De General Data Protection Regulation (GDPR) is ingegaan. Vanaf vandaag geldt deze Europese regelgeving voor alle bedrijven die handel drijven binnen de Europese Unie. Zeker aanbieders van smart homes moeten met de GDPR rekening houden.
- Voor wie geldt de GDPR?
- Meer rechten voor consumenten
- Plan van aanpak
- GDPR en WiFi
Bedrijven die niet klaar zijn voor de GDPR, lopen grote risico’s. De Autoriteit Persoonsgegevens wil streng tegen ze optreden. Om dit te voorkomen is een gerichte strategische aanpak nodig. Welke gegevens bevinden zich in de organisatie? Hoe worden ze beheerd? En wie heeft er toegang toe?
Voor wie geldt de GDPR?
De GDPR is van toepassing op elke organisatie die persoonsgegevens verwerkt. Persoonsgegevens zijn onder meer: nationale identificatienummers, burgerservicenummers, e-mailadressen, geboortedata en IP-adressen (relevant voor Internet of Things-toepassingen!). Bedrijven moet vanaf mei in staat zijn om aan te geven waar die gegevens zich bevinden om ze te kunnen beschermen en indien nodig te verwijderen.
Aanbieders van smart homes moeten niet alleen nadenken over hun traditionele klantgegevens. Ook de data die worden gegenereerd door IoT-apparaten, vallen onder hun verantwoordelijkheid.
Plan van aanpak
Op grond van de GDPR heeft iedere EU-burger het recht om te weten hoe zijn persoonsgegevens worden gebruikt. Ook kan hij eisen dat zijn gegevens volledig worden verwijderd. Organisaties die gegevens van EU-consumenten en -werknemers verwerken, moeten dus waakzaam zijn bij de bescherming van die gegevens, ongeacht waar die zich bevinden. Niet-naleving van de voorschriften kan een bedrijf veel geld kosten. Er kunnen geldboetes van wel 20 miljoen euro of 4 procent van de wereldwijde jaaromzet worden opgelegd. En dan is er nog de reputatie- en vervolgschade…
| Kijk hier voor alle artikelen over de GDPR
Kaseya, leverancier van complete IT-beheeroplossingen, noemt 4 actiepunten die bedrijven kunnen ondernemen om compliance-risico’s terug te dringen:
1. Start met een gap-analyse en compliance-assessment
Een gap-analyse laat zien in welke mate je bedrijf al compliant is en welke stappen je nog moet nemen om aan alle regels te voldoen. Zo’n analyse zal eventuele compliance-ontwikkelingen binnen het bedrijf blootleggen, waaronder sterke punten en kansen voor verbetering. Een gap-analyse is de eerste stap tot een compliance-assessment en, uiteindelijk, een compliance-plan.
2. Shadow IT en mobiele apparatuur
Shadow IT wordt gedefinieerd als alle hard- en software in gebruik bij individuen of afdelingen, die niet officieel worden ondersteund of zijn goedgekeurd door de IT-afdeling, en die dus een groot compliance-risico voor het bedrijf vormen. Voorbeelden van Shadow IT-apps zijn Skype, Evernote en Dropbox.
Als iemand binnen het bedrijf een systeem gebruikt om data op te slaan, valt dit onder de GDPR. Niet weten dat het gebruikt wordt en wat er precies wordt opgeslagen, zou kunnen betekenen dat het bedrijf de wet overtreedt. Als er data uit dat systeem lekt, maar je hebt er geen weet van, hoe kun je dan compliant zijn en het rapporteren? Hetzelfde geldt voor mobiele devices, die even compliant moeten zijn als desktops en laptops. Dit betekent dat zowel Shadow IT-apps als toegestane apps geïnspecteerd moeten worden.
3. De rol van automatisering en RMM-oplossingen
IT-automatisering is essentieel om ervoor te zorgen dat alle IT-taken worden uitgevoerd, toegepast op alle apparaten, getraceerd en gerapporteerd. De beste vorm van bescherming is vaak het automatiseren van dagelijkse taken die drukke IT-professionals makkelijk over het hoofd zien. Veel van de technische acties die nodig zijn om data te beschermen, zijn simpelweg best practice-handelingen, maar juist die worden vaak verwaarloosd. Vandaar ook dat de meeste gevallen van inbreuk voortkomen uit alledaagse kwetsbaarheden.
Eén manier om compliance te garanderen, is met een Remote Monitoring en Management-tool (RMM). Deze software geeft beheerders de mogelijkheid om applicaties, servers, workstations en computers op afstand te monitoren en te herstellen. Met de juiste RMM-oplossing zijn IT-professionals te allen tijde op de hoogte van eventuele problemen of veranderingen in de systeemstatus, die een inbreuk suggereren.
4. Stel patch management in en installeer antimalware
Patch management en een up-to-date antimalware-oplossing zijn beide vereist om data-inbreuken en cyberaanvallen te voorkomen en GDPR-compliant te zijn. Patching is essentieel, maar vormt tegelijkertijd een grote uitdaging voor bedrijven die vertrouwen op handmatige IT-middelen en de waakzaamheid van end-users. De oplossing is geautomatiseerde patching, zodat patches op alle endpoints en servers geïnstalleerd worden zodra ze beschikbaar zijn. Dit geldt ook voor een oplossing die automatisch updates en beveiliging installeert op alle bedrijfssystemen.
GDPR en WiFi
Mojo Networks is leverancier van cognitive WiFi en cloud gebaseerde draadloze netwerkoplossingen die onlangs een cloud-oplossing presenteerde die GDPR-compliant is.
Mojo fungeert als gegevensverwerker namens zijn klanten. Overeenkomstig de GDPR gaat Mojo Networks een verwerkersovereenkomst met hen aan. Deze overeenkomst zet de rollen en verantwoordelijkheden uiteen op weg naar GDPR-compliance.
Stel: een klant is bij je bedrijf op bezoek en maakt verbinding met het draadloze netwerk via een aanmeldingsportaal voor gasten. Je bedrijf informeert de klant over de mogelijkheid om in te loggen op het gastennetwerk met behulp van de tools en functies in de Mojo Cloud.
Onder de GDPR heeft een klant recht op inzage in de gegevens die over hem of haar worden bewaard. De klant vraagt om een overzicht van al diens persoonsgegevens die jouw bedrijf in zijn digitale systemen heeft opgeslagen. Je bedrijf maakt gebruik van de tools van de Mojo Cloud voor het opvragen van de persoonsgegevens van de gebruiker die in de Mojo Cloud zijn opgeslagen en stelt een rapport op maat samen voor de klant.
Onder de GDPR kan de klant vragen om verwijdering van zijn persoonlijke gegevens. Na inzage van het rapport dient de klant een verzoek bij jouw werkgever in om al diens persoonsgegevens die in de digitale systemen zijn opgeslagen, te wissen. Je bedrijf maakt daarop gebruik van de tools van de Mojo Cloud om de persoonsgegevens in de Mojo Cloud te wissen.
