Over zeven maanden is GDPR een feit. Bedrijven in Europa zullen orde op zaken moeten stellen om te voldoen aan de onomkeerbare wetgeving rondom de privacyrechten van de consument. Grote bedrijven nemen grote adviesbureaus in de arm om ze hierbij te helpen. Dat is voor het MKB een stuk lastiger. Maar je kunt veel zelf; ga na hoe de informatieprocessen zijn ingericht, hoe en waar bedrijfskritische informatie staat opgeslagen, wat er gebeurt met persoonsgegevens én – belangrijk – hoe al deze informatie is ‘beveiligd’.
Niemand zit te wachten op boetes van miljoenen euro’s bij een overtreding van de GDPR-wetgeving. Daarom dienen organisaties, ongeacht bedrijfsgrootte, maatregelen te nemen rondom de implementatie van de nieuwe wet. Denk hierbij aan het benoemen van een Functionaris Gegevensbescherming die bij onverhoopte datalekken hierin aanspreekpunt is. En heb een communicatie plan klaar richting partners en klanten.
Grote organisaties hebben mensen en middelen om het bedrijf GDPR ready te maken; voor het MKB is een KPMG of een EY een te dure bedoeling om (een van) hen door de organisatie te laten zoeken naar GDPR-valkuilen. MKB’ers dienen een kleiner adviesbureau te vinden die ‘GDPR compliance’ in hun specialisatiepakket heeft en een inventarisatie kan maken om daarna vervolgstappen in te zetten. Begin dan bij de kritische bedrijfsprocessen en werk zo je gehele organisatie en processen door.
Hoe lopen huidige informatieprocessen?
Los van externe maatregelen kan het MKB zelf ook aan de nieuwe wetgeving bijdragen. Zo kan bijvoorbeeld een recruitmentbureau dat over vele CV’s beschikt zichzelf afvragen: hoeveel maanden zal ik persoonsgegevens van kandiaten bewaren voordat deze definitief worden verwijderd en hoe communiceer ik dit vooraf met mijn kandidaten? Of het nu gaat om een headhunter of makelaar: iedere MKB’er dient na te gaan hoe de informatieprocessen zijn ingericht en waar informatie staat opgeslagen. Gelukkig zijn er oplossingen beschikbaar die het MKB kan inzetten wanneer bepaalde zaken écht bewaard dienen te worden. Encryptie is in dit geval het sleutelwoord. De implementatie van een dergelijke oplossing is geen ingewikkelde aangelegenheid. Versleuting van data gebeurt volkomen transparant. Dat wil zeggen, gebruikers merken het niet eens. Huidige processen blijven dus bestaan. Echter is alle data wel ontoegangkelijk voor onbevoegden. En bij onbewust lekken is deze ‘data’ waardeloos.
Neemt niet weg dat een datalek ook verlies van data kan betekenen. Dus een goede back-up oplossing blijft belangrijk.
Logging
Anders dan bij de algemene wetgeving geldt bij GDPR een omgekeerde bewijslast. Als organisatie moet je bewijzen dat data beveiligd is geweest op het moment van lekken. Dit kan door middel van logging wordt onderbouwd. Uiteraard dient een onverhoopt datalek nog steeds bij de AP worden gemeld. Maar wanneer je kunt aantonen dat deze data versleuteld is, blijven verdere consequenties beperkt tot een minimum.
Hopelijk heeft het Nederlandse MKB de eerste stappen al gezet. Haast is geboden, volgend jaar mei is het zover.
Harm van Koppen, security specialist bij Sophos Nederland