Gastexpert: waarom veel organisaties niet klaar zijn voor de GDPR
Tegelijkertijd kan het zo maar zijn dat je nu denkt, nee niet weer die GDPR want je hebt je zaakjes al lang en breed op orde. Als je tot deze laatste groep behoort, maak je deel uit van een eliteclub. Welk rapport je er ook op naslaat, alle recente onderzoeksresultaten wijzen uit dat het merendeel van de organisaties, groot of klein, nog niet GDPR-compliant is. Hoe komt dat? Nog geen vijf maanden voordat de nieuwe privacywet van kracht gaat. En belangrijker nog, welke maatregelen moet je nemen om te zorgen dat je straks niet onverhoopt geconfronteerd wordt met hoge boetes wegens het niet op orde hebben van de bescherming van privacygevoelige data.
GDPR-compliant zijn is een hele kunst
15 jaar na de invoering van de Wet Bescherming Persoonsgegevens (WbP) is privacybescherming nog steeds een moeilijk onderwerp. Daar kwam twee jaar geleden de Meldplicht Datalekken bovenop. Inmiddels krijgt de Europese GDPR-wetgeving terecht volop aandacht. Toch blijkt het een hele klus om aan te kunnen tonen dat je privacygevoelige gegevens goed beschermt. Het benoemen van Privacy Officers lukt nog wel, zo blijkt. Maar bijvoorbeeld het op orde brengen en houden van toegangsrechten op systemen, goed databeheer en de juiste protocollen naleven, is bij lange na geen gemeengoed bij veel organisaties.
Niet zo verwonderlijk. Neem bijvoorbeeld een gemiddelde gemeente in ons land. Zo’n lokale overheidsinstantie heeft al gauw 175 systemen in de lucht. Niet allemaal even state-of-the-art. Elke organisatie kent wel verouderde systemen en applicaties die nog altijd van groot belang zijn voor het reilen en zeilen van de dagelijkse operatie. Het beheer daarvan is behoorlijk complex.
Beveiliging vraagt om prioriteit in organisatiebeleid
Een andere belangrijke uitdaging is het bewustzijn van eigen verantwoordelijkheid en mogelijke consequenties van handelen. Wat zou jij doen als je broer je vraagt om even een adres op te zoeken in de gemeentelijke administratie? Dat lijkt onschuldig maar het wordt anders als het een blijf-van-mijn-lijfhuis is. Privacybewustzijn is meer dan weten welke gegevens vertrouwelijk zijn en hoe daarmee om te gaan. Dat vraagt om protocollen, opleiding van medewerkers en een helder autorisatiebeleid. En waar nodig, neem gegevens uit handen van werknemers.
Daar is gelukkig ook geschikte technologie voor. Want je kunt medewerkers nog zo goed opleiden, waar gewerkt wordt, worden fouten gemaakt. Risico’s zijn prima uit te sluiten als je de juiste hardwarekeuzes maakt. Zo kun je met de Toshiba Mobile Zero Client geen gegevens opslaan op het apparaat zelf. Zowel besturingssysteem, opslag en data zijn beschikbaar via een cloudgebaseerde virtuele desktopinfrastructuuroplossing. Medewerkers kunnen overal en altijd blijven werken zonder dat gegevens verloren gaan bij diefstal of verlies van het mobiele apparaat. Bovendien is daarmee ook het beheer van je werkomgeving veel eenvoudiger en veiliger te regelen.
Kortom, GDPR-ready zijn gaat niet alleen over protocollen, bewustzijn, softwarebeveiliging en databeheer. Kijk ook hoe je een veilige hardwareomgeving realiseert. Medewerkers blijven mobiel en jij kan aantonen dat je gegevensbescherming goed op orde hebt.