De EU heeft de zogeheten ‘General Data Protec­tion Regu­la­tion’ opgesteld om één lijn te trekken in de wetgeving over data­be­scher­ming. Maar die lijn is voor de meeste orga­ni­sa­ties nog verre van zichtbaar. Slechts 20 procent van de orga­ni­sa­ties in de Benelux weet precies wat deze wetgeving voor hun orga­ni­satie gaat betekenen. En 50 procent van de orga­ni­sa­ties in de Benelux stelt zich vragen bij het zich confor­meren aan de nieuwe Europese wet voor databescherming.

Toch horen we steeds meer geluiden waaruit blijkt dat de wet snel gaat komen. Tijd dus om u alvast voor te bereiden, want de maat­re­gelen die u zult moeten invoeren, gaan niet over één nacht ijs. En als u niet tijdig klaar bent, loopt uw orga­ni­satie de kans om een van die hoge boetes te moeten betalen die de EU naar zeer grote waar­schijn­lijk­heid ook gaat opleggen in geval van een datalek. Daarom sommen we hier al enkele stappen op die u in elk geval kunt nemen nog voor alle details rond de wetgeving bekend raken.

1. Breng in kaart waar alle bedrijfs­data staan
Dit zou geen moeilijke vraag mogen zijn, waarop u spontaan het (volgens u) exacte antwoord kunt geven.Het zou echter zomaar kunnen dat als u het in detail nagaat, u toch nog voor verras­singen komt te staan. Het gaat namelijk niet alleen om digitale data, maar ook om fysieke data, die soms liggen opge­slagen bij klanten, mede­wer­kers of partners. Zijn deze data veilig, gemak­ke­lijk toegan­ke­lijk, verzekerd en beheers­baar opgeslagen?

2. Ga na voor wie de bedrijfs­data toegan­ke­lijk zijn
Nog een aantal belang­rijke vragen: wie heeft er toegang tot de data? Hoe bekijken ze de data? Bekijken ze de data überhaupt? Weten ze welke gevolgen misbruik van de data heeft voor de organisatie?

De meeste bedrijven groter dan 250 mede­wer­kers zullen worden verplicht een ‘data officer’ aan te stellen, die ervoor moet zorgen dat bedrijven voldoen aan de nieuwe data­be­scher­mings­wet­ge­ving en dat mogelijke security-issues worden behandeld. Het is belang­rijk dat er in elke orga­ni­satie iemand aanwezig is die niet alleen beschikt over tech­ni­sche kennis maar ook een opleiding heeft gehad over de wette­lijke, proce­du­rele en finan­ciële impli­ca­ties van het beheren van data.

3. Voorzie de juiste procedure bij een cyberaanval
Elke orga­ni­satie moet van te voren nadenken over de proce­dures bij een datalek. Wie neemt contact op met de auto­ri­teiten en wie moet er nog worden geïn­for­meerd? En als het datalek groot is, wie neemt er dan contact op met de pers en wat worden dan de state­ments? En hoe wordt dit nieuws vervol­gens gecom­mu­ni­ceerd naar klanten? Maar uiteraard mag ook de tech­ni­sche kant niet ontbreken; wat wordt er gedaan om het lek zo snel mogelijk te dichten en schade in kaart te brengen en te beperken? U wilt later toch niet in de media verschijnen als de naïe­ve­ling die hier nog nooit eerder over heeft nagedacht?

image

4. Regel optimale bescher­ming van uw organisatie
Zelfs met de beste intenties kan er wel eens iets fout gaan. Er zijn immers meer dan genoeg ‘bad guys’ die maar al te graag uw waar­de­volle data willen stelen. Om dit te voorkomen moet u in ieder geval zorgen voor goede bevei­li­gings­tech­no­logie. Een goede data­lek­be­scher­mings­op­los­sing (ook data leakage preven­tion of DLP genoemd) alvast, die sleu­tel­woorden in docu­menten en gevoelige docu­menten kan opsporen en ervoor kan zorgen dat deze niet zomaar worden verstuurd. Maar ook gedegen encryptie-tech­no­logie die ervoor zorgt dat data die worden uitge­stuurd enkel door de ontvanger kunnen worden gelezen (dus niet door wie de data eventueel zou onder­scheppen), en geavan­ceerde tech­no­logie die verdachte acti­vi­teiten op het netwerk signa­leert en hier op kan reageren.

5. Zorg dat mede­wer­kers goed geschoold worden
De sancties voor het over­treden van de regels zijn hoog en kunnen oplopen tot 5 procent van de omzet. Het is dan ook cruciaal dat de hele orga­ni­satie op de hoogte is van de uitda­gingen bij het bevei­ligen van bedrijfs­kri­tieke data. In plaats van een technisch issue wordt het nu een issue voor de directie, dus is het belang­rijk dat alle senior beslis­sers in de orga­ni­satie goed beseffen wat de gevolgen zijn en ook de noodzaak zien om mede­wer­kers een leidraad mee te geven waar ze naar moeten handelen.

Veel IT-managers geven aan dat ze een grote verant­woor­de­lijk­heid zien weggelegd voor de overheid (ongeveer 40 procent), maar met deze data­be­scher­mingswet heeft de overheid de verant­woor­de­lijk­heid over­dui­de­lijk bij de bedrijven zelf gelegd. Hoe de wet er concreet uit zal zien en wanneer ze precies van kracht wordt, weten we nog niet. Maar deze vijf stappen geven u alvast een goede basis om er tijdig aan te kunnen voldoen.

Auteur: Steven Heyde
Bijko­mende infor­matie kan u terug vinden op trend Micro ™ deep security

Bron: European Commis­sion General Data Protec­tion regu­la­tion (GDPR)

Pin It on Pinterest

Share This