28 november 2017 -
Om burgers van de Europese Unie betere bescherming van persoonsgegevens te garanderen wordt 25 mei 2018 de General Data Protection Regulation (GDPR) ingevoerd. GDPR zorgt voor een sterke, uitgebreide en gelijkwaardige bescherming van privégegevens.
Goed nieuws voor burgers, maar bedrijven wordt het met de komst van deze nieuwe regels moeilijker gemaakt door middel van meer verantwoordelijkheden, strengere handhaving en hogere boetes. In dit artikel biedt Cees Quirijns van Portland concrete handvatten, die bedrijven waar gebruik wordt gemaakt van mobile devices helpen om te gaan met de invoer van GDPR.
Bescherming privacygevoelige bedrijfsdata
Met de nieuwe regelgeving komt bescherming van privacygevoelige bedrijfsdata bovenaan de prioriteitenlijst van bedrijven te staan. Daarbij is het belangrijk te letten op alle plekken waar klantgegevens zich zouden kunnen bevinden. Naast het beschermingsniveau van bedrijfscomputers, moet er ook worden gelet op de bescherming van data op mobiele devices. "De moeilijkheid hierbij is dat bedrijven, die hun bedrijfsdata willen beschermen op de mobiele devices van medewerkers, toegang moeten krijgen tot deze devices waarbij ze automatisch ook in contact komen met die persoonlijke data,’’ aldus Quirijns. Hoe kan een bedrijf ervoor zorgen dat data beschermd is op mobile devices?
Bedrijfsdata op mobile devices
Het behoeft weinig toelichting dat privacygevoelige data van bedrijven, zoals bijvoorbeeld klantgegevens, beschermd moeten worden. Wanneer een medewerker een laptop, tablet of telefoon verliest, dan is het zaak dat een ongeautoriseerd persoon niet bij die data kan. Bedrijven kunnen hiervoor zorgen door:
• Op een mobile device bewaarde klantgegevens extra te beveiligen. Zorg ervoor dat de data niet vrij toegankelijk is, zodat er in geval er een telefoon, laptop of tablet om wat voor reden dan ook verloren raakt niet per definitie meteen sprake is van een datalek. Software biedt hiervoor steeds meer mogelijkheden. Waarbij jaren geleden enkel een wachtwoord moest worden ingevoerd bij het aanzetten van bijvoorbeeld een mobiele telefoon, is het nu al verder ontwikkeld naar vingerafdrukken en gezichtsherkenning;
• Veel softwareprogramma’s maken het mogelijk data te wissen op afstand. Dit is te vergelijken met het blokkeren van een bankpas. Mocht het degene die het apparaat in handen heeft gekregen lukken om toegang te krijgen, dan is er niets te vinden.
Investeren in software
Bovenstaande maatregelen verkleinen de kans dat privacygevoelige data op straat komt te liggen aanzienlijk. Waar medewerkers de toegang hebben, én verbinding maken met verschillende wifi-netwerken, benadrukt Quirijns het belang van het investeren in software die virussen, malware en ransomware voorkomt.
Al deze voorbereiding en voorzichtigheid verkleint de kans op datalekken, maar maakt deze niet onmogelijk. "Mocht het, na alle maatregelen, nou toch misgaan dan is het zaak om (mogelijke) datalekken actief te monitoren en de schade te beperken," stelt Quirijns. Waar het gaat om schade beperkende maatregelen kunnen bedrijven bijvoorbeeld denken aan:
• Het regelmatig automatisch laten 'inchecken' van alle mobile devices, om vermiste apparatuur snel te ontdekken. Wanneer een device ontbreekt is mogelijk deze met behulp van software te lokaliseren. Dit is vergelijkbaar met de Apple-applicatie ‘Zoek mijn iPhone’;
• Ervoor te zorgen dat niet ieder device toegang heeft tot dezelfde hoeveelheid gegevens. Door een datarechtenstructuur aan te brengen is een datalek bij de receptioniste minder ingrijpend dan bij de algemeen directeur;
• Privacygevoelige bestanden alleen op een veilige manier te delen en synchroniseren, zodat een eventueel lek nog te repareren valt;
• Een protocol te ontwikkelen dat duidelijk maakt hoe om hoort te worden gegaan met datalekken.
Mobiele persoonlijke data
Wat het wapenen tegen datalekken lastig maakt, is het feit dat om bovenstaande maatregelen te treffen, er toegang nodig is tot de mobile devices van medewerkers. Bij het inzetten van toepassingen om bedrijfsdata te beschermen, zoals Mobile Device Management (MDM) en Enterprise Mobility Management (EMM), krijgt een organisatie ook toegang tot persoonlijke informatie van de medewerkers. Ook deze data dient beschermd te worden. Van belang is om ook hier maatregelen voor te treffen, met als startpunt transparantie. Wees duidelijk naar medewerkers over wat de organisatie door inzet van deze toepassing wel en niet kan zien. Geef hierbij medewerkers ook desgewenst inzicht in eigen data. Zorg daarnaast voor:
• Een ‘Bring Your Own Device’ beleid (BYOD). Veel medewerkers gebruiken eigen devices voor zakelijke doeleinden. Ontwikkel als organisatie een beleid dat duidelijkheid geeft over de verplichtingen voor de werknemer en de bevoegdheden van de werkgever met betrekking tot dit zakelijk gebruik van privé-apparatuur;
• Een gerechtvaardigd doel. Het moet voor alle partijen duidelijk zijn wat er met de data wordt gedaan. Vergaar alleen data die nodig is voor her bereiken van de zakelijke doeleinden. Zorg ervoor dat de overeengekomen regels worden nageleefd en bewaar data niet langer dan noodzakelijk.
