securit y dossier 2017 | chan n e lco n n ec t
Analyse | Edwin Feldmann
Europese data- en privacywet vraagt om afspraken over verantwoordelijkheid
Shadow-IT vormt risico voor GDPR-compliance
Het hele IT-landschap werkt druk aan de Europese General Data Protection Regulation (GDPR), ook wel de Algemene Verordening Gegevensbescherming (AVG). Vooral het applicatiegebruik zonder medeweten van IT-afdelingen kan voor bedrijven een risico vormen bij het voldoen aan deze regelgeving. Binnen Europa is GDPR is bedoeld om één uniform beleid in te voeren voor de beveiliging en het beheer van persoonlijke data. Die persoonsgegevens worden in de tekst van de richtlijn gedefinieerd als alle gegevens die direct of indirect herleidbaar zijn tot een specifiek natuurlijk persoon. Dat kunnen dus cookies zijn, maar ook klantenbestanden, patiëntendossiers, adressenlijsten voor nieuwsbrieven en bijvoorbeeld het ledenbestand van een sportvereniging. Daarom heeft de wet ook zo’n impact op heel veel grote en kleine organisaties. En de angst zit er dan ook al goed in bij veel bedrijven. Wie GDPR niet naleeft of een groot datalek verzuimt te melden, kan rekenen op forse boetes.
Wat is GDPR? In het kort stelt de GDPR dat bedrijven alleen die gegevens over personen mogen opslaan die noodzakelijk zijn. De informatie moet volgens bepaalde voorwaarden wordt opgeslagen en klanten of consumenten moeten de gegevens altijd kunnen opvragen, wijzigen of verwijderen. Vanaf 25 mei 2018 moeten bedrijven kunnen aantonen dat de data die ze lokaal, in datacenters of in cloudomgevingen, binnen of buiten de Europese Unie, opslaan, voldoet aan de eisen van de nieuwe wetgeving. “Zowel enterprises als cloudproviders moeten kunnen 26
aantonen dat zij volledige controle hebben over hun security. Op alle lagen is de beste bescherming essentieel, inclusief op de infrastructuurlaag en op het gebied van de fysieke beveiliging in datacenters”, stelt Michel van den Assem van datacenterbedrijf Interxion Nederland.
Data en risico’s De GDPR maakt onderscheid tussen databezitters (controllers) en dataverwerkers (processors). In de eerste categorie vallen de grote ondernemingen die iets willen doen met de persoonlijke data die ze verzamelen. Daarnaast heb je de dataverwerkers, zoals cloudproviders, die data verwerken namens hun klanten. Uiteindelijk is het de verantwoordelijkheid van de databezitter om voor de best mogelijke beveiliging te zorgen. In geval van een datalek en een daaropvolgend onderzoek, kan het zo zijn dat de dataverwerker aansprakelijk wordt gesteld, mocht het lek in zijn systeem zitten. Een groot risico voor bedrijven ligt in de shadow-IT, waarschuwt de Cloud Security Alliance. Volgens het Netskope Cloud Report heeft een gemiddelde grote Europese onderneming 608 apps in cloudomgevingen draaien. Veel IT-afdelingen zijn zich hier niet bewust van. Het is verstandig om die apps eens tegen het licht te houden en te onderzoe-
ken of bedrijven genoeg doen om verlies of diefstal van data te voorkomen. Want daar ligt juist een groot risico. Als er apps worden gebruikt zonder medeweten van de IT-afdeling, kan er data uitlekken en loopt het bedrijf risico om niet meer ‘compliant’ te zijn en dus niet meer aan GDPR-regelgeving te voldoen. Daarom moet binnen elke organisatie bekend zijn welke apps in de cloud data verwerken en waar die data wordt opgeslagen.
Ketenverantwoordelijkheid Voor de cloudindustrie geldt de plicht om een bewerkersovereenkomst op te stellen. Dit geldt ook voor bestaande contracten, want de GDPR werkt met terugwerkende kracht. Iedere cloudleverancier en ieder datacenter krijgt met deze bewerkersovereenkomsten, of data processing agreements, zoals ze in het Engels heten, te maken. In deze overeenkomsten wordt vastgelegd met welk doel er persoonsgegevens worden opgeslagen, maar ook welke veiligheidsmaatregelen er worden genomen om de data te beveiligen en waar deze wordt opgeslagen. Verder wordt erin opgenomen hoe er wordt gehandeld als er toch een datalek ontstaat, wie er dan verantwoordelijk is en aan wie het incident moet worden gemeld. Dit is de zogenaamde ketenverantwoordelijkheid.
