Nieuwe Europese wetgeving rondom databescherming

Waarom het IT-channel dit op orde dient te krijgen…

Tonny_Roelofs-smallBen jij al op de hoogte van de nieuwe Europese General Data Protection Regulation? Dit is een wet die u eisen op gaat leggen om data te beschermen. Omdat het invloed heeft op vrijwel het gehele IT-channel, schreef ik onlangs dit artikel, dat recentelijk verscheen op Dutch IT Channel en ik u zeker niet wil onthouden.

Je hebt er ongetwijfeld al iets van gehoord, maar er wellicht nog niet uitgebreid over nagedacht. Het duurt tenslotte nog enkele jaren voordat deze is ingevoerd en het is waarschijnlijk ook nog eens bedacht in een iets te stoffige kamer in Brussel. En het is, eerlijk is eerlijk, behoorlijk taaie kost. Maar feit is dat deze nieuwe wetten gaan leiden tot de grootste verandering wat betreft databescherming in Nederland in de afgelopen twintig jaar. Degene die dit in de komende 12 tot 24 maanden niet genoeg aandacht geeft, riskeert een boete van 2 procent van de omzet of kan in het slechtste geval zelfs in de gevangenis eindigen. Dit soort sancties moet zorgen voor meer focus op beveiliging van gevoelige data. Waarom zou je je hierover zorgen moeten maken? Het klinkt als stemmingmakerij zoals men het alleen in Amerika kent, of toch niet?

EU-wetgeving 2014
Wat houdt de nieuwe wetgeving precies in? Deze is erop gericht een grotere verantwoordelijkheid neer te leggen bij degenen die gegevens van burgers bewaren of verzenden. Het is duidelijk; cloud- en service providers worden hierdoor waarschijnlijk het zwaarst getroffen. Een van de belangrijkste onderdelen is de vereiste om datalekken te melden. Ik ben nog weinig organisaties tegengekomen die daar al een procedure voor in kaart hebben gebracht. Het uitwerken van processen voor het melden van lekken, welke afdelingen en personen van de organisatie hierbij betrokken moeten worden en het beoordelen of de huidige beveiliging op orde is, zal veel tijd in beslag nemen. Het is dus raadzaam hier nu mee te beginnen.

In tegenstelling tot een EU-richtlijn waar je de keuze hebt tot invoering of niet, is dat niet mogelijk bij EU-wetgeving. Het “goede nieuws” is dat deze regelgeving pas in 2014 of zelfs 2015 van start zal gaan. Het “slechte nieuws” is echter dat als je er tot op heden niet over hebt nagedacht, de tijd weleens kan gaan dringen.

Rechten
De nieuwe wetgeving zal vermoedelijk ook begrippen als “recht om te worden vergeten” en “recht op data portabiliteit” met zich meebrengen. Deze zijn erop gericht meer macht in de handen van het individu te leggen waardoor hij/zij alle gegevens over zichzelf volledig kan wissen uit het systeem van een service provider en het, indien gewenst, kan overzetten naar een nieuwe provider. Dat is lastig, het vereist zorgvuldige planning in het verzamelen, classificeren, bewaren, beveiligen en het vernietigen van data.

Grensoverschrijdende data
Het verplaatsen van data over de grenzen zal ook worden aangepakt. Dat wil zeggen dat elke onderneming die klantgegevens naar een land verstuurt waar de beveiliging niet vergelijkbaar is met die van de EU, gestraft kan worden. Dit zal duidelijkheid moeten bieden over waar cloud-data zich bevindt. Het zal daarnaast ook effect hebben op outsourcing-regelingen en zal daarom een reden zijn voor channel-organisaties om nog eens goed te kijken naar hoe veilig de gegevens van hun klanten worden bewaard.

Tijd voor actie
Deze ingrijpende nieuwe wetgeving zal niet alleen direct invloed hebben op cloud- en managed service providers en leveranciers, maar impliciet ook op hun channel-partners. Kortom, het is dus voor het gehele kanaal tijd om te weten welke vragen zij kunnen stellen aan hun leveranciers en service providers. Maar ook om hun interne veiligheidsmaatregelen aan te scherpen. Voor velen is beveiliging slechts bijzaak en wordt het minimale gedaan omdat het nou eenmaal moet. Voor hen is het nu dus tijd om in actie te komen.

Ook al is de EU rijkelijk laat met wetgeving: het ziet er naar uit dat we er niet meer om heen kunnen. We zullen het moeten omarmen omdat goede afspraken cruciaal zijn in het cloud computing tijdperk. Hoe ver ben jij?

Dit artikel verscheen eerder op Dutch IT Channel

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *