Er is al veel inkt gevloeid in de aanloop naar de invoering van de GDPR en zijn potentiële impact op bedrijfsvoering wereldwijd. Met de naderende deadline van 25 mei 2018 is het belangrijk om als organisatie inventaris te nemen van waar je staat in je voorbereiding op de nieuwe regelgeving om eventuele negatieve implicaties te vermijden. Hoewel de datum voor invoering vastligt betekent dit niet dat alle details omtrent de te nemen stappen duidelijk zijn, ook de Europese Commissie erkent dit. De nieuwe regelgeving mag dan wel van toepassing zijn in alle EU-lidstaten dit betekent niet dat er geen aanpassingen moeten gemaakt worden aan bestaande wetgeving door de EU overheden, incl. het opzetten van een Europese Data Protection Board door de lokale data/privacy autoriteiten. De commissie heeft 1.7 miljoen euro opzij gezet voor het ondersteunen hiervan, een bijkomende 2 miljoen euro is beschikbaar voor de lokale autoriteiten in hun opdracht om bedrijven, en in het bijzonder KMO's bij te staan in hun traject richting invoering
Is het dan allemaal slecht nieuws en nutteloze bezigheidstherapie?
De weg om je als organisatie in lijn te stellen met de regelgeving zou je kunnen opvatten als iets negatiefs dat extra werkt en kosten veroorzaakt en je niet verder brengt in het concurreren als bedrijf op de globale markt. Maar het juist omgaan met persoonlijke data zal in de praktijk meestal betekenen dat je je algehele security staat ook omhoog gaat en je dus beter gewapend bent tegen de steeds algemener wordende dreigingen vanuit de cyber-criminaliteit hoek.
Stel dat je standaard encryptie van data gaat invoeren, of data minimalisatie (data enkel zolang bijhouden als het nodig is) gaat toepassen, dan is de kans op een negatieve impact na lekken alvast beperkter.
GDPR is niet enkel een technologie-issue
Ik herinner me nog de keynote van Bill Gates op de Heizel in 2006 waar hij al aangaf dat IT-security een samenwerking is van mensen, processen, en technologie, dit is voor GDPR niet anders. Wees dus op je hoede voor mensen die je een magische oplossing voor GDPR voorschotelen. Je als organisatie in regel stellen met GDPR valt ook zeker niet enkel onder de vleugels van de IT afdeling maar zou een zaak van de gehele organisatie, tot en met het hoogste management, horen te zijn.
Maar GDPR is zeker ook een een technologie-issue
Een van de implicaties van de GDPR is dat je voldoende technische en organisatorische maatregelen moet nemen die ervoor zorgen dat persoonlijke data beter beschermd wordt. Inclusief bescherming tegen niet geautoriseerde toegang en ongewettigde verwerking van de data en tegen accidenteel verlies, vernietiging en schade en dit door het invoeren van de juiste technologie.
Door het toepassen van de juiste technologie, als onderdeel van de gehele strategie, kan je het naleven van de regelgeving zeker vergemakkelijken. Oplossingen die helpen bij het inzichtelijk maken van de locatie van data, het doorzoeken van data op bepaalde patronen, encryptie van gegevens, automatische policies die data na een vooraf vastgestelde periode verwijderen etc. zijn een hulpmiddel voor de IT organisatie om samen met de rest van het bedrijf op te treden als goede huisvader als het gaat om het beschermen van persoonlijke data, iets wat zonder de GDPR ook een nobel doel is.
Meer weten?
Meld u aan voor de ON-DEMAND WEBINAR: Accelerate GDPR compliance with VMware and Rubrik