Bent u klaar voor de nieuwe Europese wet databescherming GDPR?
21 november 2016 -
Cloud computing, mobiele webdiensten, slimme productie en sociale media veranderen het bedrijfslandschap radicaal. Persoons- en bedrijfsgegevens vormen het hart van de nieuwe digitale economie.
Volgens de Europese Commissie zijn nu twee miljard mensen aangesloten op het internet en we gaan snel richting de drie miljard gebruikers. Dit biedt mogelijkheden, maar leidt ook tot grote ongerustheid en uitdagingen. Digitale criminaliteit kan de rentabiliteit van een bedrijf ernstige schade toebrengen en de merkbekendheid aantasten, maar de situatie wordt nog complexer: als de gegevens van gebruikers op straat komen te liggen, heeft dat extra grote gevolgen. Hoe gaat u daarmee om?
General Data Protection Regulation
De nieuwe wet databescherming, de General Data Protection Regulation (GDPR) van de EU, komt eraan. Maar is uw organisatie daar klaar voor? Lizzie Cohen-Laloum is Senior Vice President EMEA Sales bij F5 Networks en helpt dagelijks organisaties met het aanpassen van datacontroles en gegevensprocessen aan de nieuwe regels. "Bedrijven moeten hun visie herzien over persoonsgegevens en hoe ermee om te gaan. Heel wat bedrijven zijn nu al van mening dat boetes onvermijdelijk zijn, al was het maar om een voorbeeld te stellen."
GDPR kan ook een kans zijn
Bedrijven die in Europa zaken willen doen of met EU-klanten willen handelen, moeten zich vanaf 25 mei 2018 schikken naar de GDPR. Deze EU-regulering wordt de norm voor alle Europese landen. Voor de invoering is geen nationale wetgeving vereist, zoals dat bij richtlijnen vaak wel het geval is. Er komen nieuwe regels voor de verantwoordingsplicht, sterkere consumentenrechten en beperkingen voor internationale gegevensstromen. Mogelijke boetes bedragen tot vier procent van de totale inkomsten of twintig miljoen euro, waarbij het hoogste bedrag telt. Cohen-Laloum: "Zowel grote als kleine bedrijven kunnen zich straks een beveiligingslek nauwelijks permitteren; de impact op de bedrijfsvoering kan groot zijn. U kunt het zien als een dure en tijdrovende praktijk, maar het kan ook een stimulans zijn om zaken te doen in nieuwe markten, waarbij het voldoen aan de regels en sterke veiligheidscontroles juist als een onderscheidende factor kunnen gelden."
De GDPR is opgesteld om cruciale gegevens van de EU-inwoners te beschermen. Door de hoeveelheid hiervan en het vele gebruik van mobiele apparaten, vraagt dit veel van de ondernemingen. Ze moeten hun processen en infrastructuur goed beschermen. Cohen-Laloum: "Elk bedrijf dat gegevens in de cloud opslaat, moet eigenaar blijven van de centraal beschikbare informatie en er controle over houden. Het beleid moet voorzien in encryptie-oplossingen. In geval van inbraak moet er binnen 72 uur melding worden gemaakt bij de toezichthouder. Deze melding moet aan allerlei eisen voldoen en onder andere een plan van aanpak bevatten."
Hoe werkt gegevensbescherming?
Cohen-Laloum: "Bij het beheer van persoonlijke gegevens en bedrijfsinformatie, is het van belang om gebruikersdata en de informatiestromen te begrijpen, te controleren, te analyseren, in context te plaatsen en op te volgen. Data-sets zijn allesbehalve statisch, en de weg die we met z’n allen ingeslagen is onomkeerbaar. We moeten dan ook onze eventuele technologie-fobieën achter ons laten en ons steentje bijdragen om op een verantwoordelijke manier hiermee om te gaan en cybercrime gezamenlijk bestrijden."
Een eerste vereiste volgens de GDPR is de aanstelling van een verantwoordelijke voor gegevensbescherming (chief data protection officer). Cohen-Laloum: "Wie staat er in uw bedrijf op dit ogenblik garant voor gegevensbescherming? Waarschijnlijk moeten veel bedrijven hier iemand voor aanstellen of zelfs aannemen. Hierin moet nu dus al een keuze in maken. Datzelfde geldt bij de ondersteuning van gegevensbeveiliging? Gaat u dat zelf doen, of haalt u de hulp van (andere) experts in huis? GDPR zal wat dat betreft ook innovatie aanwakkeren."
Voorbereiden op de digitale economie
Cybercriminaliteit beperkt zich niet tot een regio of een bepaalde vorm van bedrijvigheid. Iedereen kan erdoor worden getroffen, zowel in de bedrijfswereld als in privé-situaties. De gezamenlijke, Europese aanpak van digitale beveiliging is volgens Cohen-Laloum dan ook een goed idee. "De wet is ontworpen om de gaten te dichten die zijn ontstaan in de digitale wereld waarin we ons vrij bewegen. De EU nam al de leiding bij de ontwikkeling van een sterke security-cultuur en voert nu logischerwijs stevige maatregelen in tegen de niet-naleving ervan. Als verantwoordelijke EU-ondernemer en -burger is het dan ook tijd om persoonsgegevens op orde te brengen en digitale systemen klaar te maken voor de GDPR."