8 minute read
Uitdagingen van de
from TBM 03/2017
Databeschermingswet brengt kansen en uitdagingen voor resellers
De Algemene Verordening Gegevensbescherming komt er aan (mei 2018). Strengere richtlijnen en hoge boetes liggen in het verschiet als data op straat komt te liggen. Veel organisaties zullen hun zaken niet tijdig op orde hebben. Telecom- en IT-aanbieders kunnen hier een rol in spelen, maar moeten er ook voor zorgen dat zij hun eigen zaken op orde hebben: intern en met hun oplossingen.
Advertisement
Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) van de Europese Unie – in Nederland de Algemene Verordening Gegevensbescherming (AVG) in werking. De wet geeft burgers meer controle over hun persoonlijke gegevens en zorgt ervoor dat in elk Europees land dezelfde regels op het gebied van databescherming gelden. De wet verplicht bedrijven een privacyadministratie bij te houden en bedrijven die op grote schaal data verwerken een speciale data protection officer aan te stellen.
Weinig idee over gevolgen wet De regulering is al in 2016 aangenomen, er geldt een termijn van twee jaar waarin bedrijven hun beveiliging en hun beleid op het gebied van dataopslag en -bescherming kunnen aanpassen. Met nog een jaar te gaan, lijkt het er op dat veel organisaties weinig idee hebben wat de AVG voor hen inhoudt, hoe zij er mee om moeten gaan en wat de mogelijke sancties zijn. Onderzoeken tonen dat een groot deel van de bedrijven nog geen voorbereidingen heeft getroffen, zowel binnen als buiten Nederland. Daarmee lopen zij risico op boetes tot 20 miljoen euro, of 4 procent van de omzet.
82 procent van alle zakelijke en ICT-professionals, verantwoordelijk voor gegevensbescherming, maakt zich zorgen over de naleving van de GDPR. Zij verwachten er niet voldoende op voorbereid te zijn als de verordening in april 2018 van kracht wordt. Dat bleek in oktober 2016 uit internationaal onderzoek van Dimensional Research in opdracht van Dell. Duitse deelnemers gaven aan dat ze zich het meest voorbereid voelen op de wet (44%), terwijl van de respondenten uit de Benelux slechts 26 procent zich voorbereid voelt.
97 procent heeft geen plan voor de invoering van de dataverordening in 2018. Slechts 21 procent denkt dat hun organisatie is voorbereid op access governance, een belangrijk beveiligingsaspect binnen de wet. Meer dan 90 procent van de respondenten zegt dat hun bestaande beveiligingspraktijken niet zullen voldoen aan de nieuwe eisen.
Cyberinsurance Een toenemend aantal verzekeraars biedt inmiddels vormen van cyber-insurance aan, verzekeringen die bedoeld zijn om de gevolgen van een datalek op financieel gebied te beperken. Dat is handig voor achteraf, stelt Jurriaan Jansen, Of Counsel in de IP/IT praktijk bij advocatenkantoor Norton Rose Fulbright in Amsterdam, maar beter is het om vooraf de zaken op orde te hebben.“Je moet onderscheid maken tussen grote bedrijven en midmarket- of MKB-organisaties. Grotere bedrijven zoals verzekeraars, banken en operators hebben hun zaken op orde en zijn op de hoogte van wat er op hen afkomt. Zij hebben taskforces opgezet, budgetten vrijgemaakt. Ook voor de grotere IT-aanbieders en de grote datacenter-bedrijven geldt dit.” Het probleem zit bij de midmarket, de MKB-organisaties. Daar is de kennis en capaciteit vaak onvoldoende. “Dit zijn de organisaties waar verzekeraars zich met hun cyber insurance met name op richten. Zij geven daarbij ook veel advies over hoe bijvoorbeeld een datalek te voorkomen, of helpen met een audit om inzicht te geven in het beleid en de beveiliging omtrent data.”
Oud versus nieuw De huidige regulering omtrent databescherming stamt uit 1995. Er is veel overlap met de nieuwe wetgeving, ook nu zijn bedrijven al verplicht om ‘passende en organisatorische’ maatregelen te nemen. Nieuw is onder meer:
*Het sanctieregime is veel strenger (20 miljoen euro boete of tot 4 procent van een jaaromzet). *Organisaties moeten actief kunnen aantonen dat zij voldoen aan de regulering.
“Ik was onlangs op een bijeenkomst van een verzekeraar die cyber-insurance aanbiedt. Daar werd het voorbeeld gegeven van een adviesbureau dat risrisicobeoordelingen uitvoert. Veel gegevens, ook bijzondere en privacygevoelige, werden gewoon via e-mail uitgewisseld. Dat is bij uitstek iets dat vanaf 28 mei 2018 echt niet meer kan. De bewustwording hierover is iets dat geleidelijk doorsijpelt bij organisaties. Alleen is er geen tijd meer voor geleidelijke bewustwording. Volgend jaar gaat de wet al in.”
Nederland loopt wat voor de muziek uit. Zo is er begin 2016 wetgeving ingevoerd voor het melden van datalekken. In het eerste jaar zijn zo’n 5.500 lekken gemeld bij de Autoriteit Persoonsgegevens. “Er lopen nog enkele tientallen onderzoeken, maar tot nu toe is er door de AP geen enkele boete opgelegd op basis van deze wetgeving. Dat kan een indicatie zijn van hoe er in eerste instantie zal worden omgegaan met overtredingen van de AVG: niet meteen een boete of de hoogste boete, maar eerst een waarschuwing.” Er is onder de Telecomwet overigens wel een boete opgelegd aan KPN voor een datalek.
