De GDPR komt eraan. In Nederland ook wel bekend onder de naam Algemene verordening gegevensbescherming (Avg). Met behulp van deze checklist kunnen jij en je IT-team je goed voorbereiden op één van de grootste uitdagingen in 2018.
De General Data Protection Regulation (GDPR) treedt op 25 mei 2018 officieel in werking. Deze Europese wet vervangt alle andere regelgeving op het gebied van gegevensbescherming. In Nederland staat deze nieuwe wet ook wel bekend onder de naam Algemene verordening gegevensbescherming (Avg).
De GDPR doet twee dingen. Het beschermt de gegevensrechten van EU-bewoners en het beschermt hun privacy, d.w.z. hun persoonlijke gegevens. Iedereen die binnen Europa zakendoet, moet deze regels naleven. Dus ook niet-EU-bedrijven die zakendoen met EU-klanten.
Momenteel is er in Nederland al de meldplicht datalekken, maar de GDPR gaat nog verder qua regelgeving. Bovendien zijn de boetes pittiger. Op het niet naleven van de GDPR staan hoge boetes: tot wel 20 miljoen euro of 4% van de wereldwijde omzet van de organisatie.
De grootste securityrisico’s (gratis whitepaper)
Hackers en andere kwaadwillenden vinden steeds nieuwe manieren om data te stelen en controle over devices te verkrijgen. In deze whitepaper lees je hoe je deze grote securityrisico’s aanpakt.
Privacy en gegevensrechten
Het beschermen van de privacy valt overduidelijk binnen het takenpakket van de IT. Maar als je het goed aanpakt, pak je tegelijkertijd een deel van de bescherming van de gegevensrechten aan. Zo bescherm je de betreffende rechten al deels door solide, meerlagige eindpuntbeveiliging in te zetten op het netwerk-, apparaat- en gebruikersniveau.
Dat is alleen niet in één dag geregeld. Om voor mei 2018 te voldoen aan de GDPR, vereist dus een gedegen voorbereiding. Ons beleid bij HP is om bij de ontwikkeling van iedere nieuwe oplossing, dienst of product, beveiliging als speerpunt te hanteren.
Want als de apparaten die je gebruikt zijn voorzien van een goede beveiliging van binnen en van buiten, kun je je gegevens makkelijker beschermen. De nieuwste HP hardware in combinatie met de meest veilige Microsoft OS stelt je dus beter in staat om cyberaanvallen te voorkomen.
Recht om vergeten te worden
Andere GDPR-uitdaging voor IT is het recht om vergeten te worden. Hierdoor moet de manier waarop we gegevens verzamelen, bewaren en gebruiken veranderen. Het recht om te worden vergeten verplicht organisatie namelijk alle gegevens van een EU-bewoner te verwijderen, inclusief alle kopieën, als zij hierom vragen. Dit vereist een complete datamap waarin staat welke gegevens zijn opgeslagen, waar en wie toegang heeft. Hetzelfde kan worden gezegd voor cyberveiligheid.
Met dat in het achterhoofd zijn dit de 10 essentiële acties die je moet ondernemen voor de deadline van mei 2018:
Fase één: jouw situatie controleren
De eerste fase is om je situatie te beoordelen. Pas als je een realistisch inzicht in je huidige status hebt, weet je hoeveel je moet veranderen om te voldoen aan de eisen. Pak het als volgt aan:
1. Controleer je gegevens
Zorg dat je weet waar al jouw gegevens staan, wie er toegang toe heeft en vanaf welke apparaten de gegevens ingezien en bewerkt kunnen worden
2. Controleer je servicepartners
Zorg dat iedere servicepartner – cloudopslag, SaaS, etc. – die toegang heeft tot jouw gegevens ook de GDPR naleeft of voldoet aan een andere officieel gesanctioneerde gegevensjurisdictie
3. Voer een audit uit
Voer een audit uit voor alle geautoriseerde en niet-geautoriseerde apparaten die toegang hebben tot persoonlijke gegevens. Zorg dat je weet welk apparaat toegang heeft tot persoonlijke gegevens, officieel goedgekeurd of niet
Fase twee: toegangscontrole
De tweede fase is het controleren en bijhouden van wie toegang heeft tot de bedrijfsgegevens. Doel hiervan is te voorkomen dat er inbreuk op de privacy of gegevensrechten wordt gemaakt.
