Laat de COVID-19-chaos de AVG-inspanningen van de afgelopen twee jaar niet in de war schoppen
De Algemene Verordening Gegevensbescherming (AVG) verplichtte elke organisatie die zaken doet met Europese burgers significante veranderingen door te voeren vóór mei 2018, toen de AVG van kracht werd. In het eerste jaar na de invoering van de privacywet zorgde de AVG ongetwijfeld voor een bepaalde mate van data hygiëne. Door deze regulering moesten organisaties wereldwijd een kostbaar proces doorlopen om ervoor te zorgen dat zij een overzicht hadden van persoonlijke informatie en, belangrijker nog, tools implementeren om data veilig te kunnen verwerken en opslaan.
Nu we het tweejarig jubileum van deze mijlpaal in datamanagement hebben bereikt, moeten organisaties hun oorspronkelijke inspanningen herevalueren. Waarom? Door de richtlijnen omtrent de wereldwijde pandemie moet een enorm deel van de workforce vanuit huis werken. Ook heeft dit geleid tot meer digitale communicatie met klanten.
Organisaties die al processen en een beleid hadden voor het werken op afstand prijzen zichzelf gelukkig onder de huidige omstandigheden. Zij bevinden zich in een benijdenswaardige positie waarin ze enkel hoeven te controleren of het beleid en de bijbehorende regels in acht worden genomen door alle thuiswerkers. Echter, organisaties waarvan de workforce alleen onsite werkt of slechts gedeeltelijk thuis kan werken, moeten wellicht verslagen van hun dataverwerkingsactiviteiten en hun data protection impact assessment (DPIA) opstellen om te zien of thuiswerken een impact heeft gehad op het risiconiveau.
De kern van het naleven van de AVG ligt bij zorgvuldig onderzoek doen. Om te begrijpen of gevoelige data door onbeschermde netwerken wordt geleid, is het essentieel om de verschillende infrastructuren en systemen te beoordelen die werknemers gebruiken als zij vanuit huis werken. Wordt er anders met deze data omgegaan wanneer werknemers vanuit kantoor werken? Het is de verantwoordelijkheid van de organisatie om ervoor te zorgen dat de juiste controles worden toegepast wanneer persoonlijke informatie vanuit een thuisomgeving wordt geopend of verwerkt - net zoals het was toen werknemers nog vanuit het kantoor werkten. Aangezien DPIA moet identificeren en analyseren hoe de privacy van gegevens kan worden beïnvloed door de verschillende acties of activiteiten bij thuiswerken, zijn organisaties verplicht te zorgen voor de juiste controles, afhankelijk van de gevoeligheid van de data.
Data privacy en thuiswerken
Toen organisaties voor het eerst geconfronteerd werden met nieuwe data privacy- en security-reguleringen, werden veel van hen gedwongen state-of-the-art security-tools te implementeren om hun data veilig te houden. Twee jaar geleden was de focus echter waarschijnlijk nog beperkt tot de kantoorgrenzen. Data beveiligen terwijl men vanuit huis werkt blijkt nu een uitdaging die nieuwe risico’s voor kritieke data met zich mee kan brengen.
Nu de wereldwijde COVID-19-situatie alle gezinsleden dwingt thuis te blijven wanneer dat mogelijk is, moet elke individuele omgeving geëvalueerd worden. Hoe ziet de werkplek eruit wanneer men thuis werkt? Is er een fysiek kantoor beschikbaar? Is er een kast of andere plek die afgesloten kan worden om de privacy van data en apparaten te garanderen? En nog belangrijker voor families met kinderen, wordt het apparaat exclusief gebruikt voor werkgerelateerde doeleinden of gebruiken de kinderen dit apparaat ook? Het is erg verleidelijk om gezinsleden een laptop te laten gebruiken om zo zelf wat rust en stilte te hebben, of om de laptop zelf te gebruiken voor privé-doeleinden. Maar security risico’s kunnen ook op de tegenovergestelde manier geïntroduceerd worden - wanneer een privé apparaat dat wellicht niet beschikt over de juiste security tools gebruikt wordt voor werkgerelateerde doeleinden.
Dankzij moderne technologie is er geen twijfel dat werknemers productief kunnen blijven wanneer ze niet op kantoor zijn. Organisaties moeten er echter wel voor zorgen dat werknemers in thuiswerk-omgevingen alle geopende en verwerkte data net zo veilig kunnen bewaren als op kantoor. Organisaties moeten hun security houding dus herzien om een veilige thuiswerk-ervaring te bieden die een datalek voorkomt. Organisaties zouden niet alleen de focus moeten leggen op de kwetsbaarheden voor hun eigen netwerk en de fysieke opslag van data, maar ook op het feit dat de meeste thuiswerkers data zullen moeten verplaatsen tussen het corporate netwerk, de cloud en de persoonlijke laptop. Om persoonlijke data die onderweg is van locatie A naar locatie B te beschermen, stelt de AVG encryptie voor. Zo kan de privacy en security beschermd worden en wordt een lek voorkomen.
Data beheren in het nieuwe normaal - wat dat dan ook mag zijn
Organisaties moeten begrijpen dat het herevalueren van AVG-compliance niet voor niets moet gebeuren. Er wordt voorspeld dat thuiswerken het nieuwe normaal wordt wanneer deze pandemie voorbij is en dat werken op afstand niet zal verdwijnen. Zelfs als een groot deel van de workforce terugkeert naar kantoor, zal deze nu meer dan ooit gebruik kunnen maken van de flexibiliteit van het werken op afstand. Hoewel naleving van de AVG is gericht op het beschermen van privacy, doen organisaties er goed aan controle te behouden over hun persoonlijke en kritieke data, ongeacht de werkomgeving. Een thuiswerkbeleid is nu een noodzaak om data te beheren en te beveiligen, aangezien we niet weten wat de toekomst ons brengen zal.
Door: Marc Lueck (foto), CISO Northern Europe bij Zscaler
