Guilty until proven innocent
Data, veiligheid en privacy, kort door de bocht de meest gevoelige it-onderwerpen. Het Europees Parlement buigt zich over nieuwe wetgeving, de General Data Protection Regulation (GDPR), die mogelijk dit jaar nog doorgang vindt en verregaande gevolgen heeft voor het bedrijfsleven. De tijd voor bewustwording hierover is nu echt aangebroken, vindt ook Pieter Lacroix van Sophos.
Met de GDPR worden bedrijven gedwongen na te denken over data en dan specifiek data die te herleiden is naar personen. Deze wet heeft dan ook flinke gevolgen voor het bedrijfsleven. Maar hoe belangrijk is deze wetgeving eigenlijk? Behoorlijk belangrijk, deze wet wordt dan ook niet voor niets ingevoerd. 'Er is nogal wat veranderd de afgelopen twintig jaar, sinds de invoering van de EU databeschermingsrichtlijn uit 1995', vertelt Pieter Lacroix, Managing Director bij Sophos Nederland. 'Er waren toen geen smartphones, geen cloud storage, geen informatie-uitwisseling zoals we die vandaag de dag kennen. Dus het werd zeker tijd om hier eens grondig naar te kijken. Op Europees vlak komt er een wet aan die we eigenlijk al eind dit jaar verwachten. Daarnaast komt er in Nederland ook een wet aan omtrent hetzelfde issue die inmiddels al door de tweede kamer is goedgekeurd. Er zit dus behoorlijk wat beweging in deze zaak op Europees en nationaal niveau, hoewel de politiek altijd langzamer werkt dan je verwacht en we daarom niet met zekerheid kunnen zeggen wanneer de wetgeving en regulatie over dataprotectie daadwerkelijk wordt doorgevoerd.'
Integraal beleid
Mocht er iets verkeerd gaan en er toch data op straat komen te liggen, bijvoorbeeld door een gestolen laptop of een verloren usb-stick, dan ligt de verantwoordelijkheid bij het bedrijf om te bewijzen dat zij die data goed beschermd hebben. Kan het bedrijf dit niet bewijzen dan neemt de wetgever aan dat het bedrijf schuldig is aan een data lek. Met andere woorden: 'Guilty until proven innocent'.' Maar hoe pak je dat dan aan als organisatie? Pieter: 'Wij geloven in een integraal beleid. Dat betekent dat er allereerst awareness moet zijn en iedereen binnen een organisatie dus ook de noodzaak inziet om data voldoende te beveiligen. Daarnaast moet er een centraal rapportage systeem zijn, zodat je als organisatie daadwerkelijk kunt bewijzen dat data beschermd wordt. Dat betekent ook dat je geen lappendeken van oplossingen moet gebruiken, maar een systeem moet gebruiken wat in tandem met elkaar werkt en de data op zowel laptops als op servers, op USB sticks, in mails, in de cloud en op smartphones monitort.'
Verantwoordelijkheid
Dat de nieuwe wetgeving grote gevolgen voor organisaties gaat hebben, staat vast. Om aandacht te vragen voor en te informeren over deze zeer belangrijke stap naar beveiliging van data organiseerde Sophos al enkele roadshow ontbijtsessies in maart dit jaar. Ook heeft het bedrijf een whitepaper uitgebracht die organisaties informeert over de komende veranderingen. Voelt Sophos zich misschien ook verantwoordelijk voor deze informatievoorziening? 'Absoluut', zegt Pieter. 'Klanten verwachten het niet, maar wij vinden dat we onze verantwoordelijkheid moeten nemen. Wij zijn de koploper in de industrie, volgens Forrester en Gartner. We moeten dus niet ons hoofd in het zand steken, maar juist zorgen dat iedereen weet wat er speelt op dit gebied.'
General Data Protection Regulation
De GDPR stelt welke data beschermd dient te worden (o.a. financiële transacties, klantgegevens en medische dossiers), wanneer een datalek bij de autoriteiten gemeld moet worden en wanneer ieder slachtoffer van een datalek geïnformeerd dient te worden. Elke organisatie moet voldoen aan deze verplichtingen:
- Passende maatregelen om persoonlijke gegevens te beschermen.
- Er moet een databeschermingsbeleid actief zijn waarin wordt aangegeven hoe data effectief wordt beschermd.
- Ondernemingen die persoonlijke data van meer dan vijfduizend EU-burgers beheren moeten een Data Protection Officer aanstellen.
- Bij grove nalatigheid zijn de boetes niet mals. Ze kunnen oplopen tot 100 miljoen euro of vijf procent van de wereldwijde omzet.
Sophos Safeguard
Een groot obstakel is het beheer van de software. Want encryptie mag dan min of meer een standaard zijn vandaag de dag, maar hoe zorg je voor het beheer en de bruikbaarheid van de data en de sleutels, ook wanneer data bijvoorbeeld gedeeld worden? Met Sophos SafeGuard is de veiligheid van data zeker, terwijl ook het beheer gemakkelijk gemaakt wordt. Via een centraal management center beheer je alle encryptie sleutels over alle platformen binnen jouw organisatie, zowel desktops als mobile devices, als in de cloud, als op verwijderbare media.
Voor meer informatie over Sophos SafeGuard ga je naar www.sophos.com