De GDPR (AVG) gaat in op 25 mei 2018. Wat moeten resellers en eindgebruikers weten over deze Europese verordening? En hoe kunnen ze er geld mee verdienen? Wat betekent de GDPR voor het ict-verkoopkanaal in het algemeen?
Nederland heeft zich ontwikkeld tot één van de meest ict-intensieve economieën van Europa. Ruim 5 procent van het bruto binnenlands product wordt verdiend met ict. Deze digitale economie groeit inmiddels sneller dan andere economische sectoren. Om de kansen die met deze groei gepaard gaan te kunnen benutten, is vertrouwen in die verder digitaliserende samenleving noodzakelijk. Hiervoor is een goede borging nodig van grondrechten, waaronder het recht op bescherming van de persoonlijke levenssfeer. Voor het bedrijfsleven en de overheid liggen hier uitdagingen, maar vooral ook kansen. Privacy als ‘unique selling point’.
Bovenstaande staat in de brief die de Autoriteit Persoonsgegevens 6 april 2017 heeft gestuurd aan staatssecretaris van Veiligheid en Justitie, Klaas Dijkhoff.
Wat moeten resellers en eindgebruikers weten?
General Data Protection Regulations (GDPR) zal in Nederland actief worden vanaf 25 mei 2018 onder de naam Algemene verordening gegevensbescherming (AVG). Deze vervangt de huidige Wet Bescherming persoonsgegevens (Wbp). Om te kunnen ‘voldoen’ dient een combinatie van maatregelen te worden genomen die van invloed zijn op de processen, mensen en technologie bij bedrijven en organisaties.
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacy rechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
Wanneer er niet aan de wet wordt gehouden heeft de Autoriteit Persoonsgegevens de mogelijkheid om een boete op te leggen van maximaal twintig miljoen euro. Of een boete van 4 procent van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Wanneer een datalek dient te worden gemeld, dan dient dit binnen 72 uur vanaf de constatering te gebeuren.
‘Het meest voorkomende type datalek was het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (45 procent van de meldingen)’ volgens publicatie overzicht meldingen datalekken eerste kwartaal 2017 van de Autoriteit Persoonsgegevens.
GDPR en het ict-verkoopkanaal
De nieuwe regels voor gegevensbescherming is zeker een opportuniteit voor organisaties om het vertrouwen van personen/consumenten te winnen door het verstrekken van duidelijke, doeltreffende informatie rond de behandelen van hun gegevens.
Gebleken is dat zowel bedrijven als overheden veel behoefte hebben aan voorlichting en advisering. Om zo vroeg mogelijk bij het ‘GDPR-project’ betrokken te zijn dient het ict-verkoopkanaal dit te kunnen bieden aan hun klant. Dit kan middels eigen diensten of door samenwerking met een derde partij. Belangrijk is betrokken te blijven bij het project om o.a. de actiepunten te weten en daarop te kunnen handelen. Bijvoorbeeld het leveren van een oplossing.
Het ict-verkoopkanaal dient duidelijke keuzes maken in welke dienstverlening wordt geboden om zich te onderscheiden van andere aanbieders, waarna focus te leggen op de uitvoering en de profilering. Bijvoorbeeld focus op een sector waar verwerking van persoonlijke gegevens op grote schaal is vereist zoals gezondheidszorg en welzijn, financiële dienstverlenging en openbaar bestuur. Maar ook de ict-sector zelf.
Bij het selecteren van diensten, producten en oplossingen is het van belang de vraag te stellen hoe de dienst of oplossing’ bijdraagt aan GDPR/AVG-compliance. Op deze vraag dienen leveranciers een antwoord te hebben. Dezelfde vraag gaan namelijk de prospect en/of klant ook stellen aan het ict-verkoopkanaal. Er worden reeds opdrachten gegund op basis van hoe de leverancier kan bijdragen aan GDPR-compliance.
