Data Privacy Day 2020 - voldoen aan de regels is nog maar het begin

  1. 28 jan 2020
  2. 0 reacties

Ieder jaar op 28 januari wordt Data Privacy Day gevierd. Op deze dag in 1981 kwam namelijk het eerste moderne privacyverdrag tot stand. Het doel van de Data Privacy Day is om het bewustzijn te vergroten en best practices voor privacy en gegevensbescherming te promoten. Adenike Cosgrove, Cybersecurity Strategist International bij Proofpoint, zegt hierover het volgende.

Adenike Cosgrove “Data Privacy Day biedt organisaties een uitgelezen kans om na te gaan of ze wel genoeg doen om de gegevens van hun klanten veilig te houden met het oog op de cyberdreigingen van vandaag. Regelgeving op het gebied van gegevensbescherming, zoals de AVG, heeft geholpen om de dialoog aan te gaan en organisaties gedwongen om anders na te denken over de beveiliging van gegevens. Toch is dit nog maar het begin. Het feit dat een bedrijf zich aan de voorschriften houdt, betekent niet altijd dat het alles in het werk stelt om de persoonsgegevens van zijn klanten te beschermen. Zo stelt het integriteits- en vertrouwelijkheidsprincipe van de AVG dat organisaties ‘adequate veiligheidscontroles’ moeten uitvoeren om de persoonsgegevens te beschermen. Helaas wordt in de verordening niet gedefinieerd wat precies onder ‘adequaat’ wordt verstaan.”

“Een organisatie zou kunnen beargumenteren dat standaard antivirusbescherming en één jaarlijkse training in gegevensbescherming voor het personeel ‘adequaat’ is. En misschien is dit technisch gezien wel conform de regelgeving, maar is het werkelijk voldoende om de persoonsgegevens van consumenten te beschermen tegen cyberaanvallen en datalekken? Het huidige cyberlandschap is drastisch veranderd, waarbij cybercriminelen de voorkeur geven aan geavanceerde, gerichte aanvallen op basis van social engineering om in te spelen op menselijke kwetsbaarheden. 'Adequate' beveiliging is simpelweg niet genoeg. De verdediging tegen dergelijke bedreigingen vereist een minstens zo geavanceerde aanpak om mensen, processen en technologie continu te kunnen beschermen.”

“Naleving van de regelgeving wordt vaak gezien als het afvinken van vakjes en is multi-interpretabel. Daarom mag het voldoen aan regelgeving zoals de AVG geen hoofddoel zijn voor security. Naleving is een belangrijke stap in het proces, omdat het een organisatie kan helpen om kritieke gaten in de huidige beveiliging te ontdekken. Maar het moet alleen worden gezien als het beginpunt op weg naar échte gegevensbescherming en informatiebeveiliging. Naast het afvinken van de vakjes voor naleving moeten organisaties best practices uit de sector toepassen. Ze moeten hun individuele risicoprofiel begrijpen en een mensgerichte beveiliging ontwikkelen.”