Wees voorbereid op de GDPR!

0

De General Data Protection Regulation (GDPR) van de Europese Unie wordt alom gezien als ’s werelds strengste privacyrichtlijn. Deze ‘algemene verordening gegevensbescherming’ gaat op 25 mei 2018 van kracht. Dit zorgt voor ingrijpende veranderingen in de manier waarop organisaties persoonsgegevens verzamelen en verwerken. Het dwingt het bedrijfsleven en de publieke sector om hun processen voor het beheer van persoonsgegevens tot in detail te evalueren.

De GPDR maakt tevens een einde aan het motto ‘een boete betalen is goedkoper dan het naleven van de richtlijnen’. Bedrijven die niet aan de regels voldoen, lopen namelijk de kans op een boete die kan oplopen tot 20 miljoen euro of 4 procent van hun wereldwijde omzet.

Het doel van de GDPR is om EU-burgers meer zeggenschap te geven over de manier waarop hun persoonsgegevens worden verzameld en verwerkt. Dit heeft ingrijpende gevolgen voor elke organisatie die persoonsgegevens van EU-burgers in beheer heeft. Aangezien de GDPR in minder dan een jaar tijd van kracht gaat, moeten bedrijven zich met spoed voorbereiden om te voorkomen dat ze tot de eerste bedrijven behoren die een boete krijgen opgelegd.

Uitdagingen

De gezapige houding van bedrijven vormt een van de grootste obstakels voor GDPR-compliance. Veel organisaties hebben nog altijd geen passende processen, training en technologie geïmplementeerd. Hoewel het nog niet te laat is, wordt de situatie er niet veel beter op nu CIO’s wijs moeten zien te worden uit de soms voor meerdere uitleg vatbare en technisch veeleisende richtlijnen in aanloop naar de deadline van 25 mei 2018.
Tegelijkertijd worstelen wereldwijd actieve bedrijven met de vraag hoe ze hun processen gelijk kunnen trekken nu twee van hun grootste markten, de VS en EU, twee tegenovergestelde richtingen inslaan op het gebied van databescherming en privacy. Zo heeft president Trump opdracht gegeven om de maatregelen voor de bescherming van persoonsgegevens, die door zijn voorganger Obama werden geïntroduceerd, te schrappen. Hoewel deze maatregelen minder stringent waren dan de GDPR, zouden ze bedrijven diverse verplichtingen hebben opgelegd ten aanzien van het gebruik van persoonsgegevens.

Een nog zorgwekkendere ontwikkeling is dat het privacyschild nu misschien ook op de schopstoel zit. Dit dataverdrag tussen de EU en VS was in het leven geroepen om een einde te maken aan zorgen rond de opslag van persoonsgegevens van EU-burgers door bedrijven en clouddiensten in de Verenigde Staten. Zonder dit privacyschild zouden bedrijven in de EU niet langer niet langer een beroep kunnen doen op bedrijven in de VS voor de opslag en verwerking van persoonsgegevens zonder daarmee de GDPR te overtreden.

Wat te doen?

Wat er ook in de Verenigde Staten gebeurt, bedrijven die zakendoen in de EU moeten nagaan hoe ze het beste kunnen omgaan met de meer uitdagende bepalingen en principes van de GDPR. Deze omvatten onder meer het ‘recht om te worden vergeten’, databescherming/privacy door ontwerp, het voortdurend waarborgen van de geheimhouding, integriteit, beschikbaarheid en veerkracht van data, het melden van datalekken binnen 72 uur, het principe van dataminimalisatie, gegevensoverdracht en de overdraagbaarheid van data.

Om GDPR-compliant te worden, moeten bedrijven gebruikmaken van effectievere en stringentere procedures voor databescherming en informatiebeveiliging. Een belangrijke eerste stap is om inzicht te verwerven in hoe en waar persoonsgegevens worden verzameld, gebruikt en opgeslagen (op locatie of in de cloud), welke systemen gebruikmaken van deze gegevens en wie er toegang toe heeft. Sommige bedrijven zijn van mening dat applicaties eenvoudiger te beheren zijn, en dat ongestructureerde data de grootste uitdaging vertegenwoordigt. Ongestructureerde data wordt doorgaans al snel verspreid over interne systemen en laptops, en opgeslagen of ‘gelekt’ naar clouds van externe leveranciers en de persoonlijke mobiele apparatuur van werknemers.

