13 apr. 2018

6 mythes over GDPR waar organisaties intrappen

Zoals de meesten onder ons intussen weten, wordt de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) binnenkort van kracht. Vanaf 25 mei worden organisaties die onder het mandaat vallen in theorie onderworpen aan deze strenge wetgeving inzake gegevensbescherming en kunnen ze zware sancties krijgen als ze niet hieraan voldoen.

Het is je vergeven als je nog steeds denkt dat GDPR niet voor jouw bedrijf geldt omdat het buiten de EU gevestigd is. Ik zeg dit omdat er momenteel heel wat mythes over GDPR de ronde doen, zoals de invloed die deze verordening zal hebben op bedrijven in de VS of bedrijven in de UK na brexit.

In dit artikel zal ik de zes meest voorkomende mythes over GDPR proberen te ontkrachten en je een idee proberen te geven van hoe u zich beter kunt voorbereiden voor 25 mei 2018. Eerst zal ik uitleggen wat GDPR precies inhoudt en waarom deze werd ingediend.

Een kort overzicht van GDPR

GDPR werd om twee belangrijke redenen ingediend. Eerst en vooral is de huidige wetgeving inzake gegevensbescherming in de EU verouderd. Sinds 1995, het moment dat deze werd ingevoerd, is de EU enorm geëvolueerd. Hoewel dat een goede zaak is voor globalisering, is het heel moeilijk om gegevensbescherming in de praktijk te brengen omdat elke lidstaat de verordening op zijn eigen manier interpreteert. Ten tweede is de technologie enorm veranderd en brengt dat nieuwe uitdagingen op het gebied van gegevensbescherming met zich mee, waaronder cloud computing, mobiele toestellen, social media en nog veel meer.

GDPR bepaalt dat organisaties moeten weten welke gegevens ze bewaren, wie er toegang toe heeft en waar deze zich bevinden. De verordening verwijst hoofdzakelijk naar PII (persoonlijk identificeerbare informatie). Deze omvat onder andere kaartnummers, gegevens betreffende sociale zekerheid en namen.

GDPR wil mensen meer inspraak geven over hoe hun gegevens bewaard en verwerkt worden en de beveiliging van PII verbeteren, ongeacht waar deze gegevens naartoe worden verzonden.

Zo, dan kunnen we nu verdergaan met enkele veel voorkomende mythes over GDPR waar organisaties nog steeds intrappen.

Mythe 1. GDPR heeft alleen invloed op bedrijven in de EU

Dat is een mythe die gemakkelijk ontkracht kan worden. De reikwijdte van GDPR wordt wel eens "exterritoriaal" genoemd. Als een organisatie, ongeacht haar locatie, de persoonlijke gegevens van EU-burgers verwerkt of bewaart, dan is die organisatie gebonden aan deze verordening.

Voor bedrijven buiten de EU die de gegevens van een EU-burger verwerken, betekent dit dat ze zich waarschijnlijk moeten voorbereiden voor GDPR (ongeacht waar ze gevestigd zijn). Dit brengt normaal geen enorme veranderingen met zich mee, omdat de meeste bedrijven wereldwijd al gebonden zijn aan vergelijkbare wetgeving, zoals het EU-US Privacy Shield in de VS (dat onlangs de Safe Harbor-overeenkomst verving).

Mythe 2. GDPR gaat enkel over de boetes

Deze mythe zou het resultaat kunnen zijn van de paniekzaaierij die veel organisaties gebruiken om mensen te doen nadenken over conformiteit met GDPR. Er worden inderdaad hoge financiële boetes opgelegd voor niet-conformiteit, gaande van ca. 25 miljoen dollar tot 4% van de jaaromzet (afhankelijk van welke het hoogst is). Maar daar gaat GDPR eigenlijk niet over.

Deze hoge potentiële boetes komen erg dreigen en zelfs surrealistisch over, omdat ze voor goede krantenkoppen zorgen, maar door hierop te focussen missen we de echte doelstelling van de verordening. GDPR is bedoeld om de consument en het grote publiek centraal te plaatsen bij gegevensbeveiliging.

Als bekend raakt dat jouw bedrijf niet conform is, kan dat bovendien veel grotere gevolgen hebben dan een eenvoudige geldboete. Jouw reputatie kan beschadigd worden en dat kan ook gevolgen hebben voor het vertrouwen van jouw klanten.

Mythe 3. GDPR is vooral bedoeld als bescherming tegen externe aanvallen

Veel nieuwsberichten over recente gegevenslekken focussen op externe aanvallen omdat deze voor de grootste en meest sensationele koppen zorgen. Een voorbeeld hiervan is Uber, het wereldwijde taxitechnologiebedrijf, dat eind 2017 bekendmaakt dat het gehackt werd en dat de persoonlijke gegevens van 57 miljoen Uber-gebruikers en -chauffeurs gestolen werden.

Dit soort verhalen worden bijna altijd opgepikt door de algemene pers omdat de "hackercultuur" steeds populairder wordt. Dit toont echter niet de volledige kant van het verhaal en dit is zeker niet het enige waartegen GDPR wil beschermen.

Volgens een onderzoek van het Ponemon Institute naar de kosten van een gegevenslek in 2017, waren kwaadaardige of criminele aanvallen verantwoordelijk voor slechts 47% van de gegevenslekken. Dat betekent dat de meerderheid van de gegevenslekken het gevolg zijn van menselijke fouten en systeemstoringen. Deze onopzettelijke fouten die worden gemaakt bij het omgaan met gevoelige gegevens, moeten worden aangepakt en GDPR zal er hopelijk voor zorgen dat dit soort fouten minder voorkomt.

