Ooit was dataprivacy een zaak van kleine groepen mensen binnen organisaties (zoals bedrijfsjuristen of IT-specialisten); nu is het een onderwerp dat C-levelmanagers regelmatig in hun inbox zien verschijnen. Organisaties zijn in toenemende mate wettelijk verplicht om een Data Protection Officer (DPO) aan te stellen en doen alles wat mogelijk is om datalekken te voorkomen. Hoe zijn we tot dit punt gekomen?
Hoewel het gesprek over dataprivacy rond 2018 echt op gang kwam, werd het concept van een ‘recht op privacy’ al in 1948 geformaliseerd als een internationaal mensenrecht. Al snel volgden nationale wetten op het gebied van databescherming, waarbij Zweden in 1973 als eerste een dergelijke wet invoerde. De toenemende bezorgdheid van het publiek over de verwerking en opslag van persoonlijke informatie in databases heeft deze eerste tastbare poging om de privacy van gegevens te reguleren, verder gestimuleerd.
Het huidige gesprek rond dataprivacy mag dan wel een lange geschiedenis hebben, maar 2018 was een belangrijk keerpunt. De General Data Protection Regulation of GDPR was een van de grootste veranderingen in het informatiebeleid sinds vele tientallen jaren. De verordening is uiterst specifiek en afdwingbaar, en de toezichthouders in Europa zijn niet bang geweest om actie te ondernemen. Net na de invoering van de GDPR-wetgeving werden er in België nauwelijks datalekken gerapporteerd. Dit kan te maken hebben met het gegeven dat ze ofwel niet weten dat hun data gestolen worden of ze het niet melden. Volgens een rapport van DLA Piper meldde Nederland de meeste datalekken (40.647) aan de toezichthouders. België daarentegen leek over een stuk minder datalekken te beschikken (1.332). Desalniettemin riskeren organisaties miljoenenboetes wanneer zij hun lekken niet aangeven. Boetes, zoals bijvoorbeeld opgelegd aan Proximus voor €50.000, zijn een herinnering voor alle organisaties dat als zij verkeerd omgaan met de gegevens van burgers er zware, recordstraffen gelden. In het voorbeeld gaat het om een belangenconflict van de DPO van Proximus.
Daar komt het datacenter om de hoek kijken
As het gaat om de manier waarop gegevens worden opgeslagen en beheerd, is het datacenter het eerste wat op de agenda staat. Bovendien worden veel van de technologieën waarin organisaties willen investeren om hun business intelligence te stimuleren, daar ook opgeslagen en beheerd. Wereldwijd zijn organisaties van plan om gemiddeld maar liefst 41 miljoen dollar uit te geven aan Cloud Data Management. Dat blijkt uit het laatste Cloud Data Management-rapport van Veeam, wat benadrukt dat het datacenter hard op weg is het belangrijkste onderdeel te worden van de digitale business.
Vanuit veiligheidsperspectief kunnen aanvallen van overal ter wereld komen, maar de data moet ergens worden bewaard. In die zin kan de infrastructuur een aantrekkelijk doelwit zijn. De toegenomen druk van bijvoorbeeld de GDPR heeft ertoe geleid dat het hogere management zich nu veel meer dan ooit tevoren bewust is van de manier waarop zij de fysieke infrastructuur gebruikt om de bedrijfsvoering te ondersteunen.
In nauwe samenwerking met hun cloud-storageproviders en hostingpartners voeren organisaties die het belang van deze kwestie goed inzien, regelmatig risicoanalyses en audits uit en eisen ze meer details in contracten over zaken als dataretentie.
Een roep om expertise
De GDPR-wetgeving als framework gaat evenzeer over mensen als over technische normen. Er wordt gesproken over de fundamentele rechten van de burgers en over de manier waarop specifieke personen binnen organisaties deze rechten kunnen handhaven. Dit is met name duidelijk in artikel 37 van de GDPR, waarin staat dat elk bedrijf dat op grote schaal persoonsgegevens controleert en verwerkt, een DPO moet aanstellen.
DPO’s zijn zo een belangrijke groep medewerkers geworden, want hoewel de eis om er een te hebben niet voor alle organisaties geldt, wordt het aanstellen ervan vaak als best practice geadviseerd om aan te tonen dat een bedrijf passende maatregelen heeft genomen. In 2018, toen de GDPR van kracht werd, moesten maar liefst 28.000 vacatures voor DPO’s in heel Europa en de VS worden vervuld, en dit blijft een grote rol spelen. Advocatenkantoren en consultants zijn bijvoorbeeld zelfs begonnen met het aanbieden van virtuele DPO-diensten om het tekort aan te vullen. Deze kloof dichten zal tijd kosten, maar het is echt waardevol om iedereen binnen organisaties aan te moedigen de basisprincipes van dataprivacy te waarderen en te begrijpen. Met de reputatie en de financiële belangen die nu op het spel staan, is de privacy van gegevens zowel een zakelijke als een technische aangelegenheid. Zoals elk zakelijk probleem, vereist het een robuuste strategie om het aan te pakken, en de juiste IT-aanpak kan veel effect hebben om de slimme oplossingen op het gebied van dataprivacy mogelijk te maken die zowel de consumenten als de toezichthouders eisen.
IT als een mensenindustrie
Uit onderzoek van Veeam is gebleken dat maar liefst drie kwart van de IT-beslissers wereldwijd Cloud Data Management als middel wil inzetten om intelligentere bedrijfsprocessen te ondersteunen. Daarnaast brengt Cloud Data Management back-up, replicatie en disaster recovery samen vanuit de gehele IT-omgeving van een organisatie, om ervoor te zorgen dat data altijd beschikbaar, herstelbaar en beschermd is.
Maar zoals we hebben gezien met DPO’s, is IT net zo goed een mensenindustrie. Bedrijven zijn actief in een wereld waarin ze hun data meer dan ooit tevoren moeten beschermen en senior managers zijn op zoek naar betrouwbare partners om hen te helpen hun datacenter te ontdoen van risico’s. Dit kan bestaan uit het goed inrichten van datamanagementsystemen, het geven van technische trainingen aan systeembeheerders of het stimuleren van eindgebruikers om de rol die zij kunnen vervullen in het uitvoeren van goed datamanagement op waarde te schatten.
Aan het begin van dit nieuwe decennium zitten veel organisaties nog midden in een transformatie in de manier waarop ze hun Cloud Data Management-strategie benaderen. Het is een geschikt moment om na te denken over hoe we gegevens gebruiken en bekijken. Naarmate bedrijven zich aanpassen aan de eisen van de GDPR, zullen de gevolgen van de wetgeving ingrijpend blijven. Managers doen er goed aan om te investeren in partners die de mensen niet alleen intern begeleiden bij het naleven van de regels, maar ook bijdragen aan het creëren van een echte datatransparante cultuur.