Voor de meeste organisaties is de grootste uitdaging het helder krijgen wat de komst van GDPR voor hen betekent en daarnaast begrijpen wat ze moeten doen om de nieuwe regels te kunnen naleven. Om dit te bereiken, moeten ze zich bewust zijn van welke data zij precies opslaan en ervoor zorgen dat ze die data makkelijk weer terug kunnen vinden.
Allereerst moeten bedrijven beseffen dat de nieuwe verordening bepaalt dat persoonsgegevens van de persoon in kwestie zijn, en niet van het bedrijf dat de gegevens in bezit heeft. Klanten of leden krijgen straks toegang tot hun persoonlijke gegevens en kunnen wijzigingen aanvragen. Ze hebben zelfs het recht om te vragen om te worden vergeten. Als de organisatie geen duidelijk beeld heeft van die gegevens en waar die zijn opgeslagen, kan dat een behoorlijk probleem zijn.
Recht op compensatie
De nieuwe regelgeving bepaalt dat bedrijven alleen informatie mogen vasthouden zolang het nodig is. Klanten of leden hebben zelfs recht op compensatie als hun rechten worden geschonden. Het is een ontnuchterende gedachte dat ondernemingen data kunnen bezitten die rechtstreeks in strijd zijn met de GDPR-voorschriften. Daarom is het belangrijk stappen te ondernemen om datasets te verwijderen die niet aan de vereisten voldoen.
Om dit te bereiken moeten gegevens: rechtmatig en transparant verwerkt zijn; verzameld zijn voor gespecificeerde, expliciete en legitieme doeleinden; relevant zijn en beperkt tot wat nodig is; nauwkeurig en up-to-date zijn; zolang bewaard worden als nodig is; op gepaste wijze verwerkt worden om de veiligheid te bewaken.
Object storage
Hoewel het voldoen aan al deze vereisten afschrikwekkend kan zijn, is het gebruik van object storage een goed startpunt waar een organisatie kan beginnen met de overgang naar GDPR-compliancy.
We maken vrijwel allemaal gebruik van object storage, bijvoorbeeld door Netflix te kijken, muziek te luisteren via Spotify, of bestanden uit te wisselen met Dropbox. Objecten vertegenwoordigen data, net als bestanden. In tegenstelling tot bestanden worden objecten niet hiërarchisch ingedeeld. Binnen object storage wordt gebruikgemaakt van een ‘platte’ pool van opslagcapaciteit. Daarnaast wordt er gebruik gemaakt van metadata. Deze tags worden gebruikt om de inhoud van de objecten uitgebreid te beschrijven om de objecten makkelijker vindbaar te maken.
Om GDPR-compliant te zijn, moeten organisaties informatie kunnen vinden. Object storage maakt gebruik van rijke metadata. Objecten worden opgeslagen in combinatie met tags met een omvang van slechts een paar kilobytes. Elk object krijgt een unieke id, een tag die later kan worden gebruikt om informatie te vinden via een Google-achtige zoekopdracht.
Daarnaast maakt de onbegrensde capaciteit van object storage het mogelijk om gegevens te consolideren tot één enkele doorzoekbare pool. Bovendien werken veel populaire back-upoplossingen, zoals Rubrik, Veritas, Commvault en Veeam, met object storage. In combinatie met de onbeperkte schaalbaarheid betekent het dat het mogelijk is om een backup te maken van alle servers en storage naar een enkele, doorzoekbare pool.
Waar is het opgeslagen?
Met de komst van GDPR, is het belangrijk om te weten waar gegevens fysiek zijn opgeslagen. De regering eist namelijk dat bepaalde gegevenstypen op locatie of binnen geografische grenzen blijven. Object storage biedt ook hier een uitkomst: een enkel storage systeem kan meerdere locaties omvatten, maar gegevens kunnen op een specifieke locatie binnen dat systeem worden bewaard. Dat is belangrijk omdat, a) alle gegevens doorzoekbaar zijn binnen dat enkele systeem, en b) er nog steeds aan de vereisten van GDPR kan worden voldaan.