Hoewel het vanuit het oogpunt van GDPR-compliance eenvoudiger mag lijken om gestructureerde data binnen applicaties te beheren, zullen grote ondernemingen met een lappendeken aan applicaties nog een hoop werk moeten verzetten. Daarnaast moeten ze ook overeenstemming met de richtlijn waarborgen voor ongestructureerde data op bestandsservers, in e-mailtoepassingen en op endpoints van honderden of zelfs duizenden gebruikers. Dit is een nijpend probleem, omdat ongestructureerde data doorgaans bijna 80 procent van alle bedrijfsgegevens vertegenwoordigt. Hoe kunnen bedrijven nu precies voor GDPR-compliance zorgen als zij over een dergelijk groot aantal ongelijksoortige oplossingen voor databeheer beschikken?

Simpele aanpak

Veel bedrijven hebben besloten om hun bedrijfskritische processen op het gebied van databescherming, compliance en discovery te verenigen binnen één geïntegreerd dataplatform. Deze aanpak biedt een helder overzicht van alle applicaties en ongestructureerde data die in huis is. Dit helpt om aan de belangrijkste eisen van de GDPR te voldoen en bij de toezichthouder aan te tonen dat alles op orde is.
Zodra processen voor het gegevensbeheer door één platform worden afgehandeld, is het mogelijk om een contentindex in te richten voor alle data; iets wat onmogelijk is met losstaande oplossingen. Dit biedt een solide basis voor information-governance en de mate van inzicht en grip die nodig zijn om te voldoen aan de strengere eisen van de GDPR ten aanzien van persoonsgegevens.

Een dergelijk geïntegreerde benadering biedt een bedrijfsbreed overzicht van de locatie van persoonsgegevens. Dit maakt het mogelijk om controlemechanismen te optimaliseren, processen zoveel mogelijk te consolideren, en beveiligingsmaatregelen op prioriteit in te delen. Daarnaast kunnen organisaties snel reageren op verzoeken om toegang tot persoonsgegevens. Dit maakt het ook mogelijk om beleidsregels voor het bewaren van data automatisch toe te passen binnen het complete datalandschap. Een groot voordeel hiervan is dat het de risico’s rond data op endpoints sterk terugdringt. Mogelijkheden voor gegevensanalyse zorgt ervoor dat het juiste niveau van beveiliging wordt toegepast op gevoelige informatie en dat de omvang van een eventueel beveiligingsincident veel sneller kan worden vastgesteld. Als data opzettelijk wordt beschadigd of vernietigd, is het belangrijk dat een snel herstel mogelijk is met het oog op de beperkte meldingsperiode voor beveiligingsincidenten. Of het nu gaat om data op locatie of in de cloud.

Haalbare kaart

De GDPR gaat over minder dan een jaar van kracht. Bedrijven staan daardoor onder toenemende druk om te zorgen voor overeenstemming met de nieuwe richtlijn. Hoewel dit een overweldigende taak kan lijken, is het realiseren van GDPR-compliance een haalbare kaart. Niemand wil immers de primeur om als voorbeeld te worden gesteld voor wat er gebeurt met ondernemingen die zich niet aan de regels houden.

Rens Koopman is CEO bij Commvault Benelux.

Commvault

Commvault is leverancier van oplossingen voor databescherming en informatiemanagement. Het helpt bedrijven over de gehele wereld bij het activeren van hun data om meerwaarde te genereren en nieuwe inzichten op te doen, en bij het transformeren van moderne dataomgevingen. Met oplossingen en diensten die zowel direct als door een netwerk van partners en serviceproviders worden geleverd, beschikt Commvault over een van de grootste portfolio’s ter wereld op het gebied van databescherming en -herstel, cloud, virtualisatie, archivering, en filesync en share. Commvault wordt onderscheiden door zowel klanten als derde partijen op het gebied van technologische visie, innovatie en het vervullen van zijn rol als onafhankelijk en betrouwbaar expert. Doordat het geen belangen in hardware heeft of andere zakelijke verborgen agenda’s, kan Commvault zich volledig richten op datamanagement. Verschillende bedrijven – van klein tot groot en in verschillende sectoren – vertrouwen daarom op de oplossingen van Commvault, zowel on-premise, op verschillende mobiele platforms, naar en van de cloud, en als as-a-service. Commvault heeft wereldwijd meer dan tweeduizend medewerkers in dienst, is Nasdaq-genoteerd (CVLT) en heeft zijn hoofdkantoor in Tinton Falls, New Jersey, in de Verenigde Staten. Ga voor meer informatie over Commvault en hoe het bedrijf u kan helpen uw data voor u te laten werken naar commvault.com.