De General Data Protection Regulation (GDPR) van de Europese Unie wordt alom gezien als ’s werelds strengste privacyrichtlijn. De richtlijn, ook wel bekend als de Algemene verordening gegevensbescherming (AVG), wordt op 25 mei 2018 van kracht. De GPDR maakt een einde aan het oude motto ‘een boete betalen is goedkoper dan het naleven van de richtlijnen’.

Bedrijven die niet aan de regels voldoen, lopen namelijk het risico op een boete die kan oplopen tot 20 miljoen euro of 4 procent van hun wereldwijde omzet. Wees voorbereid: binnen een halfjaar wordt de GDPR van kracht

De GDPR zorgt voor ingrijpende veranderingen in de manier waarop organisaties persoonsgegevens verzamelen en verwerken. Het dwingt het bedrijfsleven en de publieke sector om hun processen voor het beheer van persoonsgegevens tot in detail te evalueren.

Het doel van de GDPR is om EU-burgers meer zeggenschap te geven over de manier waarop hun persoonsgegevens worden verzameld en verwerkt. Dit heeft ingrijpende gevolgen voor elke organisatie die persoonsgegevens van EU-burgers in beheer heeft. Aangezien de GDPR in minder dan een halfjaar tijd van kracht wordt, moeten bedrijven zich met spoed voorbereiden om te voorkomen dat ze tot de eerste bedrijven behoren die een boete krijgen opgelegd.

Uitdagingen

De gezapige houding van bedrijven vormt een van de grootste obstakels voor GDPR-
compliance. Veel organisaties hebben nog altijd geen passende processen, training en technologie geïmplementeerd. Hoewel het nog niet te laat is, wordt de situatie er niet veel beter op nu CIO’s wijs moeten zien te worden uit de soms voor meerdere uitleg vatbare en technisch veeleisende richtlijnen in aanloop naar de deadline van 25 mei 2018.

Tegelijkertijd worstelen internationale bedrijven met de vraag hoe ze hun processen gelijk kunnen trekken nu twee van hun grootste markten, de VS en de EU, twee tegenovergestelde richtingen inslaan op het gebied van databescherming en privacy. Zo heeft president Trump opdracht gegeven om de maatregelen voor de bescherming van persoonsgegevens, die door zijn voorganger Obama werden geïntroduceerd, te schrappen. Hoewel deze maatregelen minder stringent waren dan de GDPR, zouden ze bedrijven diverse verplichtingen hebben opgelegd ten aanzien van het gebruik van persoonsgegevens.

Privacyschild

Een nog zorgwekkendere ontwikkeling is dat het zogenoemde privacyschild nu misschien ook op de schopstoel zit. Dit dataverdrag tussen de EU en de VS was in het leven geroepen om een einde te maken aan zorgen rond de opslag van persoonsgegevens van EU-burgers door bedrijven en clouddiensten in de Verenigde Staten. Zonder dit privacyschild zouden bedrijven in de EU niet langer een beroep kunnen doen op bedrijven in de VS voor de opslag en verwerking van persoonsgegevens, zonder daarmee de GDPR te overtreden.

Wat er ook in de Verenigde Staten gebeurt, bedrijven die zakendoen in de EU moeten nagaan hoe ze het beste kunnen omgaan met de meer uitdagende bepalingen en principes van de GDPR. Deze omvatten onder meer het ‘recht om te worden vergeten’, databescherming/‘privacy by design’, het voortdurend waarborgen van de geheimhouding, integriteit, beschikbaarheid en veerkracht van data. Daarnaast moeten ondernemingen datalekken binnen 72 uur melden en geldt het principe van dataminimalisatie en regels ten aanzien van gegevensoverdracht en de overdraagbaarheid van data.

