GDPR: geen doembeeld maar een opportuniteit

Heeft u ook schrik van GDPR? Of weet u niet precies wat die General Data Protection Regulation allemaal inhoudt en wat u anders moet doen tegen 25 mei 2018? Twijfelt u om al tijd en geld te investeren in de voorbereiding op die datum omdat u denkt dat u toch geen last zult hebben van verloren of gestolen persoonlijke gegevens? Begrijpelijk, maar slimmer is om de nieuwe regelgeving aan te grijpen als een kans om de beveiliging van gegevens, IT-systemen en producten anders en beter aan te pakken. 

Privacy & security by design

Tijdens een rondetafel op ons evenement ‘Co-Thinking about the Future’ met de Universiteit Gent brak professor Bjorn De Sutter een lans voor ‘privacy and security by design’. U houdt dan bij de ontwikkeling van diensten, producten en systemen vanaf het eerste concept en ontwerp rekening met de beveiliging en de afscherming van persoonsgegevens. Die zit dus ingebakken in het concept.

“Wees erop voorbereid dat je producten of systemen vroeg of laat worden aangevallen”, stelde professor Bjorn De Sutter.

En ja, die voorbereiding kan duur zijn maar is veel goedkoper en vergt minder tijd dan achteraf oplappen. Dat werd beaamd door de IT-verantwoordelijken van enkele bedrijven die met hem en met een van onze security-experts van gedachten wisselden.

Blockchain iets voor u?

Gewone databases zullen in veel gevallen nog altijd een belangrijke rol blijven spelen, namelijk wanneer de betrokkenen elkaar vertrouwen. Intern in een organisatie bijvoorbeeld. In andere gevallen, zoals notarissen of het kadaster, kan de blockchain de derde partij vervangen die het vertrouwen krijgt van de andere betrokkenen die elkaar niet zomaar kunnen vertrouwen maar toch transacties willen doen. De kern van een blockchain is een gedistribueerde database die je niet kan corrumperen omdat het te duur is om te knoeien met de gegevens in de keten. Er is geen centraal punt van kwetsbaarheid en er is geen eigenaar of beheerder van de gegevens. Die gegevens staan niet samen opgeslagen op één server die hackers kan aantrekken.

Goed en slecht nieuws

Een tweesnijdend zwaard is de wettelijke aansprakelijkheid die onvermijdelijk is voor leveranciers van beveiligingssoftware of andere producten of diensten die sowieso een stevige beveiliging moeten hebben. Die wettelijke aansprakelijkheid zit er nu ook voor uw bedrijf of organisatie aan te komen. Iedereen die gegevens verzamelt of producten en diensten verkoopt moet vanaf 25 mei 2018 garanties kunnen bieden dat die gegevens, producten en diensten goed beveiligd zijn. Ook uw klanten of potentiële klanten zullen dat eisen. We gaan de richting uit van de luchtvaartindustrie, waar een onderaannemer van een vliegtuigbouwer pas als leverancier in aanmerking komt als hij met certificaten kan bewijzen dat hij geen zwakke schakel zal zijn voor het te bouwen vliegtuig.

Wat je zelf doet, doe je niet beter

Een laatste raad die professor De Sutter gaf, is dat je je best laat bijstaan door een professionele securityspecialist. Wees voorbereid op allerlei scenario’s en ook op hoe je moet omgaan met mogelijke calamiteiten. Bouw op algemeen aanvaarde principes en denk zelf geen constructies uit. U bent echt niet de enige die nog actie moet ondernemen tegen 25 mei. Wel zijn er zeker anderen die al voorsprong hebben genomen. 

Over meten en autogordels

Laat er geen twijfel over bestaan: GDPR is een goede hefboom voor meer beveiliging. Daar hadden we ook zonder GDPR nood aan, toch? Beveiliging wordt iets zoals het dragen van een autogordel: als je het niet doet, zal je er op aangesproken worden omdat het niet langer acceptabel is. De kennis over hoe je beter kan beveiligen, is ruimschoots aanwezig. Bovendien bestaan er middelen om na te gaan of je voldoende beveiligd bent en wat je zwakke punten zijn, zodat je die kunt verstevigen alvorens een hacker of onachtzame medewerker je via ‘the hard way’ met de neus op de feiten drukt.