Winkelmand

Geen producten in je winkelmand.

Is jouw bedrijf nu wel echt AVG-proof?

In de huidige wereld staan klantgegevens bijna nooit meer alleen op je eigen servers. Hoe controleer je dan wat er met je klantgegevens gebeurt? De tips om ook op dit vlak AVG-proof te zijn.

impact AVG op jouw organisatie Getty
Je leest nu: Is jouw bedrijf nu wel echt AVG-proof?

De eerste helft van dit jaar kende wereldwijd bijna 1.000 serieuze datalekken, waarbij zo’n 4,5 miljard records werden aangetast of op straat kwamen te liggen, zo blijkt uit onderzoek. Het gebeurt niet de minste ondernemingen, maar blijft aan de andere kant ook zeker niet beperkt tot alleen ‘de grote jongens’.

In de cyberwereld loert het gevaar op allerlei plekken. Virussen en malware zijn vaak maar één muisklik weg, en ransomware gooit wereldwijd computers op slot om ze pas weer vrij te geven nadat de eigenaar ‘losgeld’ heeft betaald.

Logisch dus dat bedrijven zich daartegen willen beschermen. Ze móéten dat ook vaak, vanwege bijvoorbeeld de AVG, die geldt voor iedereen die met persoonsgegevens werkt.

Hyperverbonden wereld

Maar hoe doe je dat het best? En hoe veilig is de bescherming die je inroept op zijn beurt zelf? Wat doet de partij die jouw klantgegevens zegt te beschermen zélf (eventueel) met die gegevens? In deze hyperverbonden wereld kan niemand op zijn gegevens gaan zitten als een kloek op haar eieren. Maar hoe zorg je dan wel voor regie op wat met je klantgegevens gebeurt?

  1. Er zijn online diverse quickscans. Daarmee kun je er op een laagdrempelige manier achter komen waar de privacy-risico’s zitten in jouw organisatie.
  2. Houd de basisbeveiliging op orde. Update alle bedrijfssoftware, installeer en houd de virusscanner en firewall up-to-date, en beveilig het draadloze bedrijfsnetwerk.
  3. Zorg voor een veilige website, zeker als je er persoonsgegevens verwerkt. Gebruik beveiligde verbindingen. Meer hierover staat bijvoorbeeld in de ICT-beveiligingsrichtlijnen van het Nationaal Cybersecurity Centrum.
  4. Zorg dat je inzicht hebt in de privacy-risico’s van je producten en diensten.
  5. Niet alleen techniek is van belang. Het gaat er ook om hoe je als organisatie met persoonsgegevens omgaat. Wie heeft er bijvoorbeeld toegang tot welke gegevens? En is dat nodig? Kun je het technisch makkelijk regelen dat alleen de juiste mensen de juiste toegang hebben?

Wat doe je met derden?

De AVG levert niet alleen verplichtingen voor elk bedrijf dat data opslaat. Net zo goed zijn er voorwaarden aan ondernemingen die deze data verwerken. En dat zijn er nogal wat. Zelfs als je alleen maar gegevens opslaat bij een externe partij is de AVG privacywetgeving van toepassing. Dan is een zogeheten ‘verwerkersovereenkomst’ nodig.

Volgens de wet moet de hele keten van gegevensverwerking sinds eind mei transparant zijn. Als opdrachtgever moet je weten welke afspraken er met welke partijen zijn. En je moet zorgen dat je een seintje krijgt als bij die netwerkpartners ook nieuwe partijen worden aangesloten.

Naar Zwitserland

Die eis van transparantie gaat tegenwoordig ver. Het is bijvoorbeeld een van de redenen dat Kaspersky Lab, wereldwijde aanbieder van onder meer beveiligingssoftware, eerder dit jaar besloten heeft zijn kernactiviteiten te verhuizen van Rusland naar Zwitserland. Alle opslag en verwerking van klantgegevens en software-assemblage, inclusief updates voor dreigingsdetectie, vinden binnenkort in de Alpenstaat plaats. Dat allemaal vanwege de neutraliteit van het land.

Om volledige transparantie en integriteit te garanderen, laat Kaspersky Lab deze activiteiten ook nog eens controleren door een onafhankelijke partij, die ook is gevestigd in Zwitserland. Het land dat bekend staat om zijn strenge wetgeving om data te beschermen.

Transparantie als prioriteit

Het is een logische stap voor het softwarebedrijf, bekend geworden van antivirussoftware. Zelf bovenop je (klant)gegevens gaan zitten kan geen enkele organisatie meer, maar we willen de verwerking van onze gegevens natuurlijk wel graag dichtbij huis houden. En we willen graag weten wat ermee gebeurt. Daarom heeft transparantie tegenwoordig de hoogste prioriteit. Dan wekt Europa voor de meesten toch net wat meer vertrouwen dan een land als Rusland.

De verhuizing naar Zwitserland en de open controle op wat er met de software gebeurt, past in een lijn waarbij Kaspersky Lab wil blijven investeren in het vertrouwen binnen de cyberwereld. Het is zeker ook niet de enige actie die het bedrijf doet om haar veiligheidsmissie kracht bij te zetten. Zo werd eerder dit jaar bijvoorbeeld ook de maximale beloning verhoogd in het zogeheten ‘Bug Bounty’-programma. Iedereen die een bug weet op te sporen in de software, kan daarvoor nu tot een bedrag van 100.000 dollar verdienen.

Afgelopen zomer heeft Kaspersky Lab ook nog een speciale oplossing voor Benelux-klanten gelanceerd. Organisaties kunnen realtime volledige bescherming krijgen, zonder dat hun gegevens de EU verlaten. Het is de eerste keer dat dit binnen de EU gebeurt, zonder aanvullende kosten voor hosting op een onafhankelijk platform. Zo worden zowel de privacy van klantgegevens als de beveiligingsacties volledig gewaarborgd en gegarandeerd.

De wereld digitaal veiliger maken

‘We willen de wereld digitaal veiliger maken’, vat Harco Enting, general manager van Kaspersky Lab in de Benelux het samen. ‘Voor alles wat we doen en ontwikkelen zijn de privacy van onze klanten waarborgen én daar volledig transparant over zijn onze strategische uitgangspunten.’

De stappen van een bedrijf als Kaspersky Lab passen daarmee duidelijk in een trend. Data bescherm je niet het best door ze lokaal te verzamelen en te gebruiken. Dat kan ook helemaal niet meer. Data bescherm je juist het best door transparant te zijn over de manier waarop je ze met derden deelt. Als het voor iedereen traceerbaar is waar gegevens van hem of haar bekend zijn, en hoe daarmee wordt omgegaan, is bescherming van die gegevens ook beter mogelijk.

Het lijkt misschien wat paradoxaal, maar het is wel de realiteit van nu. En het legt direct een flinke opdracht neer bij organisaties. Een opdracht die zeker niet alleen van toepassing voor de IT-managers. Elke afdelings- en teammanager moet hier zelf mee aan de slag gaan.

Lees ook: