Independent. Dynamic. Involved.
nlen

Voorbereiden op de Databeschermingswet

Door Frank Peeters.

In maart 2014 is door het Europees parlement[1] de nieuwe wet ‘European Data Protection Regulation[2]’ goedgekeurd. Nu is het afwachten tot het laatste officiële akkoord gegeven wordt, waarna deze wet van kracht wordt.

Wat betekent die nieuwe wet nu eigenlijk voor organisaties?

Samengevat gaat de Europese Databeschermingswet over bewust omgaan met persoonsgegevens door organisaties. Indien er onverhoopt toch informatie op straat komt, kan de organisatie een boete opgelegd krijgen van maar liefst 5% van de totale jaaromzet of tot een maximum van 1.000.000 euro. Dit geldt voor elke organisatie, zo’n boete kan voor middelgrote organisaties mogelijk fataal zijn voor hun voortbestaan.

Naast de opgelegde boete zijn er nog de additionele kosten zoals herstelkosten en preventie maatregelen. Er dienen namelijk maatregelen genomen te worden om toekomstig een dergelijke fout te voorkomen. Daarnaast loopt de organisatie kans op imago schade en verlies van het vertrouwen van klanten, partners en consumenten. De waarde daarvan is niet exact te kwantificeren.

Met andere woorden ‘Voorkomen is beter dan genezen’ en daar is nu nog tijd voor! De wetgeving en handhaving gaat in per 1 januari 2016. Er is nog voldoende tijd ter voorbereiding, voordat de wet daadwerkelijk van kracht wordt.

De eerste stap

Door de historie en bewaar woede van vele organisaties is er zoveel data aanwezig dat niet al deze data te beveiligen is. Vaak is ook niet inzichtelijk wat de data voor gegevens bevat. “Weten wat we in huis hebben” is de eerste stap. Dus er dient een inventarisatie gemaakt te worden van de informatie die van vitaal belang is voor de organisatie en in scope is van de aankomende wetgeving. Pas als we weten hoeveel en welke informatie het betreft kunnen maatregelen genomen worden.

Het is van belang te weten waar de persoonsgegevens van de klanten, medewerkers en partners zich in de organisatie bevinden. Als we de duidelijk hebben waar zich de informatie bevindt, is het raadzaam om te beoordelen welke data gearchiveerd kan/mag worden en welke vernietigd aan de hand van de wettelijke bewaartermijnen.

Wat er overblijft aan data is de informatie die we als bedrijfsmiddel nodig hebben ter voortbestaan van de organisatie en voor de gangbare procesondersteuning. De informatie die persoonsgegevens bevatten verdienen vervolgens de aandacht omdat hiervoor de nieuwe wetgeving geldt.

Met deze eerste stap is ook inzicht in de andere vertrouwelijke informatie verkregen die van levensbelang voor de organisatie is en wellicht niet onder de databeschermingswetgeving valt. Met dit verkregen inzicht is het gemakkelijker om gedegen doelgerichte beveiligingsmaatregelen te treffen.

Kortom de inventarisatie fase om de ‘as-is’ situatie duidelijk en helder te krijgen vormt het uitgangspunt voor de verder te volgen stappen in de aanpak.

Welke informatie hoe te beveiligen?

Na de inventarisatie is de volgende stap het bepalen van het doel. Welke data en hoe gaan we de data beschermen.

Willen we alles beveiligen of uitsluitend de vitale data? Welke data moet beschermd worden vanuit de wet- en regelgeving? Is er een “Data Protection Officer[3]” in de organisatie die hierin kan helpen?

Afhankelijk van de hoeveelheid te beveiligen informatie en de investering die nodig is om dit op een zo optimale mogelijke manier te bereiken, dient een keuze gemaakt te worden.

De strategie met de afweging van risico en investering is het startpunt voor de te treffen maatregelen.

Welke informatie en op welke manier dienen we de informatie te beveiligen?

Informatie komt in gestructureerde vorm voor, zoals in databases. Hier zou bijvoorbeeld een versleuteling en een stringenter toegangsbeheer tot database servers een manier van te treffen maatregelen kunnen zijn.

Hiervoor zijn technische oplossingen voorhanden die in deze functionaliteit voorzien. Deze oplossingen zijn al met succes toegepast bij organisaties die dienen te voldoen aan de PCI-DSS[4] wetgeving, waarbij creditcard en transactie gegevens beschermd moeten worden in de databases.

We bezitten tal van ongestructureerde data in onze organisaties. In de vorm van tekst documenten, spreadsheets, architectuur tekeningen, ontwerpen, gescande nota’s of contracten, etc. Veelal is dergelijke informatie ondergebracht in een Content Management System (CMS).

Daarnaast komt deze ongestructureerde data ook voor als losse bestanden opgeslagen binnen de netwerk- en mail omgevingen, al dan niet gegroepeerd op type of in mappen.

