Onbekende SaaS-applicaties zijn een landmijn in het GDPR-speelveld

Abonneer je gratis op Techzine!

De belangrijkste reden om te kiezen voor de cloud is kostenbesparing, blijkt uit verschillende onderzoeken. Organisaties besparen gemiddeld 16 procent door het gebruik van public cloud services. Een andere reden die veel wordt genoemd, is innovatie. Organisaties willen profiteren van de grote flexibiliteit die de cloud kan bieden, bijvoorbeeld de mogelijkheid om opslagcapaciteit snel uit te breiden en on-demand opties.

Er zijn nog slechts enkele dagen te gaan tot de invoering van de privacywet GDPR en toch worden deze cloud services vaak vergeten. Dit terwijl bijna elke organisatie wel een aantal van deze diensten gebruikt, zoals Software as a Service (SaaS)-applicaties.

SaaS en GDPR

Organisaties worstelen met de GDPR-regelgeving, vooral in combinatie met het toegenomen SaaS-gebruik. Er zijn veel verschillende componenten waar bedrijven aan moeten voldoen voordat ze zichzelf GDPR-compliant mogen noemen. De meeste componenten berusten op een eenvoudige basis: inzicht in waar in de onderneming persoonsgegevens te vinden zijn, wie toegang tot die informatie heeft en hoe ze worden verwerkt. Dit staat beschreven in artikel 30 van de de GDPR-wetgeving, die heet de Record of Processing Activity (RoPA). Om de RoPA op te bouwen, moeten organisaties alle opslagplaatsen van persoonlijke gegevens die in de hele onderneming worden gebruikt ontdekken en documenteren, ongeacht het platform.

En dat brengt ons terug naar SaaS. De meeste organisaties kunnen goed omgaan met opslag van persoonlijke gegevens die zich op locatie bevinden. Veel moeilijker wordt het als persoonlijke gegevens zijn opgeslagen in de cloud of SaaS-applicaties. Hiervoor zijn een paar redenen. In de eerste plaats zijn de methoden die in veel organisaties worden gebruikt gericht op – of zelfs beperkt tot – scans van datacenters on-premise. Deze tools zijn vaak niet in staat om ook gegevens in cloud-diensten te ontdekken. De tweede reden is de manier waarop veel SaaS-applicaties worden ingekocht. Deze maken, in tegenstelling tot dataopslag op locatie, vaak geen deel uit van de gecentraliseerde inkoop. Met andere woorden: SaaS-applicaties worden vaak gekocht door afdelingen met weinig tot geen betrokkenheid met de IT-afdeling.

De IT- en GDPR-teams vertrouwen op een nauwkeurige rapportage van IT, maar de IT-afdeling is dus niet in staat om een volledig beeld te krijgen van alle opgeslagen persoonlijke gegevens binnen de onderneming. Zonder een volledig beeld is de basis van de GDPR-naleving wankel. Een gebrek aan inzicht in SaaS-applicaties zorgt dus voor een onmogelijke naleving van de GDPR waardoor de kans op boetes groter wordt. Hoe kun je in deze laatste uren erachter komen waar persoonlijke gegevens zich bevinden in SaaS-applicaties? Hieronder een aantal tips.

Stap 1 – Zorg voor geautomatiseerde detectie on-premises en in cloud omgevingen

Het inventariseren van alle opgeslagen persoonsgegevens is dus verplicht volgens de RoPa. Geautomatiseerde oplossingen voor het opsporen van persoonlijke gegevens kunnen helpen om deze inventaris te maken. Daarnaast zorgt een geautomatiseerd systeem er ook voor dat deze voortdurend wordt bijgewerkt. Nalevingsdocumenten zoals de RoPA moeten worden bijgewerkt wanneer nieuwe systemen – zowel op locatie als in de cloud – worden toegevoegd of verwijderd.

Stap 2 – Bepaal welke gegevens worden gedeeld met leveranciers en hoe ze ermee omgaan

GDPR is ook complex omdat een organisatie niet alleen verantwoordelijk is voor zijn eigen beveiligingsmaatregelen, maar ook voor de omgeving van leveranciers met wie zij persoonlijke gegevens delen. Met name in artikel 28 van het GDPR wordt uitgelegd hoe een organisatie de verwerking moet opnemen in zijn contracten met leveranciers die toegang krijgen tot persoonsgegevens van Europeanen. Aangezien veel organisaties persoonlijke gegevens delen via SaaS-applicaties is het belangrijk te weten welke SaaS-gegevens er zijn en welke leveranciers toegang hebben tot deze persoonlijke gegevens. Om dit voor elkaar te krijgen is het belangrijk om samen te werken met leveranciers om zo de verwerking van persoonlijke gegevens en algemene gegevensbeveiliging te beoordelen.

Volgens de GDPR moeten bedrijven hun leveranciers machtigen om persoonsgegevens te verwerken volgens gedocumenteerde instructies en veiligheidsmaatregelen. Bedrijven moeten mogelijk ook eisen opnemen die specificeren hoe leveranciers kunnen helpen bij verplichtingen zoals het melden van datalekken.

Stap 3 – Persoonlijke gegevens indelen naar type en weten waar ze zich bevinden

Bij veel GDPR-processen zullen organisaties niet alleen moeten weten waar persoonsgegevens zich bevinden, maar ook welk type persoonsgegevens zijn opgeslagen. Om bijvoorbeeld een ‘recht om vergeten te worden’-verzoek te kunnen beheren, moeten bedrijven de persoonlijke gegevens voor een specifiek onderwerp kunnen vinden en vervolgens kunnen uitsplitsen welke gegevens moeten worden verwijderd en wat moet worden bewaard. Dit proces moet worden uitgevoerd in alle dataopslagplaatsen, zowel op locatie als in SaaS-applicaties.

Stap 4 – Bepalen wie toegang heeft tot persoonsgegevens

De meeste organisaties hebben een goede beveiliging voor dataopslag op locatie. Als het gaat om SaaS-applicaties, is dit echter vaak niet het geval. Een grote groep gebruikers heeft toegang tot SaaS-applicaties en daardoor dus ook tot persoonlijke gegevens. Strenge beveiliging is daarom cruciaal. Bovendien zijn er vaak geen processen die registreren wanneer iemand geen toegang meer mag hebben tot bepaalde SaaS-applicaties, waardoor de applicaties toegankelijk blijven voor medewerkers die eigenlijk geen toegang meer horen te hebben of misschien zelfs de organisatie al hebben verlaten. Het instellen van toegangscontrole en beveiliging voor alle opslagplaatsen met persoonsgegevens, dus ook van SaaS-gebaseerde databases, is een belangrijk onderdeel van GDPR-compliance.

Al met al: behandel SaaS net als elk ander systeem. Omdat organisaties vaak over zowel data binnen SaaS-applicaties beschikken als over data op locatie, is dit makkelijker gezegd dan gedaan. De handhaving van SaaS, met name met betrekking tot de GDPR, zal voorlopig dus nog speciale aandacht en toewijding vereisen. De belangrijkste stap is het inzichtelijk maken van waar persoonsgegevens zich bevinden.

Dit is een ingezonden bijdrage van Tim Jesser, Director of Global Product Marketing bij Snow Software.