GDPR-compliant

Om GDPR-compliant te worden, moeten bedrijven gebruikmaken van effectievere en stringentere procedures voor databescherming en informatiebeveiliging. Een belangrijke eerste stap is om inzicht te verwerven in de vraag hoe en waar persoonsgegevens worden verzameld, gebruikt en opgeslagen (op locatie of in de cloud). Maar ook zullen ze moeten nagaan welke systemen gebruikmaken van deze gegevens en wie er toegang toe heeft. Sommige bedrijven zijn van mening dat applicaties eenvoudiger te beheren zijn, en dat ongestructureerde data de grootste uitdaging vertegenwoordigt. Ongestructureerde data wordt doorgaans al snel verspreid over interne systemen, op laptops opgeslagen of ‘gelekt’ naar clouds van externe leveranciers en de persoonlijke mobiele apparatuur van werknemers.

Hoewel het vanuit het oogpunt van GDPR-compliance eenvoudiger mag lijken om gestructureerde data binnen applicaties te beheren, zullen grote ondernemingen met een lappendeken aan applicaties nog een hoop werk moeten verzetten. Daarnaast moeten ze ook overeenstemming met de richtlijn waarborgen voor ongestructureerde data op bestandsservers, in e-mailtoepassingen en op endpoints van honderden of zelfs duizenden gebruikers. Dit is een nijpend probleem, omdat ongestructureerde data doorgaans bijna 80 procent van alle bedrijfsgegevens vertegenwoordigt. Hoe kunnen bedrijven nu precies voor GDPR-compliance zorgen als zij over een dergelijk groot aantal ongelijksoortige oplossingen voor databeheer beschikken?

Geïntegreerde benadering

Veel bedrijven hebben besloten om hun bedrijfskritische processen op het gebied van databescherming, compliance en discovery te verenigen binnen één geïntegreerd dataplatform. Deze aanpak biedt een helder overzicht van alle applicaties en ongestructureerde data die in huis zijn. Dit helpt om aan de belangrijkste eisen van de GDPR te voldoen en bij de toezichthouder aan te tonen dat alles op orde is.

Zodra processen voor het gegevensbeheer door één platform worden afgehandeld, is het mogelijk om een content-index in te richten voor alle data, iets wat onmogelijk is met losstaande oplossingen. Dit biedt een solide basis voor information-governance en de mate van inzicht en grip die nodig zijn om te voldoen aan de strengere eisen van de GDPR ten aanzien van persoonsgegevens.

Prioriteit

Een dergelijk geïntegreerde benadering biedt een bedrijfsbreed overzicht van de locatie van persoonsgegevens. Dit maakt het mogelijk om controlemechanismen te optimaliseren, processen zoveel mogelijk te consolideren en beveiligingsmaatregelen op basis van prioriteit in te delen. Daarnaast kunnen organisaties snel reageren op verzoeken om toegang tot persoonsgegevens. Dit maakt het ook mogelijk om beleidsregels voor het bewaren van data automatisch toe te passen binnen het complete datalandschap. Een groot voordeel hiervan is dat het de risico’s rond data op endpoints sterk terugdringt.

Mogelijkheden voor gegevensanalyse zorgen ervoor dat ondernemingen het juiste niveau van beveiliging toepassen op gevoelige informatie en dat ze de omvang van een eventueel beveiligingsincident veel sneller kunnen vaststellen. Als data opzettelijk wordt beschadigd of vernietigd, is het belangrijk dat een snel herstel mogelijk is met het oog op de beperkte meldingsperiode voor beveiligingsincidenten – of het nu gaat om data op locatie of in de cloud.

Conclusie

De GDPR is over minder dan een halfjaar van kracht. Bedrijven staan daardoor onder toenemende druk om voor overeenstemming met de nieuwe richtlijn te zorgen. Hoewel dit een overweldigende taak kan lijken, is het realiseren van GDPR-compliance een haalbare kaart. Niemand wil immers als eerste bedrijf als voorbeeld worden gesteld voor wat er gebeurt met ondernemingen die zich niet aan de regels houden.