National Security Officer van Microsoft Martin Vliem adviseert: “Maak security en privacy jouw topprioriteit”
Security zou voor iedere organisatie een speerpunt moeten zijn. Maar de praktijk is dat hier weinig budget en mankracht voor worden vrijgemaakt en dat vrijwel niemand zich druk maakt over processen en procedures. Hetzelfde geldt voor klantdata: iedereen roept dat dit de nieuwe olie is, maar de mensen in de organisatie die deze olie willen raffineren, krijgen geen budget en mandaat. Zij krijgen nu rugwind door de GDPR/AVG.
Martin Vliem is National Security Officer bij Microsoft. Hij richt zich op vraagstukken op het gebied Security, Privacy en Compliance in relatie tot de inzet van Microsoft technologie en deelt zijn ervaringen en inzichten met klanten. Hij zegt: “Het is eigenlijk raar dat bedrijven in paniek raken bij de gedachte aan de AVG, want diezelfde bedrijven zitten wel middenin een digitale transformatie. Ze onderzoeken allemaal hoe ze met behulp van technologie hun dienstverlening aan klanten kunnen verbeteren. Bijna altijd is een van de componenten hierin dat ze data van klanten gebruiken om de dienstverlening meer op maat te maken. Je zou dus zeggen dat ze zich heel erg bewust moeten zijn van de waarde die klantdata vertegenwoordigen en dat ze ook alles doen om die waarde te beschermen.”
Dat laatste is volgens Vliem de essentie van de AVG . “Als je de relatie met je klanten wilt verbeteren middels de inzet van technologie, dan lukt dat alleen als er vertrouwen is. Twee belangrijke ingrediënten van vertrouwen zijn privacy en transparantie. Wees open tegen klanten hoe je hun data gebruikt en gebruik deze data alleen om hen beter van dienst te zijn en niet om zonder hun toestemming geld te verdienen met hun privacygevoelige gegevens. In wezen is dit wat de AVG regelt.”
“De wet stelt dat je netjes moet omgaan met voornamelijk persoonsgegevens. Dat je die moet beschermen tegen onbevoegd gebruik door derden, dat je ze alleen mag gebruiken voor het doel waarvoor je ze hebt verzameld, dat je klanten inzicht geeft in hun eigen data en ze ook het recht geeft om die data aan te passen of te verwijderen.”
Tref maatregelen
Dit klinkt eenvoudig maar is het niet, geeft Vliem toe. “Het is wel een 99 artikelen tellende wet die zeer diep ingrijpt op de bedrijfsvoering van organisaties die veel klantgegevens verwerken. Natuurlijk schrikt dat af, maar de realiteit is ook dat je niet alles voor 100 procent kunt dichtzetten. Een datalek betekent niet automatisch dat je een boete krijgt opgelegd. Zo lang je maar kunt aantonen dat je dit onderwerp serieus neemt en passende maatregelen hebt getroffen. Bovendien, veel van de wetgeving is niet nieuw, die sluit aan op bestaande regelgeving in sectoren. Als je voldoet aan de huidige richtlijnen voor jouw sector en de nu geldende Wet Bescherming Persoonsgegevens, dan ben je ook een heel eind op weg met de GDPR.” Vliem wil er maar mee zeggen: zie er niet teveel tegenop. “Begin gewoon. Er is ontzettend veel informatie. Zorg dat je weet wat de wet van je verwacht en pak het stap voor stap aan.”
Multidisciplinair vraagstuk
Vliem benadrukt dat de AVG geen ‘ict-ding’ is. “Het is een businessvraagstuk, het hoort op de agenda van het bestuur te staan. En het is per definitie een multidisciplinair onderwerp waar diverse specialisten bij betrokken zijn: juristen, securityspecialisten, it’ers, procesdeskundigen, marketeers.” De AVG is op alle organisaties van toepassing, maar het belang van de wet neemt toe met de hoeveelheid persoonsgegevens die organisaties verwerken en ook de privacygevoeligheid van deze gegevens. Dat maakt dat financiële instellingen, zorgorganisaties en overheden onder een vergrootglas liggen. “Maar nogmaals”, zegt Vliem, “als zij voldoen aan bestaande wet- en regelgeving is de stap die ze nu moeten zetten niet zo heel groot.”
Zie het als kans
Vliem is persoonlijk een warm voorstander van de AVG. “Natuurlijk komt er veel op ons af en natuurlijk kost het geld om alle processen compliant te maken. Maar het is ook een kans om beter om te gaan met klantdata en daardoor betere relaties op te bouwen met klanten. Daar komt bij dat de AVG veel beter inspeelt op de huidige stand van de technologie dan de Wet Bescherming Persoonsgegevens. Die stamt uit 2001 en is gebaseerd op een Europese richtlijn uit 1995. Internet stond toen in de kinderschoenen, nog geen tien procent van de mensen had een mobiele telefoon en daarmee kon je alleen bellen. De wereld is gewoon veranderd en het is goed dat wetgeving daarbij aansluit.”
Microsoft is zelf ver op weg met het AVG -compliant maken van de eigen bedrijfsvoering en van alle (cloud)diensten, en heeft toegezegd dat de clouddiensten voor mei 2018 AVG-compliant zullen zijn. Zij delen hun opgedane kennis en ervaring graag via diverse bronnen.
Neem een kijkje op : https://enterprise.microsoft.com/nl-nl/trends/ben-jij-klaar-voor-de-avg/
AVG-compliant in vier stappen
Microsoft heeft een concreet en pragmatisch vier-stappenplan ontwikkeld dat is gebaseerd op het tien-stappenplan van de Autoriteit Persoonsgegevens. Deze laatste biedt volgens Vliem minder handvatten voor concrete implementatie, wat in het stappenplan van Microsoft wordt ondervangen.
Stap 1: Identificeren—stel vast welke persoonsgegevens je hebt en waar ze zijn opgeslagen.
Stap 2: Beheren—controleer hoe persoonsgegevens worden gebruikt en benaderd.
Stap 3: Beveiligen—stel beveiligingscontroles in om kwetsbaarheden en gegevensschendingen te voorkomen, te ontdekken en erop te reageren.
Stap 4: Rapporteren—onderneem actie op gegevensverzoeken, rapporteer inbreuk op gegevens en bewaar vereiste documentatie.
Download het volledige stappenplan op: http://fast.to/2ulEKM4
De rol van de cloud
Een veelvoorkomend misverstand is dat gebruik van de cloud een complicerende factor is in het voldoen aan de AVG. Niets is minder waar, zegt Vliem. “Het grote voordeel van de cloud is dat je applicaties en data consolideert. Dat maakt het veel eenvoudiger om na te gaan op welke plekken je persoonsdata bewaart en wat ermee gebeurt, dan wanneer die data versnipperd zijn over veel verschillende applicaties en systemen.”
Meer weten over AVG en de cloud? Lees dan het eBook ‘Versnel AVG-compliance met de Microsoft Cloud’ op https://aka.ms/gdprebook.
Tijdens de Security week van 18 september t/m 25 september verzorgt Microsoft diverse webinars over de AVG. Schrijf je vandaag nog in op: http://fast.to/2fvN9Ht.
Weet waar je staat!
Wil je inzicht krijgen in waar jouw organisatie staat, vul dan deze zelf-assessment in.