Verzet is zinloos – Uw bedrijf beschermen tegen niet-naleving van de voorschriften voor gegevensbescherming

25 mei 2018 kwam en ging, waardoor veel bedrijven niet voorbereid waren op het nalevingsniveau dat de Algemene Verordening Gegevensbescherming (AVG) vereist. Zelfs met een opzegtermijn van vier jaar, worstelen IT-technologen die verantwoordelijk zijn voor strategieën voor zakelijke veerkracht nog steeds om nieuwe verfijningen toe te voegen aan de lijst met doelen voor gegevensbescherming. Syncsort Uit het State of Resilience-rapport van 2018 blijkt dat de meeste IT-afdelingen zich zorgen maken over beveiliging en gegevensprivacy, vooral omdat ze cloudplatforms gebruiken om gegevens te verzamelen, op te slaan en te analyseren, zegt David Hodgson, chief product officer van Syncsort.

De lange arm van de wet

Volgens de auteurs van de AVG moet "de verwerking van persoonsgegevens worden ontworpen om de mensheid te dienen." De AVG bouwt voort op en vervangt de eerdere gegevensbeschermingsrichtlijn 95/46/EG en was in de eerste plaats bedoeld om de gegevensprivacywetten in heel Europa te verenigen en te standaardiseren. Maar het legt de lat voor gegevensprivacy hoger voor zowel organisaties binnen de regio als voor organisaties daarbuiten die zaken willen doen met EU-landen.

Kortom:elk bedrijf, waar dan ook, zou zijn gegevensbeheerpraktijken moeten heroverwegen in het licht van de AVG. Weet u welke gegevens u heeft, over wie, hoe die door u worden gebruikt of met anderen worden gedeeld? Is het goed beveiligd tegen diefstal? Uit hetzelfde onderzoek, met bijna 6000 respondenten wereldwijd, blijkt dat de meeste bedrijven nog steeds met deze problemen worstelen.

De persoon weer de leiding geven

De AVG waarborgt het recht van een individu om te weten dat een bedrijf persoonlijke gegevens over hen bewaart, wat die gegevens zijn, het recht om deze te inspecteren en te corrigeren en, belangrijker nog, het recht om ze te laten verwijderen, of het recht om te worden vergeten.

De nieuwe aanpak begint met het instemmingsrecht. Veel individuen hebben dit persoonlijk ervaren met bedrijven die e-mails sturen om de goedkeuring te bevestigen om persoonlijke gegevens te bewaren. Zeker, net zoals data de brandstof is voor veel nieuwe bedrijfsmodellen, is data nu ook de nieuwe bananenschil die voor een paar uitglijders kan zorgen.

De eerste stap is om duidelijk bij te houden welke gegevens je hebt, over wie en om toestemming te bevestigen. Een belangrijk onderdeel hiervan is het verenigen van uw kijk op een persoon in verschillende systemen, databases en gegevensbronnen. Is David Hodgson hetzelfde als David M Hodgson of zijn dit twee verschillende mensen? Om deze zichtbaarheid te bereiken, moet u ervoor zorgen dat u over de juiste tools beschikt die de gegevensintegriteit kunnen leveren en behouden.

Tools voor gegevenskwaliteit die zowel persoonlijke gegevens kunnen identificeren als helpen deze nauwkeurig, schoon en ontdubbeld te houden, zijn allemaal essentieel om naleving te bereiken. Even belangrijk is de mogelijkheid om een ​​controlespoor bij te houden van wie toegang heeft gekregen tot persoonlijke gegevens. Deze vereisten worden echter alleen maar moeilijker gemaakt op het gebied van big data en streaming data.

Wat zijn persoonlijke gegevens en hoe kunnen deze veilig worden gebruikt?

De verspreiding van praktijken voor het verzamelen van gegevens die onze online ervaringen routinematig individualiseren, hebben de digitale revolutie ondersteund, maar hebben ook geleid tot de zorgen die hebben geleid tot de AVG.

Artikel 4, lid 1, van de AVG definieert persoonlijk identificeerbare informatie (PII) als gegevens die een persoon identificeren, beschrijven of uniek zijn. Dit omvat de voor de hand liggende - naam, leeftijd en burgerservicenummers - maar ook items zoals IP-adressen en apparaat-ID's en gehashte of gecodeerde gegevensvelden als het doel is om een ​​persoon te identificeren.

GDPR vereist dat bedrijven de privacy van individuen beschermen en adviseert dat de meeste verwerkingen worden gedaan met het verwijderen van directe identifiers, zodat er geen koppeling aan een specifiek individu kan zijn. Dit concept staat bekend als gegevenspseudonimisering en kan de gevolgen van beveiligingsinbreuken die ertoe leiden dat gegevens worden gestolen, verminderen.

Het bouwen van nieuwe systemen die qua ontwerp conform zijn, is altijd eenvoudiger en effectiever dan het achteraf inbouwen van mogelijkheden op oudere systemen. Anonimiserings-, maskerings- en verduisteringstools zouden in beide gevallen de belangrijkste componenten moeten zijn, maar de kostengedreven realiteit is dat de meeste bedrijven op zoek zullen zijn naar tools om gemakkelijk te integreren met bestaande datatoegangspunten.

De meeste bedrijven hebben meerdere databases en delen steeds vaker gegevens tussen hen voor realtime use-cases. Deze use-cases zijn vaak essentiële aanjagers van bedrijfsgroei voor bedrijven, maar ze zijn ook de bron van kwetsbaarheden. Tools die bijhouden welke gegevens worden gedeeld, moeten de schaal en snelle veranderingen aankunnen die deze nieuwe architecturen mogelijk maken.

De toekomst komt altijd sneller dan je denkt

De snelheid van de tijd laat ons over het algemeen onvoorbereid, en dit lijkt altijd zo te zijn in de wereld van IT. Het niet naleven van de AVG kan resulteren in een boete van € 20 miljoen of 4% van de wereldwijde omzet van een niet-conforme organisatie – om nog maar te zwijgen van de impact op de bedrijfsreputatie. Nu de deadline van mei is verstreken – tenzij bedrijven volledige naleving bereiken – is het slechts een kwestie van tijd voordat we de eerste handhavingsboetes zien.

De auteur van deze blog is David Hodgson, chief product officer, Syncsort