Hoe een raamwerk kan helpen om GDPR-compliant te zijn

Het afgelopen anderhalf jaar zijn organisaties bezig geweest om de basis te leggen voor GDPR-compliancy. Dat heeft nog best veel voeten in de aarde gehad. Eerder dit jaar bleek al dat veel Nederlandse bedrijven nog niet compliant zijn. Ongeveer 85 procent van de gemelde datalekken was gerelateerd aan ongeautoriseerde openbaarmaking blijkt uit een rapport (pdf) van de Data Protection Commission (DPC), het overkoepelende orgaan van de verschillende Europese autoriteiten die toezicht houden op naleving van de GDPR. Dit percentage onderstreept dat bedrijven hun zaken op orde moeten brengen. Dat kan door een raamwerk te ontwikkelen waarin je een samenhangend geheel van maatregelen treft om GDPR-compliant te worden.

Kenmerken

Wat zijn de kenmerken van zo’n raamwerk? Om te beginnen moet het praktisch en werkbaar zijn. Er zijn veel algemene varianten zoals de bekende ISO-frameworks, maar die bieden geen detailinformatie over de praktische inrichting. Een ISO-regel zal bijvoorbeeld zeggen dat je encryptie moet doorvoeren, maar de exacte invulling van het hoe en wat is aan de organisatie. Deze zal dus keuzes moeten maken. Dat betekent onder meer dat je medewerkers betrekt bij het ontwikkelen van het raamwerk. Het moet zowel top-down als bottom-up vorm krijgen. Door dat laatste zal het raamwerk praktisch en werkbaar zijn.

Visie en strategie

In de tweede plaats bevat het raamwerk een duidelijke visie en strategie op het gebied van data en privacy. Het moet glashelder zijn waar de organisatie nu staat en waar het over enkele jaren wil staan als het gaat om privacy. Centrale vraag is hoe je om wilt gaan met je data. Het beste is om een kernteam samen te stellen met vertegenwoordigers van verschillende specialismes en afdelingen die verstand hebben van, of een relatie hebben met de GDPR. Dat zijn met name human resources, communicatie, ICT, CISO en Privacy Officer/DPO. Dit team zorgt ervoor dat de boodschap en strategie van het bedrijf worden uitgedragen onder alle medewerkers. Het kernteam zorgt daarnaast idealiter voor een optimale informatievoorziening, bijvoorbeeld in de vorm van een FAQ-sectie op het intranet. Daarmee voorkom je ook een veelheid aan dezelfde vragen aan dezelfde mensen. Met een kernteam is er draagvlak en vermijdt een organisatie dat alles op de schouders komt te liggen van de DPO.

Rol van IAM

Een cruciaal onderdeel van een privacy-raamwerk is het bepalen van de autorisaties. Wie heeft toegang tot welke data op basis van het need-to-know principe? Kernvraag hierbij is of de theorie nog in overeenstemming is met de werkelijkheid. Organisaties die autorisaties niet structureel controleren, lopen al snel het gevaar dat de autorisaties na verloop van tijd niet meer volledig up-to date zijn. Werknemers en functies veranderen regelmatig en ongemerkt gaan autorisaties met mensen mee zonder dat dat de bedoeling is. Of autorisaties worden gekopieerd zonder een echte controle of een medewerker inderdaad alle rechten nodig heeft. Periodieke controles zijn dan ook erg belangrijk. Daarbij helpt het als een organisatie IAM-software (Identity & Access Management) gebruikt. Daarmee is het proces van periodieke controle van autorisaties te automatiseren, wat voor organisaties veel tijdwinst oplevert.

In control zijn

Een ander kernonderdeel van het raamwerk is het bepalen welke data je als organisatie verwerkt en in welke processen die data een rol spelen. In feite is dit je verwerkingsregister. Alleen hiermee kan een organisatie in control zijn en is het duidelijk waar en waarvoor de kritische en gevoelige informatie gebruikt wordt. Tevens is het van belang om inzichtelijk te hebben met welke leveranciers en derde partijen zaken worden gedaan en welke data hier naar toe gaat. Je kunt uiteindelijk alleen datgene controleren wat je kunt beheren. Inzicht en overzicht zijn cruciaal voor een effectief securitybeleid.

Cultuuraspect

Wat verder beslist niet vergeten mag worden in het raamwerk, is het bouwen van een cultuur waarin medewerkers zich bewust zijn van het belang van privacy. Dat houdt onder meer in dat medewerkers niet bang zijn om een melding te maken van een mogelijk datalek doordat ze bijvoorbeeld per ongeluk een mail met privacygevoelige gegevens verstuurden. Nu organisaties de securitytechnologie wel op orde hebben, is de mens nog het zwakke punt als het om security gaat. Dat onderstreept het belang van awareness-trainingen, waarin je medewerkers de tools en de informatie biedt om veilig om te gaan met persoonsgegevens. Organisaties waar geen enkele melding gedaan wordt, moeten zich zorgen maken. Daar blijven meldingen kennelijk onder de pet en dat kan zorgen voor boetes door de Autoriteit Persoonsgegevens (AP), zeker als datalekken verzwegen zouden worden.

Registratie

Tot slot is het zaak om incidenten heel goed te registreren. Dat is de enige manier om trends te ontdekken en daarop te acteren. Denk aan een afdeling waar er sprake is van een bovengemiddeld aantal datalekken. Dat kan aanleiding zijn voor een extra training. Verder biedt goede registratie prima handvatten om steeds beter om te gaan met incidenten.

Met behulp van deze kenmerken is de basis van een effectief raamwerk eigenlijk al gelegd. Daarmee is GDPR-compliancy overigens niet zomaar een feit. Het raamwerk schetst vooral de stappen op weg naar compliancy.

Dit is een ingezonden bijdrage van Philippe den Arend, Security Consultant & Information Security Officer bij Traxion. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.