contec

GDPR in de praktijk: makkelijke missers

gdpr in de praktijk

Het aantal regels en bepaling om GDPR in de praktijk te brengen is zo omvangrijk, dat het voor bedrijven heel eenvoudig is om een misser te begaan.

Sinds vrijdag 25 mei staan bedrijven voor de taak om GDPR in de praktijk te brengen. Hoewel het ingaan van deze wet ver van tevoren aangekondigd werd, is het aantal regels en bepaling zo omvangrijk dat het voor bedrijven heel eenvoudig is om een misser te begaan.

Volgens IT-auditors die verbonden zijn aan beroepsvereniging Norea is het voor bedrijven en organisaties zelfs onmogelijk om nu al te voldoen aan alle eisen van de privacywet. Gelukkig kijkt de wetgever bij mogelijke toetsing niet alleen naar veiligheidsmaatregelen die al genomen zijn, maar ook naar op hande zijnde aanpassingen en plannen. Bedrijven hebben dus nog even de tijd om hun zaken volledig op orde te krijgen en GDRP in de praktijk na te leven, maar moeten dat wel goed documenteren. De vraag daarbij is: welke privacy-valkuilen worden makkelijk over het hoofd gezien die eenvoudig te voorkomen zijn?

Het klinkt heel eenvoudig: van alle systemen die persoonlijke data opslaan of verwerken, moet aangetoond worden dat ze veilig zijn en dat alleen bevoegden bij de gegevens kunnen. Toch is het door de enorme wirwar aan gekoppelde IT-systemen en cloud-oplossingen een zeer lastige taak inzichtelijk te maken waar de privacygevoelige data bewaard wordt en wie er toegang toe heeft. Er zijn ook producten waarvan je makkelijk vergeet dat deze gegevens opslaan. Denk bijvoorbeeld aan een wifi gastennetwerk, dat bepaalde informatie van gebruikers vraagt en opslaat. Dit om de gebruikerservaring van de klant in een winkel of museum te verbeteren.

GDPR in de praktijk betekent bijvoorbeeld voor een winkel of het museum die gratis wifi aanbiedt, dat zij verantwoordelijk zijn voor de veiligheid van de persoonlijke gegevens van hun klanten. Maar de leverancier van het wifi moet ervoor zorgen dat zijn product goed beveiligd is en dat data niet op straat komt te liggen. Dan is het dus belangrijk een wifi systeem te gebruiken dat een verwerkersovereenkomst (Data Processor Agreement; DPA) hanteert, zodat duidelijk is wat de rollen en verantwoordelijkheden zijn. Een wifi leverancier die dit goed op orde heeft, is Mojo Networks. Dit bedrijf levert cognitive WiFi en cloud gebaseerde draadloze netwerkoplossingen, en is de eerste aanbieder die claimt dat zijn cloud oplossing GDPR-compliant is. Daarnaast voldoet Mojo ook als eerste leverancier van draadloze netwerkoplossingen aan de eisen van ISO 27001:2013 en SSAE SOC2.

Een andere toepassing die veel gebruikt wordt, maar niet snel in verband wordt gebracht met GDPR in de praktijk brengen, is filesharing. Oftewel: het delen van grote bestanden via een externe online partij (zoals bijvoorbeeld WeTransfer). Filesharing wordt veel gebruikt door werknemers die geen grote bestanden via de mail kunnen doorsturen, en hiervoor dus een online dienst gebruiken. Dat is geen probleem als het gaat om (anonieme) foto’s of video’s, maar wel als er contracten, offertes of andere documenten met privacygevoelige informatie worden doorgestuurd. Het probleem is dat online fileshare diensten niet altijd kunnen aantonen dat de files binnen Europa worden opgeslagen. En dat moet, wil men GDPR in de praktijk brengen.

Gelukkig zijn er goede, veilige alternatieven, zoals FileCap. De server waarop FileCap geïnstalleerd is, wordt niet gehost in een public cloud, maar op de beveiligde omgeving van de klant zelf. Charles Seegers, systeembeheerder bij GGD regio Utrecht, benadrukt het belang van een veilige up-en download dienst voor bestanden. “Onze teams werken met gegevens van het publiek, deze bevatten NAW-gegevens en soms ook Burgerservicenummers. Deze data mogen we natuurlijk niet onbeveiligd rondmailen of in de cloud opslaan, daar heeft de overheid strikte regels voor. Op dit moment gebruiken 700 GGD-medewerkers FileCap, en in het afgelopen jaar zijn er 190.000 documenten veilig geüpload en doorgemaild. Deze cijfers laten zien dat onze medewerkers frequent en zonder problemen gebruik maken van de oplossing.”

Ook Bas Arendshorst, werkzaam bij Informatisering & Automatisering van Biga Groep, maakt gebruik van FileCap. “Voor Biga Groep is het zeer belangrijk dat documenten altijd op een veilige manier verzonden worden. Ons team bestaat uit 70 medewerkers en die mailen elke dag veel bestanden met gevoelige informatie. We detacheren mensen, dus we versturen gegevens over ons personeel, maar ook urenstaten en contracten die NAW-gegevens bevatten. Met FileCap is zowel de veiligheid als het gebruikersgemak in orde. Met de Outlook-plugin van FileCap kunnen onze werknemers alle bestanden met privacygevoelige informatie veilig via de mail versturen. Dit is gezien de privacywet GDPR heel belangrijk.”

Naar boven