Achtergrondartikel


Dataregelgeving vereist controle over cloudinteracties

‘De GDPR is complex en veelomvattend’

Veel aandacht gaat momenteel uit naar de Meldplicht datalekken die op 1 januari 2016 van kracht wordt. Goed een jaar later zal echter ook al de European Union General Data Protection Regulation (GDPR) van kracht worden. “Begrijpen welke data er zijn en hoe deze wordt opgeslagen en behandeld, is de beste basis voor deze en andere nieuwe dataregelgeving”, zo luidt het advies van Adrian Sanabria, analist bij 451 Research.

“De GDPR draait om de vraag of persoonlijke data van inwoners van de Europese Unie wel of niet misbruikt worden en bevat enkele belangrijke boetes en sancties”, stelt Sanabria. “Een lek van dit type data valt onder deze regelgeving, ongeacht de vraag of het gehele bedrijf zich bewust was van de opslag van persoonlijke data of slechts één enkele werknemer, en of het bedrijf in de EU of daarbuiten is gevestigd. De schade is immers al geleden en GDPR is van toepassing.”

Compliance-uitdagingen
De GDPR – waarvan de finalisering gepland staat voor 2016 en die vanaf 2017/2018 van kracht wordt – vereist van organisaties dat zij maatregelen nemen om veilig en correct gebruik van persoonlijke data te garanderen. De wetgeving heeft betrekking op data opgeslagen of verwerkt via elke soort dienst – en dus ook cloudapplicaties – en omvat ook ongestructureerde content die persoonlijk identificeerbare informatie (PII) bevat.

Een van de belangrijkste compliance-uitdagingen voor organisaties met betrekking tot de GDPR is, dat veel persoonlijke data op ongestructureerde wijze wordt verwerkt. Bijvoorbeeld door werknemers die honderden applicaties gebruiken om documenten via de cloud te delen, voor productiviteit, samenwerking, customer relationship management, human resources of financiën en boekhouding. Als de GDPR van kracht is, is het altijd de wettelijke verantwoordelijkheid van een organisatie om deze data – gestructureerd of ongestructureerd – te beschermen tegen verlies, wijzigingen en ongeautoriseerde verwerking. Dit geldt zelfs wanneer werknemers clouddiensten gebruiken, die niet goedgekeurd zijn of niet beheerd worden door de organisatie – de zogenaamde ‘schaduw IT’.

Controle over cloudinteracties
Een van de maatregelen die bedrijven kunnen nemen om te voldoen aan de GDPR, is controle krijgen over interacties in de cloud. Dit kun je bereiken door:

  • het in kaart brengen en monitoren van alle cloudapplicaties gebruikt door werknemers;
  • te weten welke persoonlijke data wordt verwerkt door werknemers in de cloud;
  • het beveiligen van data door gebruik van policy’s die voorkomen dat onbeheerde clouddiensten worden gebruikt om persoonlijke informatie op te slaan en te verwerken;
  • het coachen van gebruikers voor gebruik van diensten goedgekeurd door de IT-afdeling; en
  • het gebruik van een Cloud Access Security Broker om de compliancy van bedrijven te bepalen en de GDPR-uitgangspunten na te leven voor alle clouddiensten, en te garanderen dat alle data van, naar en in de cloud wordt beschermd.

Grote impact
Een voorbeeld van zo’n Cloud Access Security Broker (CASB) is Netscope. “De GDPR is een complexe en veelomvattende wetgeving die de verantwoordelijkheden van organisaties voor databescherming flink verhoogt”, zegt Sanjay Beri, CEO van Netskope. “Alleen al uit de regels rondom ongestructureerde data blijkt, dat cloudapplicatiegebruik een belangrijke bedreiging is voor bedrijven. Met significante boetes tot vijf procent van de totale omzet van een bedrijf riskeren organisaties die niet voldoen aan de GDPR, een grote impact op hun reputatie en financiën.”

“Alle organisaties moeten zich voorbereiden op de regels en aandacht besteden aan hoe zij persoonlijke data van klanten gebruiken en beschermen”, vervolgt Beri. “Het lijkt misschien een onbegonnen zaak, maar hoe sneller bedrijven beginnen met voorbereiden, hoe meer tijd zij hebben om compliancy te realiseren. Onze nieuwe diensten zijn ontworpen om hen te helpen dit te bereiken, en schadelijke incidenten binnen het proces te voorkomen.”

Om bedrijven te helpen bij het voldoen aan de komende European Union General Data Protection Regulation introduceert Netskope twee nieuwe diensten. Het gaat om het Netskope Cloud Risk Assessment for the EU GDPR en de Netskope Cloud Compliance & Remediation Service voor de EU GDPR.


Lees meer over