21 aug
Jarenlang is het bedrijven en organisaties mogelijk gemaakt om niet of beperkt bezig te zijn met cybersecurity. Er waren wel regels, maar die werden nauwelijks gehandhaafd en boetes zijn er niet uitgedeeld. Wij verwachten dat dit vanaf volgend jaar echt anders gaat worden. Maar veel bedrijven en organisaties lijken zich dat nog niet te realiseren; gebruik de vakantieperiode dus goed om je voor te bereiden!
Laten we eerlijk zijn; de regelgeving rond om cybersecurity stelde de afgelopen jaren niet veel voor. Een privacyverklaring en cookiebeleid op de website was vaak voldoende. Toen in 2016 de Wet Meldplicht Datalekken werd ingevoerd, leekt het er even op dat het de goede kant op ging. Maar achteraf is deze aanscherping van de wet niet erg streng gehandhaafd, waardoor veel bedrijven en organisaties in feite nog weinig verbeterd hebben…
GDPR
Wij verwachten dat dit met de invoering van de General Data Protection Regulation (GDPR) enorm gaat veranderen. Die Europese regelgeving, die op 25 mei 2018 in gaat, eist van bedrijven dat ze strenge en veel technische maatregelen nemen om persoonsgegevens van mensen te beschermen. En de boetes voor het niet naleven zijn hoog. Die kunnen oplopen tot 20 miljoen euro of vier procent van de wereldwijde omzet van een bedrijf.
Niet mee bezig
In gesprekken die ik voer en bij lezingen die ik geef, merk ik dat vooral kleinere bedrijven vrijwel niet met de GDPR (of meldplicht datalekken) bezig zijn. Terwijl dit ook voor hen verstrekkende gevolgen kan gaan hebben. Er worden veel technische en organisatorische voorwaarden gesteld over het beveiligen van persoonsgegevens, het beschikbaar stellen daarvan en de mogelijkheid om persoonsgegevens volledig te verwijderen. Ook moeten bedrijven verantwoorden hoe ze dat doen en beschrijven hoe de verantwoordelijkheid is geregeld.
Waarde
Niet alle punten uit de GDPR gaan voor alle bedrijven gaan gelden. Er wordt gekeken hoe waardevol de data is die je bezit en verwerkt. Een bakker die een e-maillijst heeft voor een nieuwsbrief heeft minder ‘waardevolle’ data dan een accountant die met persoons- en bedrijfsgegevens werkt. Daarom is het zinvol om dat nu al te gaan bepalen. Zeker nu het wat rustiger is, is dit de ideale gelegenheid te bekijken hoe waardevol de data is die je hebt en wat je vervolgens moet doen om aan de eisen van de GDPR te gaan voldoen. Want je moet niet alleen je beveiliging op orde hebben, ook moet je kunnen aantonen dat je regelmatig je systemen scant, zodat je eventuele indringers snel kunt stoppen en data veilig kunt stellen.
Vakantie
Deze tijd is het vaak wat rustiger. Gebruik de vakantie dus niet alleen om achterstallig werk af te maken, maar zet deze tijd vooral in om de waarde van al je data te bepalen. Mei 2018 lijkt nog ver weg, maar dat is het sneller dan je denkt!