vijf scenario's gdpr

Het is bijna 25 mei: vijf scenario’s die we na de GDPR-deadline in de praktijk gaan zien

Er is jaren aan gewerkt, hij staat nu al twee jaar in de planning en er wordt nog druk over gediscussieerd. Maar nu is het dan toch echt bijna zo ver: de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) is met ingang van 25 mei 2018 van kracht. De vraag is niet langer: ben je op de hoogte van de veranderingen? De vraag is: ben je er kláár voor? Organisaties hebben geen keus: wie binnen de Europese Unie actief is, moet compliant zijn. Hoe nu verder? Wat kunnen we verwachten als de deadline straks achter ons ligt?

1) Geen hoge boetes, voorlopig…
Binnen de GDPR kunnen toezichthouders boetes van 20 miljoen euro tot maximaal vier procent van de wereldwijde jaaromzet van een bedrijf opleggen. In tegenstelling tot de vetgedrukte krantenkoppen en alarmerende verhalen, ligt het niet voor de hand dat dit soort megaboetes direct uitgedeeld wordt. Sterker nog, de toezichthouder in het Verenigd Koninkrijk heeft zelfs publiekelijk aangegeven dat het “bangmakerij is om te stellen dat organisaties voor kleine overtredingen zwaar bestraft worden, om zo als voorbeeld voor anderen te dienen…) (…We kiezen er liever voor om te belonen dan te bestraffen).”

Toch zijn de genoemde bedragen niet symbolisch en gaan de toezichthouders op een gegeven moment sancties opleggen. Wanneer? Dat is de hamvraag. Het is in ieder geval goed om je te realiseren dat de toezichthouders ook de macht krijgen om gegevensstromen naar landen buiten de EU te blokkeren of dataprocessen helemaal stop te zetten. Iedere organisatie die met beide benen in de 21e eeuw staat, zou hier zeer zware impact van ondervinden. Er zit dus meer in de GDPR dan alleen heftige financiële sancties.

2) De GDPR als wapen voor cybercriminelen
We kunnen veel van cybercriminelen zeggen, maar ze zijn in ieder geval vindingrijk. Aan de razendsnelle opkomst van ransomware hebben we al gezien dat chantage een populair middel is. En de GDPR biedt criminelen een nieuwe kans om dit middel in te zetten. Afhankelijk van wanneer en in welke mate er sancties aan overtreders van de wet worden opgelegd, kunnen hackers er straks ook voor kiezen om te dreigen met een datalek en organisaties hiermee te chanteren. Als zij een bedrag vragen dat minder hoog ligt dan de GDPR-boete, zijn er vast en zeker veel die er voor kiezen om het incident onder de pet te houden. De organisaties die hun poot wél stijf houden krijgen de toezichthouder op hun dak, omdat de hacker in kwestie het datalek bekend maakt. Op deze manier heeft de GDPR de potentie om uit te groeien tot een nieuw businessmodel voor cybercriminelen. Een ongewenste bijwerking.

3) Dienstverleners krijgen met incidenten te maken.
De GDPR gaat ook de samenwerking tussen dienstverleners en IT-afdelingen beïnvloeden. Service providers die data voor hun opdrachtgevers beheren, krijgen nog eens extra met de nieuwe regelgeving te maken. Dit heeft impact op de volle breedte van het spectrum, maar met name op gespecialiseerde cloudproviders. Zij zijn, net als hun opdrachtgever, verantwoordelijk voor breaches op het platform dat zij ter beschikking stellen.

De supply chain van een moderne organisatie is enorm complex geworden, met afhankelijkheden van en fysieke verbindingen met enorm veel partijen. Overzicht houden over dit soort ketens is complex, laat staan om je te wapenen tegen security-risico’s ergens in die keten. Voeg hier nog eens aan toe dat veel van dit soort netwerken landsgrenzen (en de grenzen van de EU) overstijgen en het is een kwestie van tijd is voor dit ergens misloopt. Zorgen dat de processen, procedures en security-maatregelen met elkaar in lijn zijn, is noodzaak voor opdrachtgever, -nemer en partner om sancties te voorkomen.

4) De doofpot
Ondanks (of juist vanwege) de heftige gevolgen die een datalek kan hebben, zullen sommige organisaties geneigd zijn een incident in de doofpot te stoppen. We hoeven niet te benadrukken dat dit – zeker op de lange termijn – alleen maar averechts werkt. De GDPR is juist bedoeld als stok achter de deur voor organisaties. Zij krijgen de kans transparanter te zijn over de data die zij van consumenten of opdrachtgevers vastleggen, hoe zij dat doen en vooral ook waarom zij dat doen.

Als we niet van het slechtste uitgaan, zitten we er nog steeds mee dat bedrijven in veel gevallen simpelweg niet in staat zijn om betrokkenen bij een databreach voldoende te informeren, omdat zij niet beschikken over de benodigde informatie. Kunnen we dit voorkomen? Het is keiharde noodzaak om planmatig te monitoren en direct te reageren bij een incident. De tijdslimiet die je volgens de GDPR hebt om te reageren, is immers 72 uur. De IT-afdeling en security-officer kunnen hier niet aan voldoen als ze geen 100 procent inzicht hebben in datastromen en processen.

5) Aanpassen kost tijd
De GDPR doet nu veel stof opwaaien, en velen binnen het IT-wereldje zien 25 mei als een keiharde deadline, net zoals bijvoorbeeld 1 januari 2000 dat was voor de problemen rond de millennium-bug. Maar in werkelijkheid ligt het genuanceerder. Voldoen aan de GDPR-eisen is een ongoing proces. Op 1 juni 2018 is het niet ‘achter de rug’, nee, dan is het tijd om een vervolg uit te stippelen om nóg beter te voldoen aan de gestelde eisen. Gelukkig geldt dit ook voor de verschillende toezichthouders. In de eerste periode na 25 mei doen ook zij het waarschijnlijk even rustig aan en wachten af tot de eerste storm is gaan liggen.

Als je je zorgen maakt over GDPR, is het dus verstandig je te richten op de lange termijn. Zie het als een kans voor je business-model, in plaats van een verplichting of risico. Betrek de IT-afdeling, juristen en professionals uit het primaire proces bij een strategie. Want een lang verhaal kort samengevat: de GDPR komt er aan en blijft een grote rol spelen in de komende jaren. Het security-landschap gaat volledig op de schop!  

Tip: wilt u meer weten over GDPR compliancy? Bekijk dan vooral ook onze videoreeks over dit thema.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.