Ik hoor veel zin en onzin over het thema ‘GDPR’. Het lijkt me daarom goed om enkele van die verwarringen voor eens en altijd recht te zetten. Vooropgesteld, ik ben geen GDPR-expert, maar wél een ciso met heel wat ervaring in het implementeren van programma’s rond risicomanagement en informatiebeveiliging. Bovendien houd ik me bezig met de GDPR-readiness voor mijn eigen organisatie.
Een van de onderdelen van mijn baan is netwerken met security executives via rondetafels, focusgroepen en op evenementen. Ondanks mijn pogingen om onderwerpen als cloud-security en malware-analyses op de agenda te krijgen, blijft GDPR toch het meest gewilde onderwerp op dit moment.
Misvatting
De grootste misvatting over GDPR is dat men echt controle krijgt over de data binnen de nieuwe verordening – en de vraag is of je dat sowieso zou moeten hebben. Tenslotte kan men niet alles controleren. Sterker nog, ik vertel alle security-leaders juist dat 80 procent van de GDPR-gerelateerde gegevens juist niet onder het beheer van ciso’s valt. Neem bijvoorbeeld een retailer met honderden winkels. Men heeft geen eenzijdige controle over waar alle data zich bevindt, welke afdelingen data bezitten en waarom ze deze data hebben verzameld. Dus hoe kan men dan de rol van pseudo data-eigenaar op zich nemen?
Om hier op een andere manier naar te kijken, zouden we de tijd een paar decennia moeten terugzetten. Denk eens aan accountancy- en marketingbedrijven in het pre-MacBook-tijdperk. Als GDPR zou worden ingevoerd toen we allemaal nog papieren dossiers en archiefkasten gebruikten, zou u dan de it-afdeling hebben gevraagd te helpen bij het classificeren van informatie, of uitvoeren van een data flow-analyse? Nee! Want dat behoorde niet tot de taak van it.
Waarom hebben zoveel organisaties nu dan besloten om alle data en processen te laten beheren door it? Het overgrote deel van de huidige kritieke bedrijfsprocessen is natuurlijk digitaal. Maar alleen omdat de data digitaal is en op een server met knipperende lichtjes staat, wil niet zeggen dat de ontwerper of beheerder van dat systeem de data die daarop is opgeslagen of wordt verwerkt ook echt begrijpt.
GDPR gaat erover dat ‘data subjects’ de macht en controle krijgen over hoe en waar een bedrijf hun informatie gebruikt. Het gaat erover dat controllers (en verwerkers) de dataverwerking op transparante wijze uitvoeren. Het gaat over het verzekeren dat informatie niet voor eeuwig rondslingert op servers, ook al is deze niet direct nodig voor de organisatie die het opslaat. Hoewel de beveiligingsfunctie kan helpen met het ‘hoe’ rond gegevensbescherming, draagt deze weinig bij in het vaststellen van het ‘waarom’ van gegevensverzameling.
Invloed en compliant
Ik denk dat ik de volgende zin wel tweehonderd keer per jaar schrijf: ‘ De beveiligingsfunctie is er om controle toe te passen op de classificatie van data, niet om deze te definiëren.’ Begrijp me niet verkeerd: de ciso en zijn team zijn integraal onderdeel van informatieprivacy. Als we het echter over ownership van GDPR hebben, dan zou ik zeggen dat ciso’s gaan over artikel 6 van de GDPR-verantwoordelijkheid. Dit principe stelt dat data ‘op een verantwoordelijke manier moet worden verwerkt om de veiligheid te behouden’. De teams moeten definiëren of informatie op rechtmatige wijze wordt verwerkt, of ze weten waarom ze het hebben verzameld, ze zeker weten dat het nodig is te behouden, ze een proces hebben voor het updaten van de gegevens en ze het alleen behouden zo lang als nodig is. Pas daarna is het eerlijk om met de ciso te bespreken hoe de informatie beschermd moet worden.
Een ander belangrijk ding om in gedachten te houden: GDPR is geen magische, allesomvattende tool om compliance op te lossen. Het is een verordening met betrekking tot data, die ervoor moet zorgen dat een organisatie informatie verzamelt en opslaat op legitieme wijze en weer verwijdert wanneer deze niet langer nodig is. GDPR is bijvoorbeeld ook niet zo prescriptief als pci dds. Zo gaat pci dds requirement 5 bijvoorbeeld over aanschaf en gebruik van anti-virus. In GDPR bestaan dergelijke voorschriften niet – slechts wat vage termen over het gebruik van state-of-the-art security.
Voor informatieprivacy en security-compliance is vast en zeker een controleraamwerk vereist, toch? Laten we eens naar compliance met pci dds kijken, dat is relatief eenvoudig. Pci dds is een reeks van duidelijk ingedeelde controledoelstellingen, de meeste daarvan infosec-gerelateerd. Het security design/crypto-team zorgt ervoor dat data van betaalpassen goed is versleuteld, terwijl het security assurance-team de penetratietest regelt en bevindingen oplost. Zijn ze beide tevreden, dan halen ze de qualified security assessor (qsa) erbij. Compliance wordt uitgedrukt in een percentage.
