Over iets minder dan een jaar treedt op 25 mei 2018 de Europese Algemene Verordening Gegevensbescherming (GDPR) in werking. Particulieren zullen het recht hebben om op verzoek uitgebreide informatie over de verwerking van hun persoonsgegevens te ontvangen van bedrijven waaraan zij hun gegevens in het kader van een zakelijke relatie hebben toevertrouwd. De bedrijven zullen dan op hun beurt worden onderworpen aan de controle van overheidsinstanties, waardoor zij niet alleen voor veiligheid, maar ook voor transparantie in hun gegevensverwerkingsprocedures moeten zorgen.
Bedrijven hebben een bijzondere verantwoordelijkheid als het gaat om het gebruik van cloud-toepassingen. Hoewel de GDPR voorziet in een gedeelde verantwoordelijkheid tussen cloudgebruikers en cloudproviders, zijn het uiteindelijk de bedrijven die de cloud gebruiken die verantwoordelijk worden gehouden. Als zogenaamde verwerkers vervullen zij min of meer de rol van poortwachters tussen hun klanten en de cloud providers. Volgens de GDPR is het nu hun verantwoordelijkheid om ervoor te zorgen dat alle verzamelde gegevens alleen worden verwerkt op de manier waarmee hun klanten en gebruikers vooraf expliciet hebben ingestemd.
Dit is een grote uitdaging, aangezien niet alle bedrijven de middelen hebben om zich gemakkelijk aan deze rol aan te passen. Om de cloud in de resterende 12 maanden veilig te maken, moeten bedrijven daarom momenteel de volgende punten in overweging nemen:
Inhoudsopgave
1. gecoördineerd “zoeken” naar bedrijfsgegevens
Om de IT-infrastructuur van het bedrijf in overeenstemming te brengen met de GDPR, werkt IT meestal nauw samen met verschillende afdelingen en het management om een proceduredirectory op te stellen, d.w.z. een overzicht van de verwerkingsprocedures van alle soorten verzamelde gegevens – bijvoorbeeld persoonsgegevens, inhoudsgegevens of verkeersgegevens. Persoonsgegevens zijn niet alleen informatie over de persoon, maar ook andere gegevens die een natuurlijke persoon identificeerbaar maken, zoals het IP-adres. Voor bedrijven die van plan zijn over te stappen naar de cloud of dat al hebben gedaan, betekent dit dat zij eerst moeten bepalen wat voor soort klantgegevens in de dagelijkse activiteiten hun weg vinden naar de cloud en, last but not least, hoe deze daar worden beschermd. Contentgegevens kunnen bijvoorbeeld worden uitbesteed aan e-mailcloudtoepassingen, of verkeersgegevens kunnen daarheen gaan via bepaalde tools voor websiteanalyse.
Afhankelijk van de capaciteiten en personeelsbelasting in het bedrijf, is het zeker geen eenvoudige klus om uit te zoeken in hoeverre welke gegevens naar de cloud zullen migreren of al zijn gemigreerd. Maar iemand moet het doen, of anders gezegd: iemand moet de verantwoordelijkheid nemen. Het is belangrijk om alle relevante bedrijfsmanagers bij het proces te betrekken. Maar om diffusie van verantwoordelijkheid te voorkomen, moeten deze inspanningen worden gecoördineerd. Het is te laat om aan de vooravond van de GDPR het procedureoverzicht en alle gerelateerde processen – bijvoorbeeld het verkrijgen van toestemming van klanten – opnieuw te veranderen vanwege een nieuw ingevoerde cloud-applicatie. Daarom moet de door de GDPR vereiste eigen functionaris voor gegevensbescherming van het bedrijf in een vroeg stadium worden aangesteld en idealiter worden belast met de coördinatie van de voor de GDPR relevante processen.
