Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 01 november 2016

Hoe bereidt ú zich voor op GDPR?

Data protection Security Overheid

25 mei 2018 lijkt nog heel ver weg. Maar als u bedenkt wat er bij uw organisatie nog moet gebeuren als u tegen die tijd wilt voldoen aan de General Data Protection Regulation (GDPR) van de EU, dan zijn de komende 19 maanden nog hard nodig. Vooral omdat u eerst de nodige duidelijkheid zult moeten scheppen in al uw data.

IT-landschappen worden steeds complexer en het toenemend gebruik van clouddiensten speelt daar een prominente rol bij. De cloud maakt compliancy sowieso een stuk lastiger. Clouddiensten spelen zich immers buiten het directe zicht van uw IT-afdeling af.

Daarnaast neemt de omvang van data toe. Deze twee trends zorgen ervoor dat bedrijven niet langer kunnen volstaan met relatief algemene maatregelen om straks compliant te zijn met de GDPR. Deze nieuwe, Europa-brede wet richt zich volledig op de bescherming van persoonlijke gegevens en vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp).

De GDPR gaat weer verder dan de Wbp en vraagt van organisaties dat ze verschillende organisatorische en technische maatregelen nemen om persoonsgegevens te beschermen. De traditionele veiligheidsmaatregelen die gericht zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens, zijn daarbij niet voldoende.

Wat kunt u doen om ervoor te zorgen dat u in 2018 compliant bent, zeker tegen de achtergrond dat uw organisatie meer en meer cloudapplicaties gaat gebruiken? Het gaat in ieder geval om de volgende stappen:

  • U moet weten welke persoonsgegevens uw werknemers verwerken met behulp van clouddiensten. In de nieuwe GDPR worden persoonsgegevens gedefinieerd als gegevens aan de hand waarvan een persoon direct of indirect kan worden geïdentificeerd. Een brede definitie dus.
  • U moet nauwkeurig identificeren welke cloudapplicaties uw medewerkers gebruiken. Dan is namelijk vast te stellen waar data is opgeslagen en of dat volgens de regels gebeurt. Onderzoek laat zien dat bedrijven in het algemeen veel meer cloudapplicaties in gebruik hebben dan bekend is bij de IT-afdeling. 
  • U moet voorkomen dat persoonlijke gegevens worden opgeslagen of verwerkt in onbeheerde clouddiensten. U hebt dan geen controle en die is wel nodig om compliant te zijn. 
  • U moet persoonsgegevens afdoende beschermen als u deze opslaat of verwerkt in een beheerde clouddienst. 

Persoonsgegevens in de cloud
Het naleven van privacywetgeving begint bij het bepalen van de persoonlijke gegevens die u in uw organisatie verwerkt. Dat is relatief eenvoudig uit te voeren met data-mapping, zolang u dit doet in uw eigen bedrijfsinformatiesystemen. Het is een stuk lastiger om dit in cloudapplicaties uit te voeren. Dat geldt met name voor onbeheerde of niet-gesanctioneerde apps. U zult dus een tool moeten gebruiken, waarmee u bepaalt of en welke persoonlijke gegevens geüpload en gedownload worden naar en vanuit cloudapplicaties. Dat is nodig op individueel medewerkerniveau.

Vervolgens zijn policy’s nodig waarmee u bepaald gebruikersgedrag kunt afdwingen voor wat betreft persoonsgegevens. Zo is het bijvoorbeeld verstandig om het uploaden of downloaden van foto’s van medewerkers, sofinummers, creditkaartgegevens of data over gezondheid te blokkeren.

Daarnaast is het belangrijk dat u een goed beeld hebt van al uw cloudapps. Wat zijn hun algemene voorwaarden? Hoe staat het met het gebruik, de veiligheid, de openbaarmaking en bewaring van persoonsgegevens, en de locaties van de servers waar dat gebeurt? Als u dat niet weet, is compliance nooit te garanderen.

De nieuwe GDPR heeft tal van consequenties voor bedrijven. Het is dan ook zaak om nu te starten met de voorbereidingen, zodat u in 2018 probleemloos clouddiensten afneemt en volledig compliant bent.

Meer weten? Kom naar de beurs Infosecurity.nl
GDPR is een belangrijk thema tijdens de beurs Infosecurity.nl. Wilt u meer weten over hoe u veilig gebruikmaakt van de cloud en toch GDPR-compliant kunt zijn? Kom naar de seminar van Netskope verzorgd door Thomas Kramps, op 3 november 2016 van 12.30 tot 13.00 uur tijdens Infosecurity.nl. Dit is dé Nederlandse vakbeurs op het gebied van IT-security voor IT-managers en IT-professionals en vindt plaats op 2 en 3 november in Jaarbeurs in Utrecht. U vindt hier meer achtergrond over onze aanwezigheid op Infosecurity.nl en over het inschrijven voor het seminar. Uiteraard bent u ook van harte welkom op onze stand: standnummer 01.E132.

Door: Thomas Kramps, Regional Director Benelux bij Netskope

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events