Het jaar 2018 zal de geschiedenis ingaan als het jaar van de privacy wetgeving (AVG of GDPR).
Dankzij de inwerkingtreding van de Algemene Verordening Gegevensbescherming van de EU (GDPR) is het veilig om te zeggen dat deze regelgeving een wereldwijde impact zal hebben. Waar een bedrijf zich ook bevindt, als het gegevens uit EU-ingezetenen verzamelt of verwerkt, moet het voldoen aan GDPR.
Omdat de capaciteit om gegevens voor commerciële doeleinden te verzamelen, op te slaan en te analyseren exponentieel blijft groeien, probeert GDPR de privacy en bescherming van persoonlijke gegevens te versterken en te verenigen door mensen de controle over hun gegevens te geven en ervoor te zorgen dat bedrijven deze gegevens op een eerlijke, transparante en veilige manier behandelen.
Hoewel velen zich zorgen maken over de implicaties van een nieuw regelgeving, zal het in werkelijkheid vertrouwen scheppen en goede praktijken opleveren die zowel de individuen als de bedrijven ten goede zullen komen. Deze wetten vormen samen een positieve mogelijkheid wanneer ze op de juiste manier worden benaderd. Compliance kan operationele efficiëntie, kostenbesparingen en zelfs brandstofinnovatie stimuleren. Met krachtige gegevensbeschermingsstrategieën op zijn plaats, zullen klanten meer vertrouwen in bedrijven krijgen en zullen bedrijven de al te vaak voorkomende reputatieschade en financiële gevolgen van een inbreuk minimaliseren.
Belgium cloud sprak tijdens het Data & Cloud Expo te Brussel in Maart met Tim Hoesfloot (Regional Director, Benelux) en Jo Buysschaert (System Engineer) van Forcepoint en we leerden hoe zij kunnen helpen om de nieuwe regelgeving in zake gegevensbeveiliging met succes toe te passen binnen uw organisatie.
Voordelen van GDPR
Bedrijven met een impact van de GDPR zullen zich moeten houden aan een aantal basisprincipes als het gaat om het verzamelen, opslaan, gebruiken en beveiligen van persoonlijke informatie. Naleving van elk van deze principes moet niet worden gezien als een last of slechts als een middel om een boete te vermijden, maar de mogelijkheid om echte klant- en zakelijke voordelen te genereren. Een belangrijk principe is bijvoorbeeld om de hoeveelheid gegevens die u opslaat te beperken tot de meest kritische. Gegevensopslag heeft een prijs, dus als u ervoor kiest alleen op te slaan wat u nodig heeft, kunt u de kosten laag houden. Een ander principe is rond doelbinding; gegevens mogen alleen om legitieme redenen worden verzameld. Herziening van welke gegevens u verzamelt en waarom discussies kan openen over hoe gegevens beter kunnen worden gebruikt in het hele bedrijf, van marketing tot productontwikkeling. En een ander principe is de nauwkeurigheid van gegevens. Rigoureus omgaan met de nauwkeurigheid van uw gegevens helpt niet alleen bij de naleving, maar zorgt ervoor dat verkoopteams zijn uitgerust met de nieuwste informatie. Er zijn nog meer principes waaraan moet worden voldaan, maar over het algemeen wordt duidelijk dat als een bedrijf controle, zichtbaarheid en vertrouwen heeft in de wijze waarop het zijn gegevens beheert, het waarschijnlijk veel efficiënter en met succes zal werken.
Door Forcepoint te gaan gebruiken kan men beter de controle en zichtbaarheid van de persoonsherleidbare gegevens in kaart brengen en dit dankzij hun unieke software eigenschappen zoals hieronder beschreven:
* Human Point system: Eind vorig jaar lanceerde Forcepoint meer dan 40 nieuwe hardware- en software-functies in zijn producten, met oog op het beter begrijpen van user behavior en dataverkeer in bedrijven of overheidsinstanties zodat snel risico’s kunnen worden opgespoord en aangepakt. Die mogelijkheden werken samen als een intelligent ‘Human Point System’, met als doel de menselijke aspecten te beschermen als personen data communiceren via ongelijksoortige netwerken.
* Privacy: Aangezien het ‘human point system’ het gedrag van werknemers op de werkvloer monitort en traceert, moet men zich vragen stellen op gebied van privacy en rekening houden met het internationale wetten.
