Managed hosting door True

Doorbreek verwarring en angst rond GDPR

Plus drie must do-tips!

De vragen van klanten over de impact van de GDPR op hun organisatie zijn niet van de lucht. Maar kun je als it-dienstverlener wel een centrale rol spelen bij het GDRP-proof maken van de informatiehuishouding van een klant? Ja, omdat het standaarden en processen vereist die redelijk normaal zijn voor grote it-bedrijven, maar minder voor hun klanten. Uiteindelijk zal elke organisatie er zelf mee aan de slag moeten.

Er is bij bedrijven nog veel onbekendheid met de GDPR, of de Algemene Verordening Gegevensbescherming (AVG), zoals hij in Nederland heet. Sommigen vertellen trots dat ze de verordening hebben doorgelezen, wat een goed begin is, maar geen topprestatie.

Het gaat om een belangrijk stuk wetgeving, dat grote gevolgen kan hebben voor hoe bedrijven omgaan met privacygevoelige data. Het is daarom een must om de wettekst op zijn minst door te lezen. Zo lang en ingewikkeld is de tekst niet, en je zult merken dat je de mogelijke gevolgen in de juiste proportie gaat zien. Er zijn nu nog bedrijven die bang zijn dat ze ineens alles anders moeten gaan doen bij het werken met klantgegevens. Maar er zijn ook organisaties die de GDPR sterk onderschatten en denken met een paar onderlinge afspraken klaar te zijn voor de nieuwe privacywet. Dat is te kort door de bocht. Ik schets hier een realistisch beeld over hoe je het best met de GDPR aan de slag kunt gaan.

Risicoanalyse

Een grote beperking van de GDPR is dat de wet handvatten geeft voor het optimaal beschermen van privacygevoelige data, maar dit niet concreet invult.

Daarnaast is het in feite een juridisch document waarin niet bepaald it-taal wordt gesproken. Dit heeft tot gevolg dat je vanuit je eigen perspectief invulling moet geven aan de wet. Het is daarom belangrijk dat je zelf een risicoanalyse doet en voor jezelf vaststelt welke technische en procedurele maatregelen je moet nemen op privacygebied. En de keuzes die je maakt, moet je kunnen verdedigen op het moment van een probleem. Bij een datalek zul je bijvoorbeeld moeten aantonen welke beveiligingsmaatregelen zijn genomen en waarom je op een bepaalde manier hebt gehandeld.

Het draait dus niet alleen om het op orde hebben van je security, maar ook om het kunnen aantonen daarvan.

Dwingende maatregelen

Ik vraag me weleens af of de eisen die GDPR stelt aan privacybescherming echt op zoveel punten verschillen van wat nu al moet doen vanuit de Wet bescherming persoonsgegevens. Ook die vereist dat je een risicoschatting maakt en passende maatregelen treft, en ook die zijn niet vrijblijvend. In de nieuwe wet worden de eisen iets harder geformuleerd en wettelijk sterker afgedwongen.

Maar zaken als ‘security by design’ en ‘security by default’ zouden bij elk bedrijf dat met persoonsgegevens werkt al lang geregeld moeten zijn, ook al is dat op dit moment lang niet voor iedereen het geval. Daarom is het juist zo belangrijk dat it-leveranciers hun klanten hierbij ondersteunen. Zij zijn immers op een veel hoger niveau met datasecurity bezig en hebben vanuit hun rol ervaring bij het inregelen van een optimale beveiliging, inclusief de procedures en rapportages die het voortdurend passend zijn van de maatregelen aantoonbaar maken.

Security is maatwerk

Bedrijven die goed met de GDPR omgaan, begrijpen dat security een organisch geheel is. Het reikt verder dan enkel de eigen it-systemen of processen. Het hele netwerk van externe dienstverleners en leveranciers speelt een rol in de beveiligingsketen. Het kan zeker helpen als deze partijen al aan gangbare certificeringen en rapportagestandaarden voldoen, zoals ISO 27001:2013Soc2 en NEN 7510. Hiermee kun je al aan veel van de GDPR-eisen voldoen. Zo kun je als klant bijvoorbeeld om een assurance-rapport vragen waarin staat wat er aan security wordt gedaan, inclusief de conclusies hierover van een externe auditor.
Daarnaast zou je met je dienstverlener in gesprek moeten gaan voor aanvullend advies over het op de juiste manier inrichten van beveiliging.

Ten slotte nog drie tips voor het GDPR-proof maken van je organisatie. 

  • Geen paniek

Weet waar je het over hebt en luister niet te veel naar de sensationele berichten in de media of op blogs. We zitten met de GDPR allemaal in de verkennende fase. Lees de verordening eens door en bekijk op basis van gezond verstand hoe het je organisatie raakt en hoe je hier op kunt reageren. 

  • Overleg

Neem je it-dienstverlener mee in het proces. Praat over de verwarring die de juridische taal schept. Bijvoorbeeld het fysiek vernietigen van gegevens is - als je dat benadert als het fysiek vernietigen van een datadrager - vrijwel onmogelijk in een wereld waar virtualisatie, cloud, ouderwetse tape-backups en papieren documenten naast elkaar worden gebruikt. Door dit met elkaar te bespreken, kun je de mogelijkheden onderzoeken en een realistische afweging maken van de noodzakelijke maatregelen. 

  • Overzicht
Accepteer dat GDPR-compliance voor elk bedrijf maatwerk is. Er is geen quick fix of een standaardcertificaat waarmee alle problemen zijn opgelost. Het is daarom noodzakelijk om de mogelijkheden en procedures van de eigen organisatie helder te krijgen en die waar nodig te verbeteren. En mocht er dan toch iets mis gaan, dan heb je in de achterzak een kwalitatief toereikende risicoanalyse nodig met bewijs van de genomen ‘passende’ beveiligingsmaatregelen. Is dat het geval, dan was je in principe GDPR-proof. Maar uiteindelijk moet het centrale uitgangspunt natuurlijk zijn dat er helemaal geen
Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/6057004). © Jaarbeurs IT Media.
?

 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Computable Expert
Jeroen  Renard

Jeroen Renard RE RA
Corporate Security Officer, Odin Groep/Previder. Expert van Computable voor de topics Outsourcing, Datacenters en Security.
Hele profiel

Lees meer over:
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×