2. de gegevensverwerking door de cloud providers in kaart brengen
Zodra het procedureoverzicht is opgesteld, moet men zijn cloud providers vragen hun procedureoverzicht te overhandigen. Ter vergelijking kan worden vastgesteld in hoeverre het soort verwerking en ook de beveiligingsnormen overeenkomen met die van het bedrijf of, in het omgekeerde geval, in hoeverre deze verder gaan en of hiervoor uitgebreide toestemming van de klanten moet worden verkregen. Volgens de resultaten moet het privacybeleid van de onderneming worden aangepast.
De GDPR voorziet ook in certificering van cloud providers. Het niveau van gegevensbescherming en -beveiliging van een provider zou via verschillende keurmerken betrouwbaar moeten worden weergegeven. Er zijn echter nog geen uniforme normen vastgesteld en de certificering is vrijwillig. Aangenomen mag worden dat keurmerken op termijn inderdaad een concurrentiecriterium voor cloudaanbieders zullen worden. Maar het is niet te voorzien of alle cloud providers dit op tijd voor de inwerkingtreding van de DSGVO zullen implementeren. Om op tijd aan de veilige kant te zijn, moeten bedrijven er niet op vertrouwen dat het simpelweg kijken naar een keurmerk hen veel moeite zal besparen. In plaats daarvan moeten zij de gegevensverwerkingsprocedures van hun cloudproviders grondig controleren en ook letten op de gebruikte beveiligingsfuncties, zoals datalekpreventie (DLP). Gezien de dreiging van boetes die bedrijven kunnen krijgen als de door hen gekozen cloudaanbieders onvoldoende due diligence betrachten, is het de moeite waard om uiterst consciëntieus te werk te gaan bij het beoordelingsproces.
3. vermijd schaduw-IT en train werknemers voor de GDPR
Met de veranderingen als gevolg van de GDPR moeten bedrijven ook beter opletten welke medewerkers van het bedrijf toegang hebben tot welke soorten gegevens en vooral vanaf welke apparaten. Het moet zoveel mogelijk worden uitgesloten dat werknemers bijvoorbeeld na het werk vanaf een niet-beveiligd privéapparaat toegang hebben tot belangrijke klant- en bedrijfsgegevens en deze naar believen kunnen opslaan of bewerken met andere cloud-applicaties. Evenzo moeten alle werknemers ervan bewust worden gemaakt dat als een bedrijfskritische dienst uitvalt – bijvoorbeeld als de e-mailserver uitvalt – zij in de tussentijd niet kunnen overschakelen op andere privé-e-mailaccounts of andere vrij beschikbare diensten om toch dringende correspondentie met hun klanten af te handelen. Voor dergelijke gevallen moet de gevoeligheid van de werknemers voor gegevensbeveiliging worden aangescherpt en moeten gedragsregels worden opgesteld. Dergelijke voorzorgsmaatregelen vergen soms de steun van de functionaris voor gegevensbescherming en het management. Ook technische voorzorgsmaatregelen, zoals het versleutelen van cloudgegevens en het beveiligen van alle mobiele apparaten van het bedrijf, kunnen dergelijke risico’s tot een minimum helpen beperken. Het is ook nuttig om een rechten-rollenconcept te ontwikkelen om de toegangsrechten te segmenteren en de toegang van gebruikers tot gevoelige gegevens te beperken.
De GDPR creëert een Europese standaard voor gegevensbescherming in het digitale tijdperk. Hoe de rechtspraak zich in de loop hiervan zal ontwikkelen voor cloud providers en cloud-gebruikende bedrijven valt in de praktijk nog te bezien. Voorlopig is de invoering van GDPR-conforme processen een grote uitdaging voor bedrijven – voor sommigen meer, voor anderen minder. Maar op de lange termijn biedt het bedrijven ook de kans om zich met hun gegevensverwerkingsbeleid te onderscheiden van hun concurrenten en hun klantenbestand uit te breiden. Het loont dus om vanaf het begin zorgvuldig om te gaan met de beveiliging van klantgegevens, zowel binnen de eigen bedrijfs-IT als in de cloud.
Eduard Meelhuysen, Vice President Sales EMEA, Bitglass