Strenge EU-dataregels
De klok tikt onverbiddelijk door: over krap een jaar gaan Europese regels voor databescherming EU-breed in. Forse veranderingen, een strenge meldplicht voor datalekken, dreigende boetes, maar ook: nieuwe kansen met nieuwe kaarten.
“De GDPR wordt gezien als een grote bedreiging, maar het is eigenlijk wat we allang hadden moeten doen”, verzucht Tim Grieveson, chief cyber & security strategist bij HPE. De General Data Protection Regulation – in het Nederlands Algemene Verordening Gegevensbescherming (AVG) – wordt door bedrijven echter gezien als een zaak van compliance. Terwijl de aankomende EU-regels voor databescherming veel meer inhouden dan slechts vereisten die kunnen worden afgevinkt.
Zinniger storage
“Het is ook een zaak van efficiency én van nieuwe inkomsten, nieuwe businessmogelijkheden”, draait Grieveson het beeld om. Hij is niet de enige met deze positieve boodschap. EU-politicus Andrus Ansip, vice-president voor de Digital Single Market, zei iets soortgelijks al eind 2015: “Privacy en databescherming vormen geen belemmering voor economische activiteiten, eerder een essentieel concurrentievoordeel.”
Volgens Grieveson dwingt GDPR juist positieve elementen af voor datarationalisatie en security-optimalisatie. “Veel bedrijven bewaren veel data, zo niet alles”, weet de securitytopman. “Organisaties verslikken zich daarin. De GDPR stimuleert bedrijven om minder op te slaan. Minder is echt meer in dit geval. Waarom zou je iets bewaren als je het juridisch niet hóeft op te slaan?” Dit betekent niet dat data op grote schaal de prullenbak in kan, maar wel een betere onderbouwing waarom data wel moet worden bewaard. Zinniger storage versus de huidige databergen is meer dan een opslagkwestie, het is ook een securityzaak. Want aanvallers doen ook aan business. Daarbij doen ook de bad guys aan combineren, verrijken en delen. De hamvraag is dus: Wat is wanneer waardevol?
Positieve neveneffecten
Data beter op orde hebben, betekent meer inzicht in data. Grieveson noemt als voorbeeld een telecombedrijf dat dankzij hun GDPR-compliance tot een beter klantbeeld is gekomen. Het door marketing begeerde 360-graden-klantbeeld wordt dus bereikbaar dankzij databescherming en cybersecurity.
Een ander praktijkvoorbeeld is een cloud-leverancier die dankzij GDPR tot inzichten kwam over hoe klanten hun diensten gebruiken. Vervolgens valt het aanbod, maar natuurlijk ook de salespitch, daar weer op aan te passen. Soortgelijke positieve neveneffecten gelden ook voor andere soorten organisaties in andere sectoren, zoals retail. Grieveson: “Het is een reis naar waarde”.
Praktisch reisadvies
Een praktisch advies voor deze reis is het beschermen van data “terwijl je het vindt”, draagt Grieveson aan. Dit in plaats van de vaak gehanteerde praktijk van eerst uitgebreide inventarisatie om dan “zo’n twee jaar later te gaan beschermen”. Dat gaandeweg beschermen moet dan ook gegevensversleuteling omvatten, waarbij het oorspronkelijke dataformaat wordt aangehouden (format-preserving encryption) zodat de bruikbaarheid niet wordt aangetast.
Dit kan ook helpen bij eventuele cloud-migraties, die nu mogelijk niet eens voorzien of gepland zijn. “Het werkt dus kostenoptimaliserend”, stipt Grieveson een ander neveneffect aan. Encryptie helpt overigens ook om de strenge meldingsplicht van de GDPR iets te verlichten. “Indien gestolen of uitgelekte data is versleuteld, hoeft melding aan getroffen eindgebruikers niet binnen 72 uur te worden gedaan.”
Ademruimte en beurskoers
De ademruimte die wordt verkregen, kan zowel de securityrespons als ook de beurskoers van een bedrijf helpen. Grieveson verwijst naar een zekere UK-telco die recent zijn beurskoers met 40 procent zag instorten toen het een datalek moest melden: via een werknemersaccount hadden hackers toegang gekregen tot een database met klantgegevens. Die melding werd gedaan met de bekentenis dat veel nog onbekend was over de reikwijdte van de hack die wel of niet alle 8,8 miljoen klanten heeft geraakt. Grieveson stipt met zijn Britse voorbeeld een wijdverbreid misverstand over de GDPR aan: “Het geldt niet alleen voor de EU. Want als je iets doet met data van EU-burgers, dan raakt het jou ook.” Zo reist Grieveson daags na zijn gesprek met ICT/Magazine af naar de Verenigde Staten om met een grote zorgorganisatie te praten over de aankomende EU-regels. “De GDPR staat los van Brexit en het overbrugt de EU en de VS”, waarschuwt hij.
Doordringen op C-level
Bovenstaande positieve beschouwing over de GDPR is niet bedoeld om de dreiging die erin besloten ligt te ontkennen. Maar ook daarin schuilt een lichtpuntje: “Boetes focussen de aandacht”. Daarmee dringen databescherming, privacy en cybersecurity goed door tot het managementniveau. Ondanks jarenlange inspanning is ict-security in de praktijk niet altijd een zaak op C-niveau. Grieveson wijt dit aan de opzet en inzet van beveiligingsprojecten en -producten. “Security is zelden verbonden aan concrete bedrijfsuitkomsten”, constateert hij. “Te vaak wordt security gedaan vanuit de technologie. Cybersecurity is dus moeilijk ‘te verkopen’ aan bestuurders. De boetekant van de GDPR dwingt nu de aandacht af van de CFO.”
Meer dan tech
De brede impact van de aankomende EU-regels, die vanaf mei volgend jaar van kracht zijn, zorgt voor ruime security-aandacht. Voorbij de ICT, betoogt Grieveson. “Het is geen tech-ding. Het gaat om mensen, processen en technologie”, vertelt hij, vanuit zijn jarenlange ervaring als CIO en CISO bij ict-afnemende bedrijven. “Ik heb toen nooit ‘security’ gekocht.” Daarmee geeft hij het onderscheid aan tussen beveiliging omwille van zichzelf en beveiliging in dienst van concrete bedrijfsdoelen.
Voer voor juristen
De complexiteit van de aankomende GDPR/AVG is ook voer voor juristen. De 99 artikelen die de verordening omvat, brengen nieuwe regels voor de omgang met persoonsgegevens. Adviesbureau ICTrecht behandelt dit vernieuwde regime in een uitgebreid naslagwerk, waarin elk AVG-artikel in detail wordt besproken. Terminologie en termen worden uitgelegd, nieuwe regels worden geduid en de context wordt belicht. ICTrecht belooft in dit boek praktische taal te bezigen, met concrete voorbeelden en verduidelijkende kruisverwijzingen. Het boek ‘De Algemene Verordening Gegevensbescherming (Editie 2017)’ is vooral bedoeld voor privacy-juristen en ‑advocaten. “Kennis verspreiden onder concurrenten is de beste manier om ze voor te blijven”, legt internetjurist en co-auteur Arnoud Engelfriet uit aan ICT/Magazine.
