4 minute read
Analyse | Shadow-IT vormt risico voor GDPR-compliance
by iMediate
Analyse | Edwin Feldmann
Europese data- en privacywet vraagt om afspraken over verantwoordelijkheid
Shadow-IT vormt risico voor GDPR-compliance
Het hele IT-landschap werkt druk aan de Europese General Data Protection Regulation (GDPR), ook wel de Algemene Verordening Gegevensbescherming (AVG). Vooral het applicatiegebruik zonder medeweten van IT-afdelingen kan voor bedrijven een risico vormen bij het voldoen aan deze regelgeving.
Binnen Europa is GDPR is bedoeld om één uniform beleid in te voeren voor de beveiliging en het beheer van persoonlijke data. Die persoonsgegevens worden in de tekst van de richtlijn gedefinieerd als alle gegevens die direct of indirect herleidbaar zijn tot een specifiek natuurlijk persoon. Dat kunnen dus cookies zijn, maar ook klantenbestanden, patiëntendossiers, adressenlijsten voor nieuwsbrieven en bijvoorbeeld het ledenbestand van een sportvereniging. Daarom heeft de wet ook zo’n impact op heel veel grote en kleine organisaties. En de angst zit er dan ook al goed in bij veel bedrijven. Wie GDPR niet naleeft of een groot datalek verzuimt te melden, kan rekenen op forse boetes.
Wat is GDPR? In het kort stelt de GDPR dat bedrijven alleen die gegevens over personen mogen opslaan die noodzakelijk zijn. De informatie moet volgens bepaalde voorwaarden wordt opgeslagen en klanten of consumenten moeten de gegevens altijd kunnen opvragen, wijzigen of verwijderen. Vanaf 25 mei 2018 moeten bedrijven kunnen aantonen dat de data die ze lokaal, in datacenters of in cloudomgevingen, binnen of buiten de Europese Unie, opslaan, voldoet aan de eisen van de nieuwe wetgeving. “Zowel enterprises als cloudproviders moeten kunnen aantonen dat zij volledige controle hebben over hun security. Op alle lagen is de beste bescherming essentieel, inclusief op de infrastructuurlaag en op het gebied van de fysieke beveiliging in datacenters”, stelt Michel van den Assem van datacenterbedrijf Interxion Nederland.
Data en risico’s De GDPR maakt onderscheid tussen databezitters (controllers) en dataverwerkers (processors). In de eerste categorie vallen de grote ondernemingen die iets willen doen met de persoonlijke data die ze verzamelen. Daarnaast heb je de dataverwerkers, zoals cloudproviders, die data verwerken namens hun klanten. Uiteindelijk is het de verantwoordelijkheid van de databezitter om voor de best mogelijke beveiliging te zorgen. In geval van een datalek en een daaropvolgend onderzoek, kan het zo zijn dat de dataverwerker aansprakelijk wordt gesteld, mocht het lek in zijn systeem zitten.
Een groot risico voor bedrijven ligt in de shadow-IT, waarschuwt de Cloud Security Alliance. Volgens het Netskope Cloud Report heeft een gemiddelde grote Europese onderneming 608 apps in cloudomgevingen draaien. Veel IT-afdelingen zijn zich hier niet bewust van. Het is verstandig om die apps eens tegen het licht te houden en te onderzoeken of bedrijven genoeg doen om verlies of diefstal van data te voorkomen. Want daar ligt juist een groot risico. Als er apps worden gebruikt zonder medeweten van de IT-afdeling, kan er data uitlekken en loopt het bedrijf risico om niet meer ‘compliant’ te zijn en dus niet meer aan GDPR-regelgeving te voldoen. Daarom moet binnen elke organisatie bekend zijn welke apps in de cloud data verwerken en waar die data wordt opgeslagen.
Ketenverantwoordelijkheid Voor de cloudindustrie geldt de plicht om een bewerkersovereenkomst op te stellen. Dit geldt ook voor bestaande contracten, want de GDPR werkt met terugwerkende kracht. Iedere cloudleverancier en ieder datacenter krijgt met deze bewerkersovereenkomsten, of data processing agreements, zoals ze in het Engels heten, te maken. In deze overeenkomsten wordt vastgelegd met welk doel er persoonsgegevens worden opgeslagen, maar ook welke veiligheidsmaatregelen er worden genomen om de data te beveiligen en waar deze wordt opgeslagen. Verder wordt erin opgenomen hoe er wordt gehandeld als er toch een datalek ontstaat, wie er dan verantwoordelijk is en aan wie het incident moet worden gemeld. Dit is de zogenaamde ketenverantwoordelijkheid.
Locatie en Brexit Als alle bedrijven in de EU de GDPR naleven, maakt het in theorie niet meer uit waar data zich bevindt. Al geldt dit vooral voor internationaal georiënteerde bedrijven. Want als zij alleen in Italië gevestigd zijn, willen zij hun data waarschijnlijk niet op servers in Duitsland of Nederland opslaan.
Overigens kan het als internationaal bedrijf dat buiten de EU is gevestigd, wel interessant zijn om klanten de mogelijkheid te geven om hun data binnen de EU, en dus volgens de regels van de GDPR, op te slaan. Uit onderzoek van Deloitte is namelijk gebleken dat vier op de vijf ondervraagde consumenten waarschijnlijk
tot zeker voor producten van bedrijven kiezen waar hun data goed wordt beveiligd. Het voldoen aan de GDPR kan in die zin dus ook een interessante stap zijn om de concurrentie voor te blijven. aangekondigd dat het Verenigd Koninkrijk de GDPR volledig zal implementeren. Datacenters aldaar zullen dus gewoon onderhevig zijn aan de regels en bepalingen van GDPR. De handhaving
Het is echter nog niet helemaal zeker of privacygevoelige data ook goed opgeslagen staat in Groot-Brittannië, in verband met de voorgenomen uittrede uit de EU. Premier Theresa May heeft zal waarschijnlijk worden losgekoppeld van de EU, maar dat is op dit moment nog onduidelijk zolang de Brexit niet is uitonderhandeld.