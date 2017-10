Bij de GDPR draait het allemaal om het zo goed mogelijk beschermen van het fundamentele recht op privacy. De Europese Algemene Verordening Gegevensbescherming waarborgt namelijk dat persoonsgegevens alleen onder strikte voorwaarden verzameld kunnen worden, en voor legitieme doeleinden. Organisaties die persoonsgegevens verzamelen en verwerken moeten deze gegevens beschermen tegen misbruik en bepaalde rechten van betrokkenen respecteren. Dit betekent dat de GDPR niet gaat om het verbieden van het verwerken van persoonsgegevens, maar over het creëren van voorwaarden die ervoor zorgen dat de data kan worden 'gebruikt'.

Als je als organisatie persoonsgegevens verzamelt, om wat voor reden dan ook, zul je die gegevens dus ook goed moeten beschermen tegen misbruik. Om dit te kunnen doen moet je er allereerst achter zien te komen welke gegevens je als bedrijf allemaal verzamelt, verwerkt en opslaat. Vervolgens moet je onderscheid kunnen maken tussen persoonlijke data waar (extra) beveiligingsmaatregelen voor nodig zijn, en veralgemeniseerde gegevens die niet tot individuele personen zijn ter herleiden.

Omdat het al snel om zeer veel data en datatypen gaat, is het ondoenlijk om dit allemaal handmatig uit te pluizen. Om te beginnen heb je dus analyse software nodig voor deze inventarisatie. Als die klaar is kun je je tenminste volledig concentreren op de privacygevoelige data.

Wie mag waarbij

Omdat je straks niet meer zomaar naar eigen inzicht allerlei persoonlijke gegevens mag opslaan, is het vervolgens zaak om uit te zoeken welke data je echt nodig hebt voor jouw bedrijfsvoering en welke data alleen maar leuk of handig is om te hebben. Daarom is het essentieel dat alle bedrijfsprocessen netjes in kaart worden gebracht. Welke activiteiten voeren afdelingen uit, welke informatie is hiervoor nodig, hoe zien de informatiestromen eruit en welke informatiesystemen zijn hierbij betrokken. Vervolgens heb je een workflow management systeem nodig om bedrijfsprocessen goed te stroomlijnen en op elkaar af te stemmen.

Binnen dat systeem is het noodzakelijk om medewerkers de benodigde rechten te geven, zodat ze alleen gegevens kunnen benaderen die ze gezien hun functie nodig hebben. Medewerkers mogen alleen data kunnen inzien, toevoegen, wijzigen of verwijderen waar ze bevoegd toe zijn. Applicatiesystemen hebben bijna altijd een eigen ingebouwd toegangssysteem. Maar een centrale toegangsbeheeroplossing met een mogelijkheid voor single sign-on biedt meer inzicht en vereenvoudigt zowel beheer als de mogelijkheid tot audits.

Ben je het echt

Naast autorisatie is authenticatie van groot belang. Medewerkers kunnen dan wel passende rechten hebben gekregen voor precies de juiste data en applicaties, maar hoe weet je zeker dat iemand echt is wie hij zegt dat hij is? Het is dus van dat de medewerkers sterke wachtwoorden gebruiken, dat ze deze nergens noteren en dat ze gebruikersaccounts strikt persoonlijk te houden. Je kunt ze daarbij helpen door de apparaten waarop ze werken extra te beveiligen met een biometrische toegangsmethode zoals een vingerafdrukscanner of een speciale keycard.

Is een apparaat een tijdje onbeheerd, dan kan een onbevoegde hem niet ontgrendelen en dus niet bij applicaties, bestanden of e-mail komen. Wordt een laptop of smartphone gestolen, of laat iemand hem per ongeluk op een terras of in de trein liggen, dan is het tegenwoordig eenvoudig om de volledige inhoud op afstand te wissen.

Versleutelen van persoonsgegevens

Persoonlijke gegevens zijn een stuk eenvoudiger te beveiligen als alle data centraal wordt opgeslagen. Denk aan servers en speciale opslagapparatuur in het eigen datacenter of dat van een (cloud-)provider. Vooral lokale data op desktops, laptops, smartphones, externe schijven en usb-sticks vormt een risico. Deze apparatuur kan immers makkelijk gaan rondzwerven, waardoor persoonlijke data vrijwel ongemerkt in handen van onbevoegden kan vallen.

Ongeacht waar bedrijfsdata wordt opgeslagen, encryptie zorgt er in ieder geval voor dat persoonlijke gegevens volledig onbruikbaar zijn mochten ze in verkeerde handen vallen. Het is dan ook nodig om alle persoonlijke data versleuteld op te slaan. Opslagapparatuur en servers hebben hier vaak speciale hardware voor aan boord om dit snel en efficiënt te doen, want het is een behoorlijk rekenintensieve taak om een sterke versleuteling toe te passen. Pas encryptie niet alleen toe op de actuele (live) databases en bestanden, maar ook op alle slapende versies. Denk aan back-ups, archieven en alle andere soorten media waarop bedrijfsdata tijdelijk of permanent wordt opgeslagen.

Veilig verbonden

Data moet niet alleen beveiligd zijn zolang het is opgeslagen en dus in rust is. Je medewerkers gebruiken applicaties en dus is data doorlopend in beweging. Vandaar dat persoonlijke gegevens ook tijdens het transport versleuteld moeten zijn. Dankzij end-to-end encryptie is de data tussen het apparaat van de eindgebruiker en de applicatie waarmee gewerkt wordt volledig beveiligd. Door data zowel tijdens transport als in opslag te beschermen, wordt voorkomen dat door het afluisteren van de verbinding of een inbraak op een server persoonsdata in verkeerde handen valt.

Vergeet ook bijvoorbeeld de e-mailverbinding niet. Die kun je beveiligen door de juiste protocollen te gebruiken. En als medewerkers openbare (wifi-)netwerken gebruiken is een VPN-verbinding echt onmisbaar. Versleutelde persoonlijke gegevens zijn volledig onleesbaar en dus onbruikbaar voor kwaadwillenden, zodat de privacy gewaarborgd is.

Bewustzijn

Dankzij technologie kan persoonlijke data optimaal beschermd worden en kun je als bedrijf voldoen aan de voorwaarden gesteld door de GDPR. Maar het is belangrijk om in gedachten te houden dat technologie een extra hulpmiddel is. Het is en blijft noodzakelijk om je organisatie ervan te doordringen hoe belangrijk het is om uiterst zorgvuldig met persoonlijke gegevens om te gaan.

Veel datalekken ontstaan nog steeds per ongeluk. Een verkeerd geadresseerde e-mail met een bijlage vol privacygevoelige gegevens, een verloren usb-stick, een uit de kofferbak gestolen laptop. Elke medewerker moet zich dan ook bewust zijn van het belang om hier zo zorgvuldig mogelijk mee om te gaan. Aanvullend gebruik je technologie als hulpmiddel om de data te beschermen.