Mythe 4. GDPR wil enkel bedrijven straffen

De ICO (Information Commissioner’s Office) – een organisatie verantwoordelijk voor het handhaven van informatierechten in de UK – legt niet snel boetes op. Tijdens de periode 2016/2017 waren er 17.300 gevallen van niet-conformiteit en kregen slechts 16 organisaties een boete. De doelstelling van GDPR is niet om van deze bedrijven voorbeelden te maken, maar om de privacy en bescherming van jouw klanten op de eerste plaats te zetten.

Ik ben er zeker van dat in enkele gevallen organisaties gestraft zullen worden vanwege grove niet-conformiteit en dat hier veel over geschreven zal worden, maar ik verwacht dat dit eerder de uitzondering dan de norm zal zijn.

GDPR wil de manier van denken veranderen – zakendoen en tegelijk voldoende aandacht besteden aan de veiligheid en beveiliging van uw klanten en burgers.

Mythe 5. GDPR is overbodig

Ik heb het al hierover gehad, maar omdat deze mythe zo hardnekkig is herhaal ik ze hier graag. Er bestaat een misverstand dat GDPR overbodig is omdat er in Europa al strenge wetten inzake gegevensbescherming van kracht zijn. Dit vloeit voort uit een frustratie dat GDPR implementeren ongetwijfeld een invloed zal hebben op de middelen van organisaties.

GDPR is een noodzakelijke update van een oude en verouderde regelgeving die gebaseerd is op de belangrijkste bestaande thema's – transparant zijn, ervoor zorgen dat gegevens veilig zijn en de klant eerst plaatsen. Dat zijn allemaal dingen die organisaties eigenlijk al zouden moeten doen.

Men maakt zich ook zorgen dat GDPR vooral kmo's zwaar onder druk zal zetten. De ICO blijft er echter van overtuigd dat de taak van conformiteit in verhouding is tot het risico. Dat betekent dat kmo's met beperkte middelen en tijd voor het implementeren van GDPR niet op dezelfde manier behandeld zullen worden als multinationals.

Mythe 6. GDPR is enkel een probleem voor het IT-team

Dit heeft niet alleen betrekking op GDPR, maar op gegevensbescherming in het algemeen. Het woord "gegevens" is een modewoord geworden dat uitsluitend betrekking heeft op IT. Problemen met gegevensbeveiliging worden vaak gewoon doorgeschoven naar de IT-afdeling. In de realiteit dwingt gegevensbescherming (en de AVG in het bijzonder) organisaties tot samenwerking tussen verschillende afdelingen om conform te kunnen werken.

Om volledig te kunnen begrijpen waar persoonlijke gegevens zich bevinden, vanwaar ze afkomstig zijn, wie ze gebruikt, hoe ze gebruikt worden en nog meer, is informatie van verschillende afdelingen nodig. Je moet de volledige organisatie vertrouwd maken met best practices om te voldoen aan GDPR om te kunnen voldoen aan de strenge vereisten.

Hoe kan jouw bedrijf zich voorbereiden?

Als je nu pas voor het eerst beseft dat GDPR op jullie van toepassing is en dat jullie zich moet voorbereiden, is het niet meer dan normaal dat dit je een beetje afschrikt. Wees niet bang. Er bestaan talloze betaalbare en gebruiksvriendelijke auditoplossingen die je de vereiste informatie over gevoelige gegevens in jouw bedrijf kunnen bezorgen.

Over de auteur

Philip Robinson is een in Londen gevestigde marketingprofessional met uitgebreide ervaring in bloggen over cyberbeveiliging, conformiteit en publicaties met betrekking tot IT-audits. Hij behaalde een BA Honours van de University of Southampton en schrijft in zijn vrije tijd regelmatig informatieve en educatieve blogs over de wereld van de informatiebeveiliging.

Momenteel leidt hij de marketingafdeling van Lepide, een wereldwijde aanbieder van IT-beveiligings- en conformiteitsoplossingen, en houdt hij zich graag bezig met het produceren van nuttige content bedoeld om IT-professionals op te leiden. Wanneer hij niet schrijft, is Phil een enthousiaste voetballer die graag reist.

Over Lepide

lepide logo

Lepide is een wereldwijde aanbieder van oplossingen voor IT-audits en monitoring die organisaties helpen om hun beveiliging te verbeteren, IT-activiteiten te stroomlijnen en te voldoen aan conformiteitsvereisten. Het bedrijf heeft zijn hoofdkantoor in Austin, Texas, en heeft kantoren in Londen en New Delhi. Lepide richt zich op middelgrote en grote organisaties in vier belangrijke sectoren: financiën, gezondheidszorg, onderwijs en de openbare sector.

Hun vlaggenschip, LepideAuditor, bestaat uit een enkele console waarmee IT-professionals belangrijke lokale en cloudplatformen kunnen controleren, monitoren en beheren (inclusief Active Directory, File Server, Office 365 en nog meer). De tracerings- en waarschuwingsfuncties helpen bij het rapporteren over alle aspecten van bestands-/mappenactiviteiten, huidige machtigingen en wijzigingen van machtigingen.

Opmerking: Dit blogartikel werd geschreven door een externe medewerker om onze lezers een gevarieerder aanbod te geven. De standpunten die worden uiteengezet in dit artikel van een externe medewerker zijn enkel die van de medewerker en komen niet noodzakelijk overeen met die van GlobalSign.

Share this Post

Schrijf je in voor onze blog

Bekijk de Privacy Policy van GlobalSign