Gastexpert: Guilty until proven innocent

Data, veiligheid en privacy, kort door de bocht de meest gevoelige it-onderwerpen. Het Europees Parlement buigt zich over nieuwe wetgeving, de General Data Protection Regulation (GDPR), die mogelijk dit jaar nog doorgang vindt en verregaande gevolgen heeft voor het bedrijfsleven. De tijd voor bewustwording hierover is nu echt aangebroken, vindt ook Pieter Lacroix van Sophos.

Met de GDPR worden bedrijven gedwongen na te denken over data en dan specifiek data die te herleiden is naar personen. Deze wet heeft dan ook flinke gevolgen voor het bedrijfsleven. Maar hoe belangrijk is deze wetgeving eigenlijk? Behoorlijk belangrijk, deze wet wordt dan ook niet voor niets ingevoerd. 'Er is nogal wat veranderd de afgelopen twintig jaar, sinds de invoering van de EU databeschermingsrichtlijn uit 1995', vertelt Pieter Lacroix, Managing Director bij Sophos Nederland. 'Er waren toen geen smartphones, geen cloud storage, geen informatie-uitwisseling zoals we die vandaag de dag kennen. Dus het werd zeker tijd om hier eens grondig naar te kijken. Op Europees vlak komt er een wet aan die we eigenlijk al eind dit jaar verwachten. Daarnaast komt er in Nederland ook een wet aan omtrent dezelfde issue die inmiddels al door de Tweede Kamer is goedgekeurd. Er zit dus behoorlijk wat beweging in deze zaak op Europees en nationaal niveau, hoewel de politiek altijd langzamer werkt dan je verwacht en we daarom niet met zekerheid kunnen zeggen wanneer de wetgeving en regulatie over dataprotectie daadwerkelijk wordt doorgevoerd.'

Integraal beleid

Mocht er iets verkeerd gaan en er toch data op straat komen te liggen, bijvoorbeeld door een gestolen laptop of een verloren usb-stick, dan ligt de verantwoordelijkheid bij het bedrijf om te bewijzen dat zij die data goed beschermd hebben. Kan het bedrijf dit niet bewijzen dan neemt de wetgever aan dat het bedrijf schuldig is aan een datalek. Met andere woorden: 'Guilty until proven innocent'. Maar hoe pak je dat dan aan als organisatie? Pieter: 'Wij geloven in een integraal beleid. Dat betekent dat er allereerst awareness moet zijn en iedereen binnen een organisatie dus ook de noodzaak inziet om data voldoende te beveiligen. Daarnaast moet er een centraal rapportage systeem zijn, zodat je als organisatie daadwerkelijk kunt bewijzen dat data beschermd wordt. Dat betekent ook dat je geen lappendeken van oplossingen moet gebruiken, maar een systeem moet gebruiken wat in tandem met elkaar werkt en de data op zowel laptops als op servers, op USB sticks, in mails, in de cloud en op smartphones monitort.'

Verantwoordelijkheid

Dat de nieuwe wetgeving grote gevolgen voororganisaties gaat hebben, staat vast. Om aandacht te vragen voor en te informeren over deze zeer belangrijke stap naar beveiliging van data organiseerde Sophos al enkele roadshow ontbijtsessies in maart dit jaar. Ook heeft het bedrijf een whitepaper uitgebracht die organisaties informeert over de komende veranderingen. Voelt Sophos zich misschien ook verantwoordelijk voor deze informatievoorziening? 'Absoluut', zegt Pieter. 'Klanten verwachten het niet, maar wij vinden dat we onze verantwoordelijkheid moeten nemen. Wij zijn de koploper in de industrie, volgens Forrester en Gartner. We moeten dus niet ons hoofd in het zand steken, maar juist zorgen dat iedereen weet wat er speelt op dit gebied.'