Met de juiste tools voldoe je snel en gemakkelijk aan de nieuwe wetgeving
Het zal je vast niet ontgaan zijn dat op 25 mei 2018 de strengere wetgeving omtrent privacygevoelige informatie gehandhaafd wordt. De General Data Protection Regulation (GDPR) regelt hoe organisaties om moeten gaan met dit soort data. Veel organisaties denken dat hun hele bedrijf op de schop moet, maar niets is minder waar!
Hij is nu al van kracht, maar vanaf 25 mei 2018 wordt hij actief gehandhaafd: de GDPR (of Algemene verordening gegevensbescherming in het Nederlands). Privacygevoelige gegevens mogen dan alleen nog voor het doel worden opgeslagen waar de klant of medewerker expliciete toestemming voor heeft gegeven. Dat geldt ook voor alle eerder opgeslagen data. Deze gegevens vallen onder deze regel als ze ofwel direct over iemand gaan, of naar deze persoon te herleiden is. Dat kan heel breed worden geïnterpreteerd: van de naam tot en met een IP-adres, MAC-adres, maar ook gebruikersnaam, kentekengegevens en natuurlijk NAW-gegevens.
Privacy by design en by default verplicht
Dit moet allemaal by design geregeld zijn. Het systeem moet dus verhinderen dat per ongeluk een Rijksregisternummer wordt opgeslagen in plaats van een geboortedatum. De bewijslast ligt altijd bij de organisatie. Daarvoor zullen organisaties complexe datastromen realtime en foutloos moeten kunnen managen. Het proces is te vergelijken met het werk van een vakkenvuller. Alle gegevens die binnenkomen worden direct gelabeld en opgeslagen in het juiste bakje. De privacygevoelige gegevens mogen overigens het EU-grondgebied niet meer verlaten en er zullen technische maatregelen getroffen worden om data GDPR-compliant te maken. Tegelijk moet de privacy by default zijn: de standaardinstellingen staan zo privacy-vriendelijk mogelijk.
De vier pilaren van GDPR-compliancy
Veel organisaties denken dat hun hele organisatie op de schop moet om aan de regelgeving te kunnen voldoen. Dat is vaak helemaal niet het geval. Want met een minimale set van Microsoft-licenties stappen zijn er zevenmijlsstappen richting compliancy te zetten. Wij begeleiden onze klanten in vier fases:
- Discover: vinden van privacygevoelige gegevens in de gehele organisatie.
- Manage: instellen van technische en organisatorische maatregelen om de data die onder de GDPR valt op een compliant manier te managen.
- Protect: databescherming staat aan via privacy by design, by default en encryptie van gegevens. Testcycli staan aan om systemen te monitoren op compliancy.
- Report: Via assessments wordt de organisatie op de hoogte gehouden van de dataveiligheid of eventuele verbeteringen.
Ongestructureerde data snel doorzocht
Ik leg in deze blog de nadruk op de eerste en tweede stap. De meeste organisaties vergeten dat de privacygevoelige gegevens ook in de ongestructureerde data aanwezig is. Denk aan de talloze Word- en Excel-bestanden die overal in de organisatie zwerven. Je zult waarschijnlijk denken dat het onbegonnen werk is om dat allemaal te scannen op eventuele aanwezigheid van e-mailadressen, bankrekeningnummers of andere gegevens. Azure Data Catalog neemt deze tijdrovende klus met speels gemak uit handen.
Pop-ups voorkomen menselijke fouten
Vaak ligt er een menselijk handelen ten grondslag aan een datalek. Ik ken een voorbeeld waarbij alle salarisgegevens door een HR-medewerker per ongeluk het hele bedrijf werden rondgestuurd. Zoiets kan voorkomen worden met Azure Information Protection. Openen collega’s een Excel of e-mailwisseling, dan krijgen ze direct de melding dat daar privacygevoelige gegevens in opgeslagen staan en dat het bestand beperkt wordt door het bedrijf ingestelde beleidsregels. Dit helpt bij het bewustwordingsproces én voorkomt datalekken.
Wil je weten hoe je met een minimale set aan licenties je eerste stappen naar GDRP-compliancy kan zetten? Bekijk dan de webinar waarin we uitleggen hoe dat op een eenvoudige manier kan.
Laat je bijstaan
Laat je bijstaan door Spikes en contacteer ons via onderstaand formulier voor een heldere assessment van jouw databeheer, een realistische aanpak en de juiste tools om ook van jouw werkplek een ‘secure modern workplace’ te maken.