4. Zorg voor administratieve privilege-controle
Zorg dat administratieve acties alleen kunnen worden ondernomen door een beperkt aantal mensen, om het risico dat anderen toegang krijgen tot de controle van het netwerk te beperken
5. Regel gelaagde toegang tot persoonlijke gegevens
Organiseer een gecontroleerde toegang tot gegevens op basis van need-to-know. Dit moet worden gebaseerd op de gebruiker, het apparaat en het netwerk waar het verzoek uit komt
6. Implementeer het recht voor toegang op afstand
Regel toegang tot bedrijfsgegevens op afstand op apparaten en het recht om deze gegevens te wissen op afstand. Zorg tegelijkertijd dat je gewiste gegevens kunt terughalen van alle apparaten met toegang tot persoonlijke gegevens, vooral in het geval van verlies of diefstal
Fase drie: Meerlagige beveiliging
De laatste fase is het installeren van solide beveiliging om inbreuken te detecteren en hierop te reageren. Voorkomen is uiteraard ideaal, maar onrealistisch. Onthoud, er zijn geen snelle reparaties in cyberbeveiliging. HP adviseert een gelaagd beveiligingsbeleid, welke een coherente en volledige benadering geeft tot een regelmatig veranderend cyberveiligheidslandschap.
7. Investeer zo nodig in nieuwe, beter beveiligde apparaten
Biometrische authenticatie met meerdere factoren, een bluetooth-slot, privacyschermen en een zelfherstellende BIOS (eerste ter wereld door HP) helpen allemaal om je gegevens te beschermen op apparaatniveau. Als de hardware en software goed samenwerkt, levert dat een coherente dekking en de nieuwste veiligheidsfuncties op, zoals bij de HP apparaten met Windows 10 Pro het geval is
8. Implementeer een beveiligingssoftwarebeleid
Implementeer een beleid voor het regelmatig scannen en updaten van beveiligingssoftware. Traditionele netwerkverdedigingen, antivirus, antimalware en firewall, zijn misschien niet onfeilbaar, maar ze zijn nog steeds belangrijk. Regelmatig updaten is dus essentieel
9. Implementeer real-time opsporings- en responssoftware
Beveilig je apparaten met praktische realtime inbreukreacties. Bijvoorbeeld quarantaine of beëindiging van processen en apparaten. Neem een Security Information and Event Management (SIEM)-tool op
10. Train iedere werknemer in cyberbeveiliging
58% van de cyberdreigingen komen van binnenuit door achteloosheid of kwaadwilligheid. Geef actief training om basisfouten, zoals het openen van onbekende bijlagen, te voorkomen
Naast het beveiligen van je netwerk en apparaten en het trainen van je medewerkers, helpen ook onderstaande acties bij het goed naleven van belangrijke voorwaarden van de GDPR:
- Rapporteer data-inbreuken binnen 72 uur: en bewijs dat er alles aan gedaan is om de inbreuk te voorkomen
- Het recht om te worden vergeten: verwijder alle persoonlijke gegevens van een EU-bewoner die daarom gevraagd heeft
- Draagbaarheid van gegevens: lever op verzoek alle persoonlijke gegevens van een EU-bewoner in een formaat dat voor hen toegankelijk is
- Internationale overdracht: zorg dat gegevens alleen worden overgedragen aan organisaties die ook de GDPR naleven of aan bedrijven binnen jurisdicties die als ‘adequaat’ worden gezien
Device as a Service
Bij HP vormt veiligheid de basis van onze productontwikkeling. We beginnen altijd met de beste veiligheidsrandvoorwaarden voordat we het apparaat bouwen. Veiligheid staat altijd bovenaan. Daarom is de HP EliteBook x360 met Windows 10 Pro benoemd tot de meest veilige zakelijke convertible ter wereld¹. Doe serieus zaken met Windows 10 Pro.
Wil je je IT-beveiliging vereenvoudigen? Overweeg dan HP’s Device as a Service. Het biedt een modern consumptiemodel dat medewerkers voorziet van de juiste hardware en software zoals Windows 10 Pro, lifecycle-services, ondersteuning en beveiliging, alles in één pakket. Het is de gemakkelijkere manier om up-to-date en veilig te blijven.
Whitepaper De grootste securityrisico’s
Hackers en andere kwaadwillenden vinden steeds nieuwe manieren om data te stelen en controle over devices te verkrijgen. In deze whitepaper lees je hoe je deze grote securityrisico’s aanpakt.
¹ Veiligst, gebaseerd op HP’s unieke en volledige beveiligingscapaciteiten zonder extra kosten onder leveranciers met jaarlijks 1M verkopen sinds 1 december 2016 op HP Elite pc’s met Intel 7e Gen Intel® Core™ processors, Intel® integrated graphics en Intel® WLAN. Het dunst, in vergelijking met concurrenten met jaarlijks >1m convertible, niet-afneembare units met Windows Pro OS en Intel® vPro™-processors van de 6e of 7e generatie vanaf 1 december 2016.
