4 minute read
YourSafetynet
by iMediate
Governance & Compliancy | Edwin Feldmann
Cor van Gils, oprichter van YourSafetynet
‘Compliancy pas als alle puzzelstukjes passen’
De tijd dringt voor bedrijven die hun organisatie voor 25 mei 2018 moeten klaarstomen voor de nieuwe Europese data- en privacyregelgeving GDPR, in Nederland en België ook wel bekend onder de AVG. Het bedrijf YourSafetynet uit Oosterhout heeft software waarmee bedrijven stap voor stap aan alle regels kunnen voldoen. “Resellers kunnen hiermee hun klanten toegevoegde waarde bieden”, zegt oprichter Cor van Gils.
Cor van Gils van YourSafetynet praat honderduit over de vele regels en kleine letters die deel uitmaken van de GDPR. “Veel bedrijven weten niet eens dat ze een datalek moeten melden als die zich voordoet.” Verontrustender is misschien wel dat velen niet eens weten wanneer er sprake is van een datalek. “De meeste datalekken komen niet voort uit cyberaanvallen of hacks, maar juist uit het feit dat de interne organisatie niet op orde is. Voorbeelden zijn onder meer kopieermachines die alle te kopiëren documenten op een harde schijf opslaan of notitieblokjes en telefoonlijsten die zoekraken.”
In 2005 startte het bedrijf met de ontwikkeling van software om internetverkeer in kantoren en scholen te filteren. In de loop der tijd werd die oplossing flink uitgebreid en verschoof de aandacht naar compliance. “Niet zo vreemd, want slechts 8 procent van de bedrijven filtert het internetverkeer. GDPR heeft impact op bijna alle bedrijven.” Deze samenwerking was nodig omdat de Europese wet behoorlijk wat voorwaarden stelt waar bedrijven zich op moeten voorbereiden. Daarnaast hebben recent ook een eigen jurist in dienst die opdrachtgevers eventueel kan adviseren over de GDPR/AVG. Hierdoor kan Van Gils wel garanderen dat bedrijven die met de software werken, volledig voldoen aan de strenge Europese regelgeving voor data en privacy. “Het moet natuurlijk wel kloppen wanneer wij beweren dat een organisatie aan de wetgeving voldoet. We zijn hierbij doorgegaan tot in de kleinste details. Maar dat betekent wel dat wij garanderen dat als de gebruikers alles naar waarheid invullen, zij aan het einde helemaal voldoen aan de huidige wetgeving”, aldus de oprichter van YourSafetynet.
Geen handleiding De software van het bedrijf kent nu ongeveer een half miljoen gebruikers, waaronder de justitiële inrichting van het ministerie van Justitie in Nederland en België. De software moet nauwkeurig door YourSafetynet worden bijgehouden, want iedere paar maanden zijn er weer wijzigingen die van invloed kunnen zijn op de 100 procent compliance die wordt gegarandeerd. “De software moet daarom steeds worden aangepast aan de nieuwste regels. Als de wet verandert, moeten wij onze klanten daarover informeren.” De software is gebruiksvriendelijk genoeg om zonder handleiding te gebruiken. Dat is belangrijk, vindt Van Gils. “Dat hebben we een beetje van Steve Jobs afgekeken.” Daarom bevat de software een wizard die gebruikers stap voor stap alle facetten van de GDPR laat langslopen. Tijdens de wizard komen ze allerlei belangrijke procedures, templates en reglementen tegen, waaronder verwerkersovereenkomsten, (D) PIA-procedures en een ICT-gebruiksreglement. Deze documenten kunnen beheerders direct aan organisaties, profielen of gebruikers toewijzen. De gebruikers krijgen vervolgens een popup met de vraag of zijn met het reglement akkoord gaan.
Verzekering De software van YourSafetynet ontzorgt resellers en stelt hen tevens in staat om hun eindklanten toegevoegde waarde te leveren. “We helpen en ondersteunen hen met het implementeren van de GDPR. Bovendien profiteren resellers van een aantrekkelijke marge”, aldus Cor van Gils. “De grote vraag die resellers zichzelf moeten stellen, is of ze zelf aan de regels voldoen. Ze kunnen niet alles afschuiven op de verantwoordelijken. Opdrachtgevers zullen vragen of zij zelf aan de GDPR-regelgeving voldoen, voordat zij met hen zakendoen. En andersom kunnen resellers aan de
‘Wat echt pijnlijk is, is de imagoschade’
(verwerkings)verantwoordelijke vragen of zij een aansprakelijkheidsverzekering hebben. Maar dat is soms ook valse zekerheid”, zo stelt Van Gils. “Er zijn aansprakelijkheidsverzekeringen die cyberrisico’s niet afdekken. Dan moeten bedrijven dus een cyberriskverzekering afsluiten. Dat lukt alleen nog maar als zij aan de GDPR voldoen.”
Goede voorbeeld Van Gils vindt tevens dat resellers zelf het goede voorbeeld moeten geven. “Resellers moeten kunnen aantonen dat zij zelf ook aan de regels voldoen, anders kunnen zij niet in gesprek gaan met klanten. Niemand heeft zin in een zwemleraar die zelf niet kan zwemmen. Resellers kunnen de software voor zichzelf gebruiken en daarna naar hun klanten uitrollen. Zo weten ze het beste hoe het werkt en kunnen ze klanten beter begeleiden.” De tool werkt voor resellers als een soort beheersysteem voor klanten. Ze kunnen het installeren op een managementserver en vervolgens organisaties aanmaken. De reseller is dan de masterorganisatie en de klanten zijn organisaties daaronder. tal misvattingen over de GDPR bestaat. Zo is de boete niet het grootste probleem voor bedrijven met een securityincident. De maximale boete is vastgesteld op maximaal 20 miljoen euro of 4 procent van de wereldwijde omzet. “Die boetes klinken wel afschrikwekkend, maar zij moeten zich daardoor niet teveel laten afschrikken. De imagoschade is nog veel pijnlijker”, aldus Cor van Gils.
Imagoschade Uit het verhaal van YourSafteynet valt op te maken dat er nog wel een aan
Verder bestaat bij sommigen de idee dat zij veilig zijn als ze hun data versleutelen. “Dat is de grootste onzin die er bestaat. Encryptie is een technische maatregel, maar ook de processen die voorafgaan aan het versleutelen van informatie, zijn belangrijk om onder de loep te nemen”, gaat de oprichter van YourSafetynet verder. Er zijn meer belangrijke vragen zoals hoe oud de data is en of die data met instemming van de gebruikers is opgeslagen. Er komt dus veel meer bij kijken. “De GDPR bestaat uit 99 artikelen, dus 99 puzzelstukjes. Die puzzel is pas compleet als alle stukjes naadloos in elkaar passen, dus geen overlaps maar zeker geen gaps. Pas dan zijn bedrijven compliant.”
