Sinds 25 januari van dit jaar is de Europese Commissie hard bezig nieuwe databeschermingsregels te implementeren. Een grondige herziening van de huidige Europese Data Protection Directive die dateert uit 1995. Het resultaat is de Europese Data Protection Regulation (GDPR); dataprotectieregulering. Een goede zaak aangezien de oorspronkelijke regels stammen uit het stenen tijdperk van het internet.
In een tijd waarin iedereen alles van iedereen wil weten, is het moeilijk bepalen wat nu een goede of slechte praktijk is op gebied van dataregulering en opslag. “De nieuwe regels vanuit Europa moeten ervoor zorgen dat men weer baas wordt over zijn eigen data,” aldus Pieter Lacroix, managing director Nederland bij Sophos. “Op verzoek moet een individu volledig inzage kunnen krijgen in alle informatie die door een bedrijf of instelling over hem is vastgelegd. Ook het doel dat ermee is gediend, moet kraakhelder zijn. Indien zij niet meer willen dat hun gegevens worden bewaard en verwerkt en er geen wettelijke gronden zijn die dat tegenhouden, moeten die gegevens op verzoek direct kunnen worden verwijderd. En gebruiksvoorwaarden moeten in duidelijke taal worden opgesteld en gestandaardiseerd.”
Fikse boetes
Het ligt voor de hand dat deze nieuwe regelgeving voor de nodige vrees zorgt bij het Nederlandse bedrijfsleven. Maar met bovenstaande regels houdt het nog niet op. Organisaties die persoonlijke gegevens van hun klanten beheren worden door Europa ook verplicht de beveiliging van deze data te garanderen. “Het komt erop neer dat Europa bedrijven vanaf nu verplicht hun it-infrastructuur en bovenal it-beveiliging grondig te controleren en op orde te brengen,” legt Lacroix uit. Doet men dit niet dan legt Europa fikse boetes op; 250.000 tot 100 miljoen euro, of een omzet gerelateerde boete van tussen de 0,5 en 5 procent! Maar, is ons Nederlandse bedrijfsleven hier wel klaar voor?
Uit recent onderzoek van Sophos onder 1.500 professionals uit de it-branche naar hun kennis en begrip van de nieuwe EU regelgeving in Europa (UK, Frankrijk en Duitsland) bleek dat ruim 84 procent akkoord is met de komst van deze strengere regels. Toch vertrouwt 77 procent er niet op dat hun organisatie momenteel voldoet aan deze regulering. Nog zorgzamer is dat slechts 23 procent van de ondervraagden kon bevestigen dat hun organisatie data van hun werknemers en klanten encrypteren.
Moderne encryptie
Lacroix: “Onlangs lazen we weer over een geval waar zomaar data op straat lekte, dankzij een agent die vertrouwelijke dossiers onversleuteld op Google Drive had gezet. Dat had men gemakkelijk kunnen voorkomen door gebruik te maken van encryptie. Encryptie heeft zijn dienst ruimschoots bewezen in diverse andere standaard beveiligingsimplementaties, zoals HIPAA (Health Insurance Portability & Acountability Act), PCI DSS (Payment Card Industry Data Security Standard) en SOX (Sarbanes-Oxley). Toch zijn veel bedrijven nog altijd terughoudend in de adoptie van encryptietechnologie. Dat komt omdat het voorheen de it-performance negatief kon beïnvloeden. Dat euvel is met moderne encryptieproducten, zoals bijvoorbeeld van Sophos SafeGuard, definitief verholpen. Het biedt protectie én performance. Het volgt de data en biedt hen bescherming waar ze zich ook mogen nestelen: op de devices van gebruikers, hun shared folders, een USB-stick of in de cloud.”
In een tijd dat cybercrime hoogtijdagen viert, is het van cruciaal belang dat organisaties ervoor zorgen dat ze goede dataprotectierichtlijnen opzetten en zo de veiligheid van data van zowel werknemers als klanten waarborgen.