Voor een ict-partner zijn onderstaande punten belangrijk in het uitbouwen van een strategie naar klanten betreffende GDPR:
- Het promoten van eigen GDPR compliance via social media, blogs, email en website;
- Het opleiden van mensen tot GDPR specialisten en het uitbouwen van een diensten aanbod met gap analyse, consultancy en audits. Voor de ontbrekende diensten kijken naar partnerships;
- Het in kaart brengen van oplossingen en vendoren betreffende data protectie;
- Het presenteren aan de klant hoe deze oplossingen kunnen bijdragen tot zijn GDPR compliance.
Geld verdienen
Dit kan onder andere door de wetgeving te zien als een kans om het informatiebeveiligingsniveau te verhogen voor prospects en klanten. Als eerste stap is het belangrijk in kaart te brengen of er een data protection officer (dpo) aangesteld is of wie bij de klant verantwoordelijk is voor de beveiliging van de data.
Wanneer er budget is dan kan er worden gekeken welke diensten/oplossingen de snelste effecten hebben op het verhogen van het beveiligingsniveau. Daarbij dient te worden gedacht aan ‘privacy by design’ en ‘state of the art technology’.
Zoals bekend ‘meten is weten’. Of te wel er dient inzicht te zijn waar (gevoelige) persoonlijke data zicht bevindt, veel organisaties hebben niet de (technische) middelen om te inventariseren waar data zich bevindt. Wanneer dat inzicht er is dan is de volgende stap te bepalen welke data te beveiligen en hoe deze data te beveiligen met technieken als encryptie, data loss prevention en authenticatie. En dit geautomatiseerd, beheersbaar en schaalbaar.
Het vastleggen (loggen) van acties zoals ’toegang tot of vernietiging, wijziging of vrijkomen’ is cruciaal. Ten eerste om zelf te kunnen bepalen wat het bedrijfsrisico is, maar ook om te bepalen of een datalek dient te worden gemeld. Het woord datalek kan verwarrend zijn omdat hieronder aanpassen of verwijderen valt. Dit blijkt uit de publicatie van 3 oktober 2016 door de Autoriteit Persoonsgegevens; ‘Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.’
Wellicht goed om zelf te kijken op de website van Autoriteit persoonsgegevens waarop een datalek dient te worden gemeld. Door dit te doen krijgt u een goed beeld van de soort vragen die dienen te worden beantwoord en de informatie die binnen 72 uur dient te worden aangeleverd.
Daarnaast zal GDPR/AVG een belangrijker onderdeel vormen van vervanging van bestaande it-beveiligingsoplossingen, waarbij databeveiliging een grotere rol zal spelen. En een transformatiemogelijkheid biedt om van infrastructuurbeveiliging naar databeveiliging te evolueren.
Prominente rol
In dit artikel spreken we voornamelijk over data in de vorm van persoonsgegevens, uiteraard zijn bovenstaande kansen en maatregelen van toepassing bij alle bedrijven en organisaties die werken met data die een waarde vertegenwoordigd zoals patenten, onderzoeksrapporten, financiële cijfers, et cetera.
Maatregelen die ervoor zorgen dat data niet kan worden gelekt of niet waardevol is bij een lek blijven belangrijk. Denk daarbij aan technologieën die zorgen voor inbraakdetectie, bescherming van apparatuur waarop de data zich bevindt, netwerkbeveiliging, encryptie, opsplitsen van data zodat ze niet kan leiden tot identificatie, bescherming van toegang, privileges en de identiteit. En ook het systematisch oplossen van kwetsbaarheden in software (‘patchen’) blijft een belangrijke best practice om datalekken te vermijden.
Ook in projecten om de security infrastructuur te hernieuwen zal data security een meer prominente rol gaan spelen en voor partners is het dan ook belangrijk om de fabrikanten die in deze markt acteren in het portfolio te hebben en daar de nodige kennis rond op te bouwen.