De nieuwe EU General Data Protection Regulation is opgesteld om één lijn te trekken in de wetgeving over databescherming. Slechts 20 procent van de organisaties in de Benelux weet echter precies wat deze wetgeving voor hun organisatie gaat betekenen. 5 stappen om je goed voor te bereiden en een boete te voorkomen.

Door Tonny Roelofs, Trend Micro    

Slechts 50 procent van de organisaties in de Benelux geeft aan dat ze niet weten of, of niet denken dat het realistisch is om zich te conformeren aan de nieuwe Europese wet voor databescherming. 

Toch horen we steeds meer geluiden waaruit blijkt dat de wet snel gaat komen. Tijd dus om je alvast voor te bereiden, want de maatregelen die waarschijnlijk ingevoerd gaan worden, gaan niet over één nacht ijs. Daarom alvast 5 stappen die je kunt nemen, zodat jouw organisatie straks niet de boetes hoeft te betalen die de EU naar zeer grote waarschijnlijk ook gaat doorvoeren. 

1. Breng in kaart waar alle bedrijfsdata staan
Hopelijk is dit geen moeilijke vraag en kun je hier een exact antwoord op geven. Het zou echter zomaar kunnen zijn dat als je het precies nagaat, je toch nog voor verrassingen komt te staan. Het gaat namelijk niet alleen om digitale data, maar ook om fysieke data die ligt opgeslagen bij klanten, medewerkers of partners. Is deze data veilig, gemakkelijk toegankelijk, verzekerd en beheersbaar opgeslagen?

2. Ga na voor wie de bedrijfsdata toegankelijk zijn
Nog een aantal belangrijke vragen: wie heeft er toegang tot de data? Hoe bekijken ze de data en bekijken ze de data überhaupt? Weten ze welke gevolgen misbruik van de data heeft voor de organisatie? De meeste bedrijven groter dan 250 medewerkers zullen worden verplicht een data-officer aan te stellen die ervoor moet zorgen dat bedrijven voldoen aan de nieuwe databeschermingswetgeving en het managen van mogelijke security-issues. Het is belangrijk dat er in elke organisatie iemand aanwezig is die naast technische kennis, ook een opleiding heeft gehad over de wettelijke, procedurele en financiële implicaties van het beheren van data.

3. Bedenk de juiste procedure bij een cyberaanval
Elke organisatie moet van te voren nadenken over de procedures bij een datalek. Wie neemt contact op met de autoriteiten en wie moet er worden geïnformeerd? En als het datalek groot is, wie neemt er dan contact op met de pers en wat worden dan de statements? En hoe wordt dit nieuws vervolgens gecommuniceerd naar klanten? Maar uiteraard ook de technische kant; wat wordt er gedaan om het lek zo snel mogelijk te dichten en schade te beperken? Je wilt later immers nooit bekend komen te staan als de naïeveling die hier nog nooit eerder over heeft nagedacht.

4. Regel optimale bescherming voor de organisatie
Ook met alleen maar goede intenties kan er wel eens iets fout gaan. Er zijn immers meer dan genoeg ‘bad guys’ die maar al te graag jouw waardevolle data willen stelen. Om dit te voorkomen moet je in ieder geval zorgen voor goede beveiligingstechnologie zoals:

• Een datalekbeschermingsoplossing die sleutelwoorden in documenten en gevoelige documenten kan opsporen en ervoor kan zorgen dat deze niet zomaar worden verstuurd.
Gedegen encryptie-technologie die ervoor zorgt dat data die wordt uitgestuurd ook beveiligd is.

• Geavanceerde technologie die verdachte activiteiten op het netwerk signaleert en hier weer op kan reageren.

5. Zorg dat medewerkers goed geschoold worden
De sancties voor het overtreden van de regels zijn hoog en kunnen oplopen tot 5 procent van de omzet. Het is dan ook cruciaal dat de hele organisatie op de hoogte is van de uitdagingen voor het beveiligen van bedrijfskritische data. In plaats van een technisch issue wordt het nu een issue voor de directie, dus is het belangrijk dat alle senior beslissers in de organisatie weten wat de gevolgen zijn en ook de noodzaak zien om medewerkers een leidraad mee te geven waar ze naar moeten handelen. 

Veel IT-managers geven aan dat ze een grote verantwoordelijkheid zien weggelegd voor de overheid (ongeveer 40 procent), echter legt de overheid deze verantwoordelijkheid middels deze wet bij bedrijven zelf. Deze vijf stappen geven je alvast een goede basis om straks te kunnen voldoen aan de databeschermingswet van de Europese Unie.