* Cloud: Veel organisaties ondernemen stappen om naar de cloud over te schakelen en daarmee gaan veel uitdagingen gepaard. Er bestaan immers verscheidene soorten cloud met verschillende configuraties die worden verstrekt door verschillende providers. Bovendien zijn er ook verschillen naargelang de voordelen en risico’s. Bedrijven moeten zich dus geen ja/nee-vragen stellen, maar afvragen hoe IT-uitdagingen kunnen worden opgelost met een specifieke cloud, wanneer en in welke volgorde workloads moeten worden gemigreerd, en welke provider de meest robuuste en flexibele cloud oplossing biedt.
Voorkomen is beter dan genezen
Medewerkers zijn vaak de grootste troef van een organisatie, maar ook de meest onderbenutte hulpbron. Het menselijke risico binnen een organisatie van vandaag is reëel en onmiddellijk, met steeds meer schendingen van de privacy als gevolg van onder andere gestolen inloggegevens. Het effectief beschermen van de gegevens vereist een verandering in mindset, d.w.z. het overschakelen van een preventieve veiligheidsaanpak naar een op de mensgerichte benadering.
Jo Buysschaert ““Door middel van onze Data Leak Prevention (DLP) Incident Risk Ranking die zich opbouwt door middel van van een statistisch data model en de gebruikers gedrag baseline, kunnen we de intentie van de gebruiker trachten te achterhalen en hierop gepast anticiperen””
De mensgerichte beveiligingsbenadering is gericht op gebruikersgedrag en -intentie, niet alleen op bedreigingen. Het is een manier van beveiliging die kan worden afgestemd op de unieke identiteit en intentie van een individuele gebruiker door een context te bieden voor activiteit en abnormaal gedrag te signaleren. Zoals altijd is voorkomen beter dan genezen. Maar als het gaat om gegevensbeveiliging is dit gemakkelijker gezegd dan gedaan. Een zorgeloze houding ten opzichte van gegevensbescherming op de werkplek, in combinatie met de vermenging van ons werk en persoonlijke informatie op diverse apparaten en het groeiende gebruik van Clouddiensten, heeft traditionele netwerkperimeters doen verdwijnen en de zichtbaarheid van gegevens sterk verminderd. Het is nu belangrijker dan ooit voor ondernemingen en overheidsorganisaties om een mensgerichte beveiligingsbenadering te volgen om de identificatie en reactie op risico’s in realtime te ondersteunen en daardoor strenge security controles van medewerkers mogelijk te maken.
Tim Hoesfloot “er zijn drie belangrijke data beveiligingsaspecten:
1. Het gedrag van de gebruiker. Dit moet continue geëvalueerd worden en afgezet tegen eigen standaard gedrag of het gedrag van de collega’s. Dit heeft vervolgens invloed het individuele risico profiel en dus op toegangsrechten op het netwerk en gebruiksrechten van gevoelige data.
2. Het in kaart brengen van de locatie van gevoelige data zoals persoonsgegevens, Intellectual Property, financiële data. Dit doen we door middel van een ‘Crawler’ die het netwerk, de aangesloten apparatuur en ook cloud storage onderzoekt gebaseerd op gewenste polices.
3. Door midel van policies in DLP en CASB de gevoelige data beschermen, op de momenten dat de gebruiker die data wil bekijken of bewerken.“
Bereid uw voor op GDPR voor het te laat is.
Er is nog steeds tijd om zaken gereed te maken voor de nieuwe wetgeving inzake de bescherming van persoonlijke gegevens. Beoordeel de werkelijke impact van deze wetten op uw bedrijf. Elk bedrijf zal op een andere manier worden beïnvloed, afhankelijk van hoe ze omgaan met gegevens en welke gegevens ze verwerken. Zodra u heeft vastgesteld hoe u wordt beïnvloed, moet u duidelijk zijn over de prioriteiten om te zorgen voor naleving en preventie.
Jo Buysschaert “Risico’s bepalen en adaptieve Policies toepassen dankzij onze Data Leak Prevention (DLP) maken dat data management key is geworden om te kunnen voldoen aan de GDPR”
Het is in deze fase nuttig om strategisch te denken over gegevensstromen in uw bedrijf. hoe kunt u zicht krijgen over de stroom van gegevens in en uit uw bedrijf?
bereid u voor op het onvermijdelijke. Zorg voor een plan dat voldoet aan de regels om te reageren en om gegevens te beschermen, ook na een datalek en dit binnen een korte tijdsspanne.
Ten slotte zullen bedrijven die GDPR als een kans zien, degenen zijn die eerder slagen. Dit is uw kans om een overtuigende businesscase te bouwen om gegevensbescherming onder controle te krijgen, want hoe sneller u eraan kunt beginnen, hoe sneller u de vruchten zult kunnen plukken.
Meer informatie over GDPR en Forcepoint kan u vinden in de GDPR Product mapping Overview white paper