De EU heeft de zogeheten ‘General Data Protection Regulation’ opgesteld om één lijn te trekken in de wetgeving over databescherming. Maar die lijn is voor de meeste organisaties nog verre van zichtbaar. Slechts 20 procent van de organisaties in de Benelux weet precies wat deze wetgeving voor hun organisatie gaat betekenen. En 50 procent van de organisaties in de Benelux stelt zich vragen bij het zich conformeren aan de nieuwe Europese wet voor databescherming.

Toch horen we steeds meer geluiden waaruit blijkt dat de wet snel gaat komen. Tijd dus om u alvast voor te bereiden, want de maatregelen die u zult moeten invoeren, gaan niet over één nacht ijs. En als u niet tijdig klaar bent, loopt uw organisatie de kans om een van die hoge boetes te moeten betalen die de EU naar zeer grote waarschijnlijkheid ook gaat opleggen in geval van een datalek. Daarom sommen we hier al enkele stappen op die u in elk geval kunt nemen nog voor alle details rond de wetgeving bekend raken.

1. Breng in kaart waar alle bedrijfsdata staan
Dit zou geen moeilijke vraag mogen zijn, waarop u spontaan het (volgens u) exacte antwoord kunt geven.Het zou echter zomaar kunnen dat als u het in detail nagaat, u toch nog voor verrassingen komt te staan. Het gaat namelijk niet alleen om digitale data, maar ook om fysieke data, die soms liggen opgeslagen bij klanten, medewerkers of partners. Zijn deze data veilig, gemakkelijk toegankelijk, verzekerd en beheersbaar opgeslagen?

2. Ga na voor wie de bedrijfsdata toegankelijk zijn
Nog een aantal belangrijke vragen: wie heeft er toegang tot de data? Hoe bekijken ze de data? Bekijken ze de data überhaupt? Weten ze welke gevolgen misbruik van de data heeft voor de organisatie?

De meeste bedrijven groter dan 250 medewerkers zullen worden verplicht een ‘data officer’ aan te stellen, die ervoor moet zorgen dat bedrijven voldoen aan de nieuwe databeschermingswetgeving en dat mogelijke security-issues worden behandeld. Het is belangrijk dat er in elke organisatie iemand aanwezig is die niet alleen beschikt over technische kennis maar ook een opleiding heeft gehad over de wettelijke, procedurele en financiële implicaties van het beheren van data.

3. Voorzie de juiste procedure bij een cyberaanval
Elke organisatie moet van te voren nadenken over de procedures bij een datalek. Wie neemt contact op met de autoriteiten en wie moet er nog worden geïnformeerd? En als het datalek groot is, wie neemt er dan contact op met de pers en wat worden dan de statements? En hoe wordt dit nieuws vervolgens gecommuniceerd naar klanten? Maar uiteraard mag ook de technische kant niet ontbreken; wat wordt er gedaan om het lek zo snel mogelijk te dichten en schade in kaart te brengen en te beperken? U wilt later toch niet in de media verschijnen als de naïeveling die hier nog nooit eerder over heeft nagedacht?

image

4. Regel optimale bescherming van uw organisatie
Zelfs met de beste intenties kan er wel eens iets fout gaan. Er zijn immers meer dan genoeg ‘bad guys’ die maar al te graag uw waardevolle data willen stelen. Om dit te voorkomen moet u in ieder geval zorgen voor goede beveiligingstechnologie. Een goede datalekbeschermingsoplossing (ook data leakage prevention of DLP genoemd) alvast, die sleutelwoorden in documenten en gevoelige documenten kan opsporen en ervoor kan zorgen dat deze niet zomaar worden verstuurd. Maar ook gedegen encryptie-technologie die ervoor zorgt dat data die worden uitgestuurd enkel door de ontvanger kunnen worden gelezen (dus niet door wie de data eventueel zou onderscheppen), en geavanceerde technologie die verdachte activiteiten op het netwerk signaleert en hier op kan reageren.

5. Zorg dat medewerkers goed geschoold worden
De sancties voor het overtreden van de regels zijn hoog en kunnen oplopen tot 5 procent van de omzet. Het is dan ook cruciaal dat de hele organisatie op de hoogte is van de uitdagingen bij het beveiligen van bedrijfskritieke data. In plaats van een technisch issue wordt het nu een issue voor de directie, dus is het belangrijk dat alle senior beslissers in de organisatie goed beseffen wat de gevolgen zijn en ook de noodzaak zien om medewerkers een leidraad mee te geven waar ze naar moeten handelen.

Veel IT-managers geven aan dat ze een grote verantwoordelijkheid zien weggelegd voor de overheid (ongeveer 40 procent), maar met deze databeschermingswet heeft de overheid de verantwoordelijkheid overduidelijk bij de bedrijven zelf gelegd. Hoe de wet er concreet uit zal zien en wanneer ze precies van kracht wordt, weten we nog niet. Maar deze vijf stappen geven u alvast een goede basis om er tijdig aan te kunnen voldoen.

Auteur: Steven Heyde
Bijkomende informatie kan u terug vinden op trend Micro ™ deep security

Bron: European Commission General Data Protection regulation (GDPR)