Sophos GDPR Roadshow 2015: Encryptie voorkomt naming and shaming

Er is geen ontkomen meer aan. De General Data Protection Regulation (GDPR) komt er nu echt aan. De nieuwe wet vraagt van organisaties wereldwijd dat zij de data van Europese burgers die zij  verwerken en beheren adequaat beveiligen. Veel organisaties hebben echter geen idee wat deze nieuwe regulering inhoudt. Hoe kun je je voorbereiden op de nieuwe regels? Tijdens vier sessies van de Sophos GDPR Roadshow 2015 is de GDPR door Anthony Merry, Director Product Management binnen de divisie Data Protection van Sophos, inmiddels uitgelegd. Helder en to-the-point. Degenen die de roadshow hebben gemist, kunnen aan de hand van het onderstaande verslag, video en bijbehorende presentatie nagaan of hun organisatie voldoet aan de nieuwe regels.

De video van de gehele presentatie:

De presentatie:

Wetgeving die vanuit Brussel op ons af komt wordt meestal met argusogen bekeken. De GDPR, die oude wetgeving uit 1995 vervangt, vormt hierop geen uitzondering. Europese wetten gaan meestal gepaard met veel bureaucratie. Het Europese Parlement maakte het in 2013 wel heel erg bont en kwam met een lawine aan amendementen op de GDPR die in totaal maar liefst 623 pagina’s beslaan. Voor managers die een bedrijf moeten runnen, is dat nauwelijks bij te benen.

Nederland: braafste jongetje van de klas

Anthony Merry is goed op de hoogte van de nieuwste Europese wet- en regelgeving. Ook hij weet inmiddels dat Nederland in de EU altijd het braafste jongetje is van de klas. Vooruitlopend op de GDPR is onlangs het wetsvoorstel inzake het melden van datalekken aangenomen door de Tweede Kamer. Hierin krijgt het College Bescherming Persoonsgegevens een boetebevoegdheid die kan oplopen tot 810.000 euro of 10 procent van de jaaromzet van de rechtspersoon. Verder regelt dit wetsvoorstel een meldplicht voor gegevensverlies. Deze meldplicht houdt in dat bedrijven en overheden melding moeten maken van inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of inbreuken die leiden tot een aanzienlijke kans daarop.

Anthony benadrukte vooral de positieve aspecten van de Europese GDPR. Eén consistente wet die in alle 28 EU-landen gaat gelden, bespaart het Europese bedrijfsleven jaarlijks 2,3 miljard euro. Multinationals hebben nog maar met één toezichthoudende autoriteit te maken, ook al doen ze zaken in meerdere EU-landen. De GDPR heeft bovendien extraterritoriale werking; iedereen die data bewaart van Europese burgers is aan de wet gehouden. Dat schept een gelijk speelveld voor alle ondernemingen. Maar ook Europese burgers profiteren van de GDPR doordat ze expliciet toestemming moeten geven voor wat er met hun gegevens gebeurt. En als ondernemingen of overheidsinstellingen persoonlijke gegevens van burgers lekken, moet zij dat terstond aan hen melden.

De GDPR draait vooral om de artikelen 30 tot en met 32, die respectievelijk regelen welke data beschermd dient te worden (financiële transacties, klantgegevens en medische dossiers), wanneer een datalek bij de autoriteiten gemeld moet worden en wanneer ieder slachtoffer van een datalek geïnformeerd dient te worden. Concreet zijn er drie verplichtingen. Iedere onderneming moet passende maatregelen nemen om persoonlijke gegevens te beschermen. Daarnaast moet er een databeschermingsbeleid actief zijn waarin wordt aangegeven hoe data effectief wordt beschermd. Ondernemingen die persoonlijke data van meer dan 5.000 EU-burgers beheren moeten bovendien een Data Protection Officer aanstellen.

Bij grove nalatigheid zijn de boetes niet mals. Ze kunnen oplopen tot 100 miljoen euro of 5 procent van de wereldwijde omzet. Maar zo ver hoeft het volgens Anthony niet te komen. Als de onderneming kan aantonen dat de gelekte data versleuteld is via encryptie, hoeven ze niet met de billen bloot, het informeren van individuele slachtoffers kan dan achterwege blijven. Waarschijnlijk hoeven ondernemingen die hun encryptieprocedures goed op orde hebben en dit ook kunnen bewijzen (!) ook geen boete te betalen. Dat klinkt alleszins redelijk.

Resultaten Sophos Survey

Bedrijven lopen onnodig risico, zo blijkt uit eigen onderzoek dat werd uitgevoerd in Engeland, Duitsland en Frankrijk. Bijna de helft van de ondervraagde managers reageerde schaapachtig toen ze gevraagd werd hoe het zit met het databeschermingsbeleid in hun onderneming. 23 procent van de respondenten geeft aan dat zowel de klant- als de personeelsgegevens bij hen in veilige handen zijn. Slechts 51 procent van laptops van de zaak is versleuteld. Dat is vreemd als je bedenkt dat verlies of diefstal van laptops in taxi’s, hotels of vliegvelden schering en inslag is. Dankzij de toegenomen opslagcapaciteit is er veel meer data aanwezig op onze mobiele apparaten. Het risico op een mega-datalek is levensgroot.

Full disk encryptie, waarbij het besturingssysteem van de laptop of desktop pas opstart na authenticatie door de gebruiker, kan een hoop ellende voorkomen. USB sticks zouden eigenlijk verboden moeten worden. Het kopiëren van data naar een USB stick kun je blokkeren, of je kunt het opslagmedium zelf versleutelen. Het e-mailverkeer is ook een gevaarlijke bron voor datalekken. Het per abuis versturen van een verkeerd bestand is een menselijke fout die bijna dagelijks wordt gemaakt. En dan liggen plotseling de kwartaalcijfers van een beursgenoteerde onderneming of de volledige klantenlijst op straat. E-mail-bijlagen kun je dus beter ook versleutelen. DropBox, OneDrive, Box en andere cloudoplossingen zijn handig om bestanden op te slaan en te delen, maar ook hier zijn datalekken zeker niet uit te sluiten. Versleutel de persoonlijke gegevens daarom voordat je ze naar de cloud stuurt. Intern kunnen volgens Anthony ook datalekken optreden waardoor een inbreuk wordt gepleegd op de privacy van werknemers. Wie controleert de systeembeheerder? Functiescheiding is een groot goed. Een systeembeheerder mag geen inzage hebben in het salaris of ziektebeeld van collega’s, dat is onethisch.

Conclusie: Sophos GDPR Roadshow geslaagd

Het is algemeen aanvaard dat encryptie de beste methode is om te voldoen aan de nieuwe EU-regulering. De eerste tip ligt daarom voor de hand: maak gebruik van encryptie. Maar er zijn meer preventietips: download altijd de nieuwste patches, installeer een firewall van de nieuwste generatie, gebruik sandboxing om verdachte programma’s geïsoleerd uit te voeren en beperk de verspreiding van gevoelige data. Voor meer informatie over deze nieuwe regelgeving: download de whitepaper en download het voorbeelddocument op onze website voor een degelijk databeschermingsbeleid.