burger om data te verwerven. Verder moet het voor hem of haar duidelijk zijn hoe die data gebruikt gaat worden. Voor het verzamelen, opslaan en beschermen van alle data moet er geld ter beschikken worden gesteld. Dat is de reden waarom het vanuit zakelijk oogpunt alleen zin heeft om relevante gegevens te verzamelen.

Opslaan en beveiligen (met het oog op de waarde van data)

Ik kan niet genoeg hameren op het belang van het definiëren van de data die wordt verzameld, het doel waarvoor die wordt gebruikt en hoelang het bewaard wordt. Het is niet alleen belangrijk om te weten elke data wordt opgeslagen, maar ook waar het wordt opgeslagen. Dat is geen must als de omgeving verschillende publieke/private clouds betreft. Natuurlijk kan het storage-aspect uitbesteedt worden, maar dat ontzegd niet de verantwoordelijkheid die er is voor de bescherming van de persoonlijke gegevens die namens organisaties worden beheerd. Volgens mij is het dus slim om een bedrijfsspecifieke waarde aan data toe te kennen. Deze waarde is van invloed op de fysieke opslaglocatie van datasets en de mate van beveiliging die daarop toepast wordt. Gewapend met deze kennis kan er een passende overeenkomsten met externe dienstverleners gesloten worden en komt er meer grip op de kosten voor efficiëntere beveiliging.

Gebruiken (wie en wat)

Tegenwoordig draait het niet alleen om wie de data gebruikt, maar ook door wat die wordt gebruikt. Moderne bedrijven hebben een complexe structuur. Mogelijk hebben verschillende afdelingen zoals de klantenservice, sales, marketing, personeelszaken, de salarisadministratie en trainingsafdeling geldige redenen om verschillende datasets te verzamelen die verband houden met een en dezelfde persoon. Het is zaak om inzicht te verwerven in de consequenties van het verzamelen van deze datasets door organisaties en door externe leveranciers. De juridische basis voor het gebruik van data is bepalend voor de toegangsrechten; wie er toegang toe heeft en wat elke werknemer of applicatie daarmee mag doen. Naarmate organisaties veranderen, moet er ook gezorgd worden voor een beschikbaar proces voor de overdracht van de verantwoordelijkheid voor data.

Afdanken (is alle data werkelijk gewist?)

Op het eerste gezicht lijkt het laatste stadium in de informatielevenscyclus het simpelst. Klik simpelweg op de knop ‘verwijderen’ en weg is de data. Maar het is niet zo eenvoudig als het lijkt. Met een druk op de knop wordt niet per definitie alle data van opslagvoorzieningen gewist.

Dat betekent dat er extra opgelet moet worden wanneer er besloten wordt om servers, computers of mobiele telefoons af te danken. Als er externe leveranciers in het spel zijn, kan niet dezelfde mate van controle uitgeoefend worden. Dat vergroot de noodzaak om een dataomgeving proactief te plannen en beheren.

Hoewel de informatiecyclus op zichzelf geen overeenstemming met de eisen van de GDPR waarborgt, is het vanuit zakelijk oogpunt goed om te weten waar data zich bevindt. Wie, wat en waarom de data gebruikt wordt. Dit om er zeker van te zijn dat deze data permanent wordt vernietigd wanneer er op de knop ‘verwijderen’ wordt gedrukt. Een 'Security By Design'-benadering biedt de mogelijkheid om beleidsregels en processen logisch gestalte te geven, relevante trainingsprogramma’s voor personeel te ontwikkelen en uiteindelijk om data effectiever te beschermen.