'Bedrijfsleven is onvoldoende op de hoogte van aanstormende Europese databeschermingsregels'

Aankomende Europese regelgeving op gebied van gegevensbeveiliging zou het Europese, en dus ook het Nederlandse bedrijfsleven op zijn minst enigszins nerveus moeten maken. Maar niemand lijkt er serieus mee bezig. Dat komt waarschijnlijk, zegt Pieter Lacroix (foto), directeur Nederland van cybersecurity bedrijf Sophos, omdat vrijwel niemand zich al echt op de hoogte heeft gesteld van de nieuwe Europese General Protection Regulation die in aantocht is, en die naar verwachting nog dit jaar zijn beslag zal krijgen.

Waar gaat het om? 25 januari 2012 werd het startsein gegeven. Het was de dag waarop de Europese Commissie haar voorstellen publiceerde voor een nieuw stelsel van databeschermingsregels, de zogeheten General Data Protection Regulation (GDPR). Doel: een ingrijpende herziening van de bestaande Europese Data Protection Directive uit 1995. In klare taal gesteld: Brussel is bezig met het formuleren en implementeren van EU-databeveiligingswetgeving die zijn weerga niet kent en grote gevolgen gaat hebben voor hoe bedrijven op korte termijn hun IT-voorzieningen hebben in te richten.

Overheid is erg stil!

“Ik heb gemerkt dat veel organisaties hiervan totaal niet op de hoogte zijn”, zegt Pieter Lacroix van Sophos Nederland. “Dat bleek uit onderzoek dat Sophos in oktober 2014 heeft laten uitvoeren door Vanson Bourne onder 1500 professionals in de UK, Frankrijk en Duitsland, en dat bleek ook uit de vele glazige blikken die mijn deel waren toen ik hierover sprak op de laatste Infosecurity-beurs, afgelopen najaar in de Jaarbeurs te Utrecht. En waar ik mij nog het meest over verbaas, is dat er zelfs vanuit de Nederlandse overheid tot nu toe geen enkele aandacht aan wordt gegeven. Ik vind het echt heel vreemd dat het van die kant nog zo stil is.”

De herziening van die Europese Data Protection Directive, stelt Lacroix, is er onder meer op gericht de gegevens van klanten beter te beveiligen. In het verleden werden data die belangrijk waren al meestal versleuteld, maar straks móet het ook echt. “Er zijn boeteclausules in aantocht die er werkelijk niet om liegen. Dat varieert van 350 duizend tot 100 miljoen euro. En er wordt ook gedacht aan percentages van de omzet, die lopen van een 0,5 tot 5 procent. Let wel: dat gaat om wereldwijde omzet. En ik benadruk het woord omzet, omdat veel mensen vaak alleen naar de winstcijfers kijken. Er zijn echter een hoop sectoren die slechts draaien op een winstmarge van 2 procent. En als je dan een dergelijk percentage van je omzet moet gaan betalen als boete, dan betekent dat zo’n beetje een faillissement.”

Meldplicht

Met degelijke encryptie van al je medewerkers- en klantendata kom je een heel eind, maar daarmee ben je er nog niet, legt Lacroix uit. “Alles staat en valt met bewijsvoering tegenwoordig. Je kunt wel zeggen dat je alles versleuteld had, maar je moet het ook kunnen bewijzen. Dat kan, bijvoorbeeld, met managementsoftware als die van ons. Dus dat is belangrijk. Wat ook belangrijk is: je krijgt straks een meldplicht als je als organisatie informatie bent kwijtgeraakt. Dat betekent dat als er informatie van jou op straat is beland, je daar al je klanten over moet inlichten. Encrypted informatie is echter geen informatie. Heb je je informatie versleuteld en die informatie raakt dán verloren, dan hoef je dat dus niet te melden. Dat voorkomt reputatieschade. En zoals we allemaal weten, zijn daaraan al heel wat bedrijven ten gronde gegaan.”

 Wat te doen?

Hoe kunnen bedrijven zich nu zo goed mogelijk hierop voorbereiden? “Het begint natuurlijk met bewustwording”, zegt Lacroix. “Op het moment dat niemand weet dat dit gaat spelen, kan ook niemand zich erop voorbereiden. Daarom hebben wij als Sophos besloten een Europese roadshow te organiseren, die in Nederland plaatsvindt in de eerste helft van maart. Daarmee wil Sophos bedrijven  waarschuwen over wat er aankomt en waar ze allemaal rekening mee moeten houden. Die roadshow gaat binnenkort in Nederland van start. We hebben vier sessies gepland. Dat is in Utrecht, Zwolle, Amsterdam en Eindhoven, op 5, 11, 12 en 17 maart. Dat zijn een soort ontbijtsessies, die plaatsvinden van half negen tot kwart over tien. Heel kort, heel simpel wordt daarin verteld: dit is de regulering die eraan komt en dit is wat je eraan kunt doen. Organisaties die hierin geïnteresseerd zijn, kunnen zich inschrijven via de site van Sophos. Ze doen er bovendien verstandig aan even te linken naar www.sophos.com/eu. Daar kunnen ze op basis van een aantal korte vragen in slechts 60 seconden checken of ze al klaar zijn voor die nieuwe regelgeving. De ‘60 seconde compliance check’ noemen we dat.”

Door: Dick Schievels