Innovatie & Strategie

Dit is een bijdrage van Commvault
Datamanagement
GDPR

Zorg voor uw data

Bij wat voor soort bedrijf u ook aan het roer staat, de kans is groot, dat data is uitgegroeid tot het middelpunt van uw bedrijfsuniversum. 

12 juni 2019
Door: Commvault, partner

Bij wat voor soort bedrijf u ook aan het roer staat, de kans is groot, dat data is uitgegroeid tot het middelpunt van uw bedrijfsuniversum. 

Hoewel data uw organisatie legio voordelen kan bieden, kan de onophoudelijke gegevensaanwas ook de nodige kopzorgen opleveren. Meer dan ooit ligt het gevaar van datalekken en gegevensverlies op de loer. En daar worden sinds de invoering van de GDPR fikse boetes voor opgelegd.

Leer uw data kennen

Data kan zorgen voor complexiteit, verwarring en verschillende problemen. Het is van belang om vragen over uw data te stellen. Welke data verzamelt u en waarom, en waar en hoe doet u dat? Biedt u de personen over wie u informatie verzamelt inzicht in dit proces, en realiseren werknemers zich dat u verantwoordelijk bent voor de data die u vergaart?

Een belangrijke valkuil is het gebruik van oude data voor nieuwe doeleinden. Ook het werken met een privacyverklaring die voor meerdere interpretaties vatbaar is en louter is bedoeld om uzelf in te dekken is onacceptabel in dit tijdperk van databescherming.

De data die binnen uw organisatie wordt gehuisvest, kan al snel tot een enorme warboel uitgroeien. Al helemaal als iedereen die toegang tot de data heeft deze ook kan gebruiken of kan wijzigen. Veel bedrijven behandelen persoonsgegevens alsof ze de eigenaar ervan zijn, echter ‘beheert’ u deze slechts. 

De GDPR is van toepassing op persoonsgegevens van alle soorten en maten. En dus ook voor persoonsgegevens die worden opgeslagen in persoonlijke apparaten, zoals laptops en smartphones. Veel bedrijven hebben echter niet door welke beveiligingsrisico’s hieraan vast zitten.

Bij datacenters wordt zelden fysiek ingebroken. Daarentegen worden regelmatig laptops en telefoons gestolen. Helaas kunnen die in verkeerde handen worden gebruikt om toegang te krijgen tot bedrijfskritische informatie. Daarmee loopt uw organisatie kans om inbreuk te maken op de GDPR. Data mapping (het in kaart brengen van alle persoonsgegevens en hun risicoprofiel) kan uw IT-afdeling meer inzicht geven in het ‘voor en na’ van een datalek. Dit maakt het ook mogelijk om effectiever de kans op een datalek of gegevensverlies en de gevolgen daarvan te voorspellen.

Ondanks alle goede zorgen, zal er vroeg of laat een beveiligingsincident optreden. IT-afdelingen moeten van het ergste uitgaan en leren van elk incident, om zich zo voor te bereiden op een volgend incident.

Mensen kun je niet ‘patchen’

Iedereen binnen uw organisatie is verantwoordelijk voor data. Helaas kun je mensen niet patchen. Er is dan ook geen snelle oplossing beschikbaar voor medewerkers die moeite hebben met data governance. Voorlichting is en blijft om de GDPR te waarborgen. Hierbij is een GDPR-training al van belang. Dit vraagt ook om een cultuur waarin medewerkers zich vrij voelen om eventuele fouten of misstanden aan te kaarten. 

Tijd voor een risico-inventaris

Zodra u weet wat voor data u in huis heeft, uw werknemers een passende training hebben gevolgd en uw verantwoordelijkheden heeft genomen voor de data die u beheert, is het tijd voor de volgende stap. Het in kaart brengen van de belangrijkste risico’s rond de data die uw organisatie verzamelt.

·      Onvoldoende overzicht – Inzicht in de locatie van data en wie daar toegang toe heeft, is van cruciaal belang. Zonder overzicht kunnen besluitvormers er nooit zeker van zijn dat informatie afdoende wordt beschermd.

·      E-mailsystemen en andere messaging-applicaties – De uitwisseling van data via e-mail en instant messaging-systemen geeft kans op gegevensverlies. Bovendien kan deze data worden onderschept. Cybercriminelen kunnen gebruikmaken van phishing-mails om werknemers over te halen om persoonlijke informatie prijs te geven of op kwaadaardige links te klikken.

·      Externe schrijven en USB-sticks – Als uw organisatie het gebruik van dit soort apparatuur toestaat, moet u ervoor zorgen dat alle data automatisch wordt versleuteld. Op die manier kunnen derden in het geval van verlies of diefstal geen data inzien. Mogelijk kunt u uw werknemers een oplossing aanbieden die het gebruik van externe apparatuur overbodig maakt.

·      Cloud computing – Als u persoonsgegevens in de cloud opslaat, is het van belang te weten wat de procedures van uw cloud provider zijn. Daarnaast is de locatie van deze partij van belang voor uw overeenstemming met de wet- en regelgeving.

De GDPR brengt uitdagingen op het gebied van mensen, processen én technologie met zich mee. Als uw mensen geen basiskennis hebben van de GDPR of de kernprincipes van databescherming kunnen toepassen, bestaat de kans dat ze onbedoeld een datalek met rampzalige gevolgen veroorzaken. En als uw processen en technologie niet aan de eisen voldoen, bestaat de kans dat u grote moeite hebt met het inwilligen van dataverzoeken van klanten. En dat kan resulteren in nog meer kopzorgen op compliance-gebied.

Het wereldwijde regelgevingslandschap verandert voortdurend, maar één ding is zeker: het is beter om nu al de benodigde verbeteringen door te voeren. Daarmee voorkomt u dat uw organisatie op een later tijdstip in grote problemen komt.

 

Reactie toevoegen