Deze laatste categorie ongestructureerde informatie is al jaren een hoofdbreker om te beveiligen. Doorgaans wordt de toegang tot de opslag van deze informatie zo optimaal mogelijk gecontroleerd en gereguleerd door allerlei technische middelen en slagbomen om uitsluitend gemachtigde gebruikers toegang hiertoe te verlenen.

Op zich is toegangsbeveiliging tot de centrale informatie opslag een goed punt, maar anno 2014 niet meer toereikend. Door opkomst van Cloud omgevingen als Dropbox, Onedrive, Google drive, iCloud etc, en het gebruik van mobiele apparatuur door de medewerkers, kunnen de documenten ook op andere plekken staan dan alleen binnen de goed afgeschermde bedrijfsomgeving. En samenwerking over ketens en het delen van informatie over de keten is eveneens van vitaal belang in de meeste organisaties.

Het risico van data verlies wordt alleen maar groter met initiatieven als ‘het nieuwe werken’ wat bij veel organisaties is ingevoerd met of zonder zelf meegebrachte mobiele apparatuur. De grip op de informatie gaat verloren en de beveiliging van toegang is ontoereikend. En kijkend naar de aankomende wetgeving dienen we juist wel grip te hebben op de informatie.

Uiteindelijk is de informatie wat beveiligd moet worden. Hiervoor dient als het ware een slot op het document te worden aangebracht. De sleutel om het document te openen dient gecontroleerd uitgegeven te worden waarbij inzichtelijk is wie welke sleutel heeft.

Met behulp van regels kan ingesteld worden wat een persoon die een sleutel krijgt, uiteindelijk met de informatie mag (zoals lezen, bewerken, doorsturen etc). Samengevat weten we met een dergelijk oplossing dan wie toegang heeft tot welke informatie en wat hij of zij met het document mag.

Hierbij zit het onderscheidend vermogen duidelijk in het feit dat de beveiliging op de informatie zélf aanwezig is. De technische oplossingen om dit te realiseren zijn voorhanden. Het gaat te ver om deze in detail verder te beschrijven, maar de oplossingen ondersteunen bijvoorbeeld automatische classificatie en versleuteling op de informatie.

Als de auteur (gebruiker) een document opstelt en opslaat, zorgt een notificatie ervoor dat de gebruiker een keuze krijgt om een classificatie te selecteren. Aan de hand van de instellingen kan dit een keuze zijn of automatisch worden toegepast door vooraf ingestelde classificatie en versleuteling regels.

De technologie die hiervoor gebruikt wordt is Information Rights Management (IRM) en kan desgewenst worden aangevuld met Data Leak Prevention (DLP) technologie.

Alleen inzet van technologie is niet voldoende, bewustzijn van de gebruikers en auteurs van de informatie en/of documenten is evenzo belangrijk. Hierin kan technologie weer een stap in de juiste richting zetten door het gebruik van notificaties aan de gebruiker tijdens het opslaan van documenten.

Dit leidt vervolgens tot meer beveiligingsbewustzijn bij de gebruikers. Deze bewustwording is een veelal vergeten aandachtspunt maar is uiterst belangrijk in de integrale informatie beveiliging van alle organisaties.

Grip krijgen en houden

Aandacht en actie ondernemen voor de “European Data Protection Regulation” is een noodzaak voor elke organisatie.

Hiervoor is nog ruim een jaar de tijd om de organisatie voor te bereiden.

Informatie is een bedrijfsmiddel dat van vitaal belang is voor de continuïteit voor iedere organisatie. Dataverlies door onbewuste acties en onbevoegde toegang, kan imago verlies en een breuk in het vertrouwen veroorzaken en de concurrentie op voorsprong brengen.

Kortom de beveiliging, grip krijgen en houden op de bedrijf kritische informatie is voor elke organisatie van levensbelang. Het risico van een boete door aankomende wetgeving is slechts een extra drijfveer om in actie te komen. Een geleidelijke investering in een goede beveiliging op de informatie zélf is voor elke organisatie noodzakelijk en helpt ter bescherming van het voortbestaan van de organisatie.

De investering voor doeltreffende maatregelen om informatiebeveiliging optimaal in te zetten, is vele male minder dan een uiteindelijke boete die door een wetgeving als de “European Data Protection Regulation” kan worden gesommeerd en grote gevolgen kan hebben voor de organisatie.

Wilt u meer informatie over het beveiligen op informatie niveau en u voorbereiden op de aankomende wetgeving vanuit Europa, neem dan gerust contact met ons op.

Wij delen graag onze visie en ervaring rondom dit delicate informatie en privacy beveiligingsvraagstuk. Zie ook de Whitepaper over de Databeschermingswetgeving.