De General Data Protection Regulation, of wel GDPR, is inmiddels actief. Vanaf nu is elk bedrijf wettelijk verplicht om persoonsgegevens maximaal te beveiligen. Wat betekent dit voor jouw IT-omgeving?

Het Facebook-schandaal

Stiekem genieten we er een beetje van als Mark Zuckerberg voor de honderdste keer “I’m sorry” zegt. Want laten we eerlijk zijn: hoe durft Facebook zo achteloos met onze privacy om te springen?! Het Facebookschandaal, waarbij de gegevens van 87 miljoen gebruikers onrechtmatig zijn gedeeld, zet de schijnwerper op de beveiliging van online persoonsgegevens. Een uitstekend moment, met de GDPR in aantocht. Maar terwijl we ons focussen op giganten als Facebook… hoe staat het eigenlijk met jouw databeveiliging?

Wat zijn de risico’s?

Hoewel je niet over Facebookhoeveelheden data zult beschikken, beschik je wel degelijk over privacygevoelige informatie. Denk aan NAW-gegevens, bankgegevens en identiteitsbewijzen van klanten en medewerkers. Dat is een goudmijn voor anderen. Stel je eens voor dat concurrenten jouw bedrijfsgevoelige informatie kunnen inzien. Of dat een hacker door het simpel ondervangen van een wachtwoord de bankgegevens of volledige Google-geschiedenis van jou, een medewerker of een klant kan inzien. Dat kan zakelijk of zelfs privé rampzalig zijn. En de eventuele media-aandacht zal dat nog versterken.

Kijk kritisch naar werkprocessen

Goede beveiliging van data is dus cruciaal. De invoering van de GDPR geeft hier nog een wettelijke dimensie aan, met flinke boetes als dreigmiddel. Daarom is het voor elk bedrijf belangrijk om de interne werkprocessen kritisch onder de loep te nemen. Hoe sterk is veilige gegevensopslag ingebed in jouw organisatie? Hoe sterk sta je juridisch? En misschien nog wel het belangrijkst: hoe veilig is jouw IT en jouw IT-leverancier?

Kijk kritisch naar ons

Het klinkt misschien vreemd om dit van mij te horen, maar ook wij applicatieontwikkelaars verdienen een kritische controle. Bij de ontwikkeling van applicaties gebruiken we jouw gegevens. Dat is noodzakelijk, maar ook risicovol. Elke keer dat we testen, tegen bugs aanlopen of de applicatie verbeteren kan één foutje van ons de deur openzetten naar jouw bedrijfsgegevens. Je moet ons dus volledig kunnen vertrouwen.

Security in ons DNA

Daarom gaan we bij MSML heel ver als het gaat om security. Verder dan GDPR ons voorschrijft. Zo gebruiken we alleen beveiligde verbindingen (HTTPS) en ‘scrapen’ we data in onze testomgeving zodat bij een lek persoonsgegevens niet identificeerbaar zijn. We gebruiken waar we kunnen twee factor-authenticatie (via wachtwoord én telefoon), roteren we constant wachtwoorden, monitoren we altijd wie waar ingelogd is en signaleren we abnormaliteiten. Daarnaast zijn al onze applicaties up-to-date en beschikken medewerkers altijd over de nieuwste kennis. Wij zijn immers IT-experts en dat brengt verantwoordelijkheid met zich mee.

Start nu!

Terwijl de wereld zich richt op Zuckerberg is dit voor elk bedrijf hét moment om naar je eigen dataverwerking te kijken. Maak een plan, bereid je voor op de GDPR en kijk kritisch naar de IT-partners waar je mee samenwerkt. Jouw data is misschien wel waardevoller dan je denkt, dus ga er verstandig mee om.

Wat houdt de GDPR in?

De GDPR is een vernieuwde versie van de Wet op Bescherming Persoonsgegevens. De Europese wet verplicht organisaties om:

  • Al het mogelijke te doen om persoonsgegevens te beveiligen
  • Persoonsgegevens te verwijderen wanneer iemand daarom vraagt
  • Een persoon inzage te bieden in zijn gegevens, wanneer hij daarom vraagt
  • Transparant zijn in het doel waarvoor data wordt bewaard
  • Bewijzen dat de data alleen voor dat doel wordt gebruikt

De straffen

Bij nalatigheid kan de Autoriteit Persoonsgegevens een organisatie een boete opleggen tot 20 miljoen euro of 4% van de jaarlijkse omzet. Dat kan gemakkelijk leiden tot een faillissement.