Laten we bovenstaand compliance-voorbeeld eens bekijken met een GDPR-lens. Mijn probleem met deze theorie is dat er voor GDPR geen qsa’s zullen bestaan. Het is immers geen securityprobleem dat opgelost dient te worden. Toegegeven, een assessment door een qsa dat men pci dds-compliant is, moet niet worden gezien als een stempel dat u breach-proof bent. Maar het zet wel een baken. In het geval van GDPR weet u voor het eerst hoe robuust de controle is, op het moment dat er een inbreuk is. Dat lijkt een beetje op dat rijexamen doen nadat men een ongeluk hebt gehad.
Compliance wordt bereikt wanneer wordt voldaan aan een reeks voorgeschreven controledoelstellingen. Jammer genoeg bestaan deze niet voor GDPR. GDPR gaat erover dat organisaties op legitieme wijze persoonsgegevens verzamelen en verwerken. Het is aan de ciso en het team om hun kennis van het onderwerp te gebruiken bij de interpretatie van ‘state-of-the-art’ security en ervoor te zorgen dat de controles in verhouding staan tot het risico. Ik zou zeggen dat dit geen paradigmaverschuiving in GDPR-land is. We hebben deze methode, ogenschijnlijk, al een tijdje toegepast!
Europese aangelegenheid?
Er bestaat een misvatting bij sommigen dat GDPR exclusief geldt voor organisaties met een fysieke infrastructuur in een Europees land. Dat is onjuist! Wanneer u in Europa bent en u koopt een product of dienst in de EU, dan bent u gecoverd. Maar technisch gezien, is uw woonplaats niet het belangrijkste punt.
Bent u een EU-burger, woonachtig in de Verenigde Staten, en koopt u Amerikaanse goederen die vervolgens worden verzonden naar een Amerikaans adres…
Nee, dan is de GDPR niet noodzakelijk van toepassing. Er is een aantal ‘extraterritoriale voorwaarden’, maar dat is een tamelijk vaste vuistregel. In de artikelen 3 en 4 van de GDPR wordt vermeld dat een niet-EU-land betrokken is wanneer het gegevens van een data subject in de Europese Unie verwerkt. Als het data subject Brits of Amerikaans is, doet het er niet toe. De oorsprong van de verwerking is belangrijk.
Bedrijven buiten de European Economic Area (EAA) kunnen ‘gelijkwaardigheid’ van controles aantonen – iets dat de Amerikanen momenteel doen via het EU-VS-privacyschild. Hoe ziet het privacyschild er uit na GDPR? Veel van de principes zullen hetzelfde blijven, maar de interpretatie en handhaving zullen zeker anders zijn.
De silver bullet
GDPR gaat big business worden voor security-leveranciers. Er is echter een gevaar dat iemand een ‘silver bullet’ wil verkopen. Dat wil zeggen dat men beweert dat één oplossing u een veilige manier biedt om GDPR aan te pakken. Vanuit mijn oogpunt kunnen security-leveranciers op de volgende manieren helpen met GDPR:
– Zorgen voor een passend en professioneel contact met klanten om te helpen bij het invullen van leveranciersbeoordelingen en privacy-impact assessments;
– Bieden van oplossingen die intrinsiek ‘privacy by design’ bieden, de verzameling van gegevens minimaliseren en mogelijkheden voor verhulling en pseudonimisering;
– Bieden van oplossingen die het bewaren van informatie binnen de EU mogelijk maken;
– Bieden van transparantie / adequaatheid van de controles wanneer informatie in derde landen wordt verwerkt.
Laten we wegblijven van elke leverancier die beweert dat ze ‘GDPR voor u kunnen oplossen’. Zodra een organisatie begrijpt waar zijn data zich bevindt, zijn er technische oplossingen die de risico’s van een datalek kunnen beperken.
Laten we even teruggaan naar het oorspronkelijke uitgangspunt van dit artikel: dat 80 procent van de GDPR buiten de controle van de ciso valt. Wat kan een ciso dan doen aan de externe perceptie dat dit een beveiligingsprobleem is?
Het is een gegeven dat om de privacy van gegevens te beschermen, het waarschijnlijk een grote vergissing is om gegevens te laten lekken. Dat is het soort incident waartegen veiligheidsmaatregelen zouden moeten bestaan. De beste verdediging is daarom een goede aanval. Dat omvat technologie en de inzet van bewezen verdedigingstechnieken, waarvan elke ciso een competente beoefenaar zou moeten zijn. Maar het betekent ook dat we een rol moeten spelen in het opleiden van onze directeuren, leidinggevenden en collega’s over hun rol bij het beschermen van gegevens: het kiezen van systemen en werkwijzen die de GDPR-principes ondersteunen en behouden van practices die de klantengegevens beschermen.