Voldoende informatie beschikbaar Overigens hoeft niet elke organisatie vele uren te spenderen aan het op de hoogte komen van wat de databeschermingswet voor hen inhoudt. Er is volgens Jansen voldoende informatie beschikbaar. Zo heeft de Cyber Security Raad een document opgesteld waarin goed uitgelegd wordt wat er allemaal verplicht wordt voor de diverse vormen van data, wat mogelijke gevolgen zijn en hoe je je als organisatie kunt voorbereiden. “Elk bedrijf heeft wel een paar uur om hier aan te besteden,
Data Bijeenkomsten Expeditie ICT 2017 bekend!
De wereld verandert, zo ook onze klant. Expeditie ICT zorgt voor hoogwaardige kennis om in het spoor te blijven van de Klant van Morgen.
Exclusief! Leden van Expeditie ICT ontvangen gratis het Expeditie ICT Eindmarkt Rapport t.w.v. € 1.900,-
Expeditie ICT wordt mede mogelijk gemaakt door
20 April
Bijeenkomst 1 The Startup Method Innovatie in het resellerbedrijf
28 sept
Bijeenkomst 3 Halloween Edition Klanten jagen je de stuipen op het lijf
13 juni
Bijeenkomst 2] Verboden voor klanten, wij willen fans Hoe ambassadeurs voor groei gaan zorgen
06 dec
Bijeenkomst 4 Stop met verkopen! Waarom ICT-sales in 2018 compleet anders moet
of aan het beantwoorden van de vraag welk soort gegevens je eigenlijk hebt opgeslagen. Dat is voor een fietsenmaker natuurlijk weer heel anders dan voor een HR-aanbieder. Maar waar het om gaat is: welke gegevens heb ik; heb ik deze gegevens ook echt nodig; hoe zijn ze beveiligd? Doe ik dat zelf of besteed ik dit uit aan een externe partij?”
Rol telecom- en IT-aanbieders Kunnen IT- en telecomaanbieders die zich richten op het MKB en midmarket-bedrijven iets betekenen voor hun klanten? Zeker, stelt Jansen. “Ik neem aan dat partijen die oplossingen voor bijvoorbeeld dataverwerking of -opslag aanleveren, toepassingen voor databeveiliging maar ook mailsystemen, beter op de hoogte zullen zijn van wat de AVG betekent dan de gemiddelde MKB’er. Zij kunnen dat meenemen in de oplossingen die ze aanbieden, of ze kunnen hun klanten proactief adviseren over wat er op IT-gebied dient te veranderen om aan de wet te voldoen.”
Er zal wel een verschil zitten tussen IT/telecomaanbieders die vooral oplossingen van andere leveranciers doorverkopen en partijen die meer maatwerkoplossingen leveren. De eerstgenoemde groep zal minder bezig zijn met de gevolgen van de wet dan de tweede groep. “Maar alle aanbieders van oplossingen en toepassingen die met data te maken hebben, moeten zich bedenken dat van hen meedenken verwacht wordt over een goede inrichting van de IT-omgeving. Het kan een negatieve USP zijn als je dat niet doet of onvoldoende kennis of inzicht hebt.”
Gedeelde aansprakelijkheid Wat gebeurt er wanneer er toch een datalek is? Wie is er dan verantwoordelijk? De klant (de verantwoordelijke) of de reseller die een on premise of Cloud-oplossing geleverd heeft? Uiteindelijk is de klant altijd verantwoordelijk, stelt Jansen. Toch is de situatie wat genuanceerder. Een aanbieder van dataopslag of een systeem waarin data opgeslagen en verwerkt wordt, is volgens de privacy regelgeving een databewerker.
“Onder de nieuwe verordening zijn de klant (verantwoordelijke) en de databewerker aansprakelijk voor diefstal of verlies van gegevens. Dit betekent dat zij allebei de eerdergenoemde ‘passende en organisatorische’ maatregelen moeten nemen om dataverlies te voorkomen. Als je een product, dienst of Cloud-oplossing doorverkoopt van aan aanbieder zoals Microsoft, SAP, Salesforce of Google, dan kun je er van uit gaan dat zij er voor zorgen dat hun zaken op orde zijn.” “Maar ook dat ontslaat je als aanbieder van oplossingen die met dataopslag of -verwerking te maken hebben, niet van de verplichting om zelf die zaken ook goed op orde te hebben in het licht van de nieuwe databeschermingswet. Ook zal je uiteindelijk zelf moeten beoordelen of een bepaalde oplossing geschikt is voor een bepaald gebruik. Een standaard Cloud-oplossing waarbij gegevens niet in Europa worden opgeslagen, zal in de regel niet geschikt zijn als je met gevoelige gegevens werkt.”
Of je nu een eindklant bent of een telecom/IT-aanbieder, het kan geen kwaad om in ieder geval de volgende stappen te zetten om te kijken wat er moet gebeuren om te voldoen aan de GDPR/AVG:
*Zorg er voor dat je inzicht hebt in alle datastromen (van klanten, van je werknemers): waarom heb je die data, gebruik je ze, hoe bewaar je ze?
*Er is een technische en organisatorische kant aan beveiliging. De techniek kan op orde zijn, maar hoe zit het met de organisatie (zaken zoals bewustwording over omgang met data, wachtwoorden et cetera).
*Documenteer al je datastromen en werkprocessen waarbij dataopslag en verwerking betrokken zijn.
*Laat een toetsing / audit uitvoeren door een verzekeraar of een jurist om te bekijken of je databeveiliging technisch en organisatorisch op orde is. Voer een risicoanalyse uit om de zwakke plekken te vinden.
*Stel een scenario op voor wanneer het toch fout gaat. Een datalek moet binnen 72 uur gerapporteerd worden aan de Autoriteit Persoonsgegevens. Met zo’n scenario over hoe te handelen voorkom je veel stress.
