De EU heeft de zogeheten ‘General Data Protec­tion Regu­la­tion’ opgesteld om één lijn te trekken in de wetgeving over data­be­scher­ming. Maar die lijn is voor de meeste orga­ni­sa­ties nog verre van zichtbaar. Slechts 20 procent van de orga­ni­sa­ties in de Benelux weet precies wat deze wetgeving voor hun orga­ni­satie gaat betekenen. En 50 procent van de orga­ni­sa­ties in de Benelux stelt zich vragen bij het zich confor­meren aan de nieuwe Europese wet voor data­be­scher­ming.

Toch horen we steeds meer geluiden waaruit blijkt dat de wet snel gaat komen. Tijd dus om u alvast voor te bereiden, want de maat­re­gelen die u zult moeten invoeren, gaan niet over één nacht ijs. En als u niet tijdig klaar bent, loopt uw orga­ni­satie de kans om een van die hoge boetes te moeten betalen die de EU naar zeer grote waar­schijn­lijk­heid ook gaat opleggen in geval van een datalek. Daarom sommen we hier al enkele stappen op die u in elk geval kunt nemen nog voor alle details rond de wetgeving bekend raken.

1. Breng in kaart waar alle bedrijfs­data staan
Dit zou geen moeilijke vraag mogen zijn, waarop u spontaan het (volgens u) exacte antwoord kunt geven.Het zou echter zomaar kunnen dat als u het in detail nagaat, u toch nog voor verras­singen komt te staan. Het gaat namelijk niet alleen om digitale data, maar ook om fysieke data, die soms liggen opge­slagen bij klanten, mede­wer­kers of partners. Zijn deze data veilig, gemak­ke­lijk toegan­ke­lijk, verzekerd en beheers­baar opge­slagen?

2. Ga na voor wie de bedrijfs­data toegan­ke­lijk zijn
Nog een aantal belang­rijke vragen: wie heeft er toegang tot de data? Hoe bekijken ze de data? Bekijken ze de data überhaupt? Weten ze welke gevolgen misbruik van de data heeft voor de orga­ni­satie?

De meeste bedrijven groter dan 250 mede­wer­kers zullen worden verplicht een ‘data officer’ aan te stellen, die ervoor moet zorgen dat bedrijven voldoen aan de nieuwe data­be­scher­mings­wet­ge­ving en dat mogelijke security-issues worden behandeld. Het is belang­rijk dat er in elke orga­ni­satie iemand aanwezig is die niet alleen beschikt over tech­ni­sche kennis maar ook een opleiding heeft gehad over de wette­lijke, proce­du­rele en finan­ciële impli­ca­ties van het beheren van data.

3. Voorzie de juiste procedure bij een cyber­aanval
Elke orga­ni­satie moet van te voren nadenken over de proce­dures bij een datalek. Wie neemt contact op met de auto­ri­teiten en wie moet er nog worden geïn­for­meerd? En als het datalek groot is, wie neemt er dan contact op met de pers en wat worden dan de state­ments? En hoe wordt dit nieuws vervol­gens gecom­mu­ni­ceerd naar klanten? Maar uiteraard mag ook de tech­ni­sche kant niet ontbreken; wat wordt er gedaan om het lek zo snel mogelijk te dichten en schade in kaart te brengen en te beperken? U wilt later toch niet in de media verschijnen als de naïe­ve­ling die hier nog nooit eerder over heeft nagedacht?

image

4. Regel optimale bescher­ming van uw orga­ni­satie
Zelfs met de beste intenties kan er wel eens iets fout gaan. Er zijn immers meer dan genoeg ‘bad guys’ die maar al te graag uw waar­de­volle data willen stelen. Om dit te voorkomen moet u in ieder geval zorgen voor goede bevei­li­gings­tech­no­logie. Een goede data­lek­be­scher­mings­op­los­sing (ook data leakage preven­tion of DLP genoemd) alvast, die sleu­tel­woorden in docu­menten en gevoelige docu­menten kan opsporen en ervoor kan zorgen dat deze niet zomaar worden verstuurd. Maar ook gedegen encryptie-tech­no­logie die ervoor zorgt dat data die worden uitge­stuurd enkel door de ontvanger kunnen worden gelezen (dus niet door wie de data eventueel zou onder­scheppen), en geavan­ceerde tech­no­logie die verdachte acti­vi­teiten op het netwerk signa­leert en hier op kan reageren.

5. Zorg dat mede­wer­kers goed geschoold worden
De sancties voor het over­treden van de regels zijn hoog en kunnen oplopen tot 5 procent van de omzet. Het is dan ook cruciaal dat de hele orga­ni­satie op de hoogte is van de uitda­gingen bij het bevei­ligen van bedrijfs­kri­tieke data. In plaats van een technisch issue wordt het nu een issue voor de directie, dus is het belang­rijk dat alle senior beslis­sers in de orga­ni­satie goed beseffen wat de gevolgen zijn en ook de noodzaak zien om mede­wer­kers een leidraad mee te geven waar ze naar moeten handelen.

Veel IT-managers geven aan dat ze een grote verant­woor­de­lijk­heid zien weggelegd voor de overheid (ongeveer 40 procent), maar met deze data­be­scher­mingswet heeft de overheid de verant­woor­de­lijk­heid over­dui­de­lijk bij de bedrijven zelf gelegd. Hoe de wet er concreet uit zal zien en wanneer ze precies van kracht wordt, weten we nog niet. Maar deze vijf stappen geven u alvast een goede basis om er tijdig aan te kunnen voldoen.

Auteur: Steven Heyde
Bijko­mende infor­matie kan u terug vinden op trend Micro ™ deep security

Bron: European Commis­sion General Data Protec­tion regu­la­tion (GDPR)

Pin It on Pinterest

Share This