De vloedgolf aan data bepaalt meer en meer de manier waarop we zaken doen en de interactie met de wereld om ons heen. Het is de bestaansvoorwaarde in dit digitale tijdperk; consumenten kunnen overal elk gewenst(e) product of dienst kopen en bedrijven hebben toegang tot een grotere markt dan ooit tevoren. Het gevolg is dat gegevens zich ook overal bevinden, zelfs in meerdere landen en regio’s tegelijk. Dus wanneer er een gebeurtenis zoals de Brexit plaatsvindt, is het belangrijk dat bedrijven kijken welke impact dit op hen heeft of kan hebben.
Het belang wordt nog zichtbaarder wanneer je kijkt naar de Schrems II-uitspraak van het Europese Hof van Justitie, waarin staat dat het Privacy Shield niet in overeenstemming was met de privacyrechten van burgers. In eerste instantie heeft dit een probleem veroorzaakt voor bedrijven die gegevens van de EU naar de VS doorgeven; er wordt niet langer bescherming geboden tegen aansprakelijkheid. Bovendien kan het gevolgen hebben voor de overdracht van gegevens tussen het VK en de EU.
Als onderdeel van de Brexit-deal is er voor gegevensbeschermingsdoeleinden een overgangsperiode van vier tot zes maanden afgesproken. Voorlopig kunnen persoonsgegevens vanuit de EU naar het VK worden geëxporteerd zonder aanvullende beveiligingen te implementeren. Zodra deze overgangsperiode voorbij is, is er geen vrije stroom meer van gegevens van de EU naar het VK, tenzij er een akkoord wordt bereikt. Hoewel dit proces nog loopt, moeten bedrijven zich voorbereiden op het nemen van de nodige maatregelen. Bedrijven in de EU moeten voldoen aan de Britse wetgeving rondom gegevensbeveiliging en vice versa.
Raamwerk
Afgezien van de Brexit was de meest ingrijpende gebeurtenis van de afgelopen tijd het coronavirus. Als gevolg hiervan zijn bedrijven gaan kijken naar en overgestapt op een nieuwe manier van werken: remote working. Vervolgens ontstond ook nood aan degelijke, veilige online-samenwerkingstools, waarmee op afstand even efficiënt is te werken als op kantoor.
Om gegevens te beheren, gebruiken bedrijven cloudtechnologie om miljoenen mensen gemakkelijk toegang te geven tot systemen en informatie. Industrieën zoals de gezondheidszorg maken bijvoorbeeld gebruik van cloudtechnologie, zoals track en trace, om gevoelige patiëntgegevens met betrekking tot de pandemie te beheren. Echter, deze nieuwe aanpak creëert een nieuw raamwerk voor de relatie tussen de cloud en de organisatie die de gegevens bewaart, waarbij wordt gekeken naar wie toegang heeft tot gevoelige gegevens en vanuit waar.
Dit is al een probleem sinds de cloud bestaat. Echter, doordat meer mensen thuiswerken, worden er ook door meer bedrijven gegevens gedeeld in cloud-omgevingen. Zelfs voordat de pandemie toesloeg, wees het ‘Thales Data Threat Report 2020’ uit dat de helft van alle gegevens was opgeslagen in cloud-omgevingen en dat 47 procent van de organisaties het voorgaande jaar een inbreuk had meegemaakt. Aangezien dit aantal waarschijnlijk exponentieel is gestegen sinds het begin van de pandemie, betekent dit dat er nieuwe uitdagingen op het gebied van gegevensbescherming voor organisaties zijn ontstaan, en dit terwijl ze grip proberen te krijgen op hun complexere it-omgeving.
Ongeacht waar de gegevens zich bevinden, of het nu in het VK, de EU of daarbuiten is, zijn er aanbevolen maatregelen die bedrijven nu kunnen nemen. Om te beginnen met het beschermen van de gegevens die zij in hun bezit hebben. Met deze richtlijnen kunnen organisaties een vertrouwd privacy-raamwerk bouwen met behulp van encryptie en kunnen zij bestaande richtlijnen volgen die een zekere fundamentele bescherming bieden voor gegevensstromen. Deze omvatten:
- Ontdek waar uw gegevens zich bevinden en classificeer ze
Op die manier weet een organisatie welke gegevens het heeft, zodat het de juiste beveiligingsmaatregelen kan treffen zoals beschreven door de AVG?GDPR.
- Bescherm gevoelige gegevens door middel van encryptie voor zowel data at rest als data in motion
Door het versleutelen van netwerkverkeer en data in de cloud en in datacenters kan niemand de data lezen, zelfs de cloudproviders niet meer.
- Controleer de toegang tot de gegevens door encryptiesleutels aan te maken, op te slaan en te beheren in het land van herkomst van de gegevens
Op die manier bezit het bedrijf in kwestie de sleutels, niet de cloudprovider, en heeft geen enkele overheid of instantie ongeoorloofde toegang tot de gegevens.
Wet naleven
Uiteindelijk zal de dynamiek tussen bedrijven in het VK en de EU veranderen. Bedrijven moeten zich realiseren dat ze de wet moeten blijven naleven als ze gegevens/data produceren en opslaan. Begin zoals je van plan bent en ga ervan uit dat je alle gegevens moet beveiligen. Om te bouwen aan een toekomst op basis van vertrouwen, is handelen volgens de regels belangrijk. Vooral in deze digitale wereld in wording.
Auteur: Steven Maas, sales director encryptie bij Thales
Ik snap dat een sales director encryptie bij Thales graag versleuteling verkoopt maar het advies van European Data Protection Board (EDPB) luidt dat je eerst de informatiedelingen inzichtelijk maakt, het is dan ook wel handig om te weten wie er sleutels moeten krijgen om berichten te kunnen te lezen. Je begint dus met de rechtmatigheid van overdacht aan gegevens want er zijn nogal wat exportfuncties die voor een onrechtmatige opslag zorgen. Een probleem dat trouwens al lang voor de cloud bestond want met de invoering van de PC begonnen we data naar de gebruiker te brengen in plaats van andersom. En hierbij keken we over het algemeen niet naar de gevoeligheid van de informatie, de fileshares in de cloud hebben alleen maar wat begrenzingen doen laten wegvallen en daar maken bepaalde landen dankbaaar gebruik van. Maar vergeet ook het gemak van e-mail niet want opmerkelijk veel meldingen hebben betrekking op het verkeerd adresseren van gevoelige informatie.