Specialisten zijn nodig als het om GDPR gaat
13-09-2017 | door: Johan van Leeuwen -redacteur Dutch IT-channel en Executive-People

Specialisten zijn nodig als het om GDPR gaat

De General Data Protection Regulation, kortweg de GDPR, bezorgt veel bedrijven kopzorgen. Arrow Enterprise Computing Solutions (ECS) en haar partners krijgen er vaak vragen over. Bart van Rheenen, managing director van Arrow ECS in de Benelux, geeft uitleg, ook over wat de GDPR en de activiteiten van Arrow in value recovery met elkaar te maken hebben.

De Europese GDPR-verordening stamt al uit 2016, maar vanaf mei 2018 zal hij ook worden nageleefd. Dat betekent dat organisaties fikse boetes kunnen krijgen als ze niet voldoen aan regelgeving rond persoonsgegevensbescherming. Dit kan oplopen tot 20 miljoen euro of 4 procent van de jaaromzet. Behalve boetes is ook strafrechtelijk onderzoek mogelijk. Belangrijk om te weten is dat de regels niet alleen gelden voor data die vanaf dat moment wordt opgeslagen, maar voor alle data, ook in archieven.

Niet onderschatten
Bedrijven doen er goed aan om het belang van de GDPR niet te onderschatten, waarschuwt Van Rheenen. “Eigenlijk loopt elke organisatie de kans om aansprakelijk te worden gesteld voor datalekken en dat kan ook gelden voor meerdere partijen per incident. Het kan daarbij gaan om de publieke sector, om verenigingen en zelfs om personen, dus eigenlijk voor elke entiteit die data opslaat of laat opslaan.” Daarbij wordt geen onderscheid gemaakt tussen bedrijven die data fysiek zelf opslaan of bedrijven die dat uitbesteden, bijvoorbeeld door de gegevens in de cloud te zetten.

De GDPR kent veel elementen. Zo gaat het onder meer over transparantie (weet iemand dat zijn gegevens verwerkt worden?), over beperkingen (alleen noodzakelijke gegevens mogen worden opgeslagen) en over bewaartermijnen. Daarnaast is het belangrijk dat je, mocht er iets fout zijn gegaan, kunt aantonen dat je er alles aan gedaan hebt om het te voorkomen. De bewijslast daarvoor ligt in dat geval dus bij het bedrijf zelf.

Strategie
Arrow ECS en zijn partners kunnen bedrijven helpen veilig met data om te gaan, bijvoorbeeld op het gebied van opslag en security en om zo te voldoen aan de eisen die de GDPR stelt. Van Rheenen: “Het draait allemaal om het krijgen van grip op de data in je bedrijf. Waar staat de data? Wie heeft toegang ertoe en wie kan het aanpassen? Met wie heb ik de data nog meer gedeeld? Hoe lang moet het bewaard blijven? Er moet, als dat nog niet zo is, een strategie komen waardoor bedrijven heel goed inzichtelijk krijgen wat er met data gebeurt tijdens de gehele levenscyclus ervan.”

Uiteraard is goede security een belangrijk onderdeel van het ‘GDPR-proof’ zijn van bedrijven. Hoe beter de beveiliging, hoe minder groot de kans op een lek. Van Rheenen: “Maar, zoals we de laatste maanden goed hebben kunnen zien, gaat goede security vandaag de dag een stuk verder dan het hebben van een firewall. Er moet sprake zijn van een beleid en van een totaaloplossing. Denk bijvoorbeeld aan het versleutelen van data die lokaal of in de cloud opgeslagen is. Bedenk ook of er data op straat kan komen te liggen als een medewerker een device verliest. Zorg er op zijn minst voor dat die data op afstand te wissen is.”

Vernietigen
Maar ook het vernietigen van data is een heel belangrijk element van de GDPR-regelgeving. Het is wel een element dat voor vraagtekens zorgt. Op dit punt is de GDPR namelijk niet heel duidelijk. Arrow zorgt voor een oplossing met haar activiteiten in value recovery. Het is wereldwijd actief en toonaangevend op het gebied van IT asset disposition, simpel gezegd het vernietigen van data op einde-leven-apparatuur. En daarmee gaat Arrow nog verder dan wat de GDPR eist.

Van Rheenen: “We bieden het aan in een aantal smaken. We helpen bijvoorbeeld een groot bedrijf dat een kantoor gaat sluiten waar het tweehonderd pc’s en allemaal servers en gateways heeft staan. Die hebben een instantie nodig die de apparatuur weghaalt en die alle informatie die erop staat vernietigt. Maar dat bedrijf wil misschien nog wel waarde halen uit de hardware door het door te verkopen. Daar kunnen wij voor zorgen. Ook zijn er bedrijven die willen dat hun apparatuur een goed doel dient en bijvoorbeeld naar ontwikkelingslanden gaat. Ook daarin faciliteren wij. Tot slot zijn er natuurlijk ook organisaties, en dan moet je vooral denken aan politie, defensie of justitie, die willen dat elke disk compleet onherstelbaar vernietigd wordt. Met iemand die erbij staat te kijken om te bevestigen dat het ook goed is gebeurd.”

Meerdere manieren
Data vernietigen kan op meerdere manieren. Er kan worden gekozen voor ‘data sanitization’, het overschrijven van data. Een andere optie is ‘data purging’, het onbruikbaar maken van data op magnetische opslagmedia door gebruik te maken van een krachtige elektromagnetische stroom. Ook shredding kan een optie zijn: het fragmenteren van dragers waarmee het krijgen van toegang tot gegevens wordt voorkomen. Als recycling niet meer nodig is, dan ligt het verbranden tot as voor de hand. Dat klinkt simpeler dan het is, maar het zorgt er hoe dan ook voor dat data onherstelbaar wordt vernietigd.

“Het verschilt per situatie welke methode het meest geschikt is”, legt Van Rheenen uit. “Het is uiteraard afhankelijk van de vraag of bedrijven de hardware nog willen hergebruiken. Onze specialisten op dit gebied kunnen in elke situatie adviseren en kennen ook de regelgeving zodat bedrijven ook op dit punt voldoen aan alles wat de GDPR voorschrijft.”

Veilige kant
Van Rheenen merkt dat de GDPR in zijn algemeenheid voor vraagtekens zorgt. “De regelgeving is niet altijd even duidelijk. Mijn advies is om aan de veilige kant te gaan zitten, want het is beter iets te ver te gaan dan het risico te lopen op een boete of een strafrechtelijk onderzoek. Maar wees wel realistisch en bekijk welke regels voor jouw type bedrijf en jouw bedrijfstak van toepassing zijn. Want dat kan zeker verschillen. Het beste is om er altijd een specialist bij te vragen die hierin kan ondersteunen. Wij kunnen elk bedrijf met de juiste partner in contact brengen.”

Ook dit jaar zijn Dutch IT- channel en Executive-People mediapartner van Gartner. 
U kunt zich registreren en gebruik maken van de speciale Executive-People code MPSYM1 die een korting geeft van € 600 euro. Klik hier om te registreren. 

Door: Johan van Leeuwen 

Terug naar nieuws overzicht