Contec: GDPR vraagt om écht veilige oplossingen

Thomas Calf en Rudie Egberink, Contec

Met 25 mei 2018, wanneer de Europese regelgeving voor privacygevoelige data (GDPR of AVG) in werking treedt, worden vendoren, distributeurs en IT-dienstverleners steeds vaker gevraagd bedrijven en instellingen te helpen om compliant te worden. Securitydistributeur Contec vormt daarop geen uitzondering en helpt IT-dienstverleners en resellers met onder meer whitepapers, breakfastsessies, helpdeskexperts en innovatieve producten waarmee zij zich als ‘trusted advisor’ kunnen onderscheiden in de markt.

Accountmanager Thomas Calf en Technical Accountmanager Rudie Egberink leggen uit wat Contec in huis heeft op het gebied van verzending en opslag van privacygevoelige data en het proactief verhogen van de veiligheid van de netwerken waarover data worden getransporteerd. Egberink: “Als het gaat om het uitwisselen van privacygevoelige informatie vraagt de nieuwe wetgeving dat organisaties kunnen aantonen wie, wanneer met welke data heeft gewerkt en dat bekend is waar binnen de EU die data worden opgeslagen. Die vragen beantwoorden wij met de in Nederland ontwikkelde oplossing FileCap. En met de oplossingen van Hillstone Networks bieden we onze channelpartners diverse next-gen security-oplossingen voor iedere bedrijfsomgeving, ongeacht of dit een fysieke, virtuele of cloudomgeving betreft.”

Geen vage verhalen

GDPR
Thomas Calf

“Er wordt ontzettend veel gepraat over GDPR, maar de adviezen gaan alle kanten op. Wij zijn liever concreet over wat we wel en niet kunnen bieden”, vult Calf aan. “Zo positioneren we FileCap als een ‘hulpstuk’ om compliancy te genereren en aan te tonen dat je op een bewuste manier omgaat met privacygevoelige data. Eén van de eisen is dat je weet waar je data zich geografisch bevinden, en op een punt als dit onderscheidt FileCap zich van populaire gratis oplossingen zoals WeTransfer, dat geen waterdichte garantie geeft dat in de EU gegenereerde data ook daadwerkelijk altijd binnen de grenzen van de EU worden opgeslagen. Daarmee voldoe je als organisatie niet aade eisen van de nieuwe privacywetgeving.”

Veilig alternatief

“FileCap doet wat gratis alternatieven zoals WeTransfer niet doen: alle data compromisloos lokaal opslaan doordat de FileCap-server in een veilige zone binnen de organisatie of een datacenter staat”, legt Egberink uit. “Via een webportaal kunnen medewerkers en andere gerechtigde gebruikers veilig hun privacygevoelige data uitwisselen zonder dat ze op gebruiksgemak hoeven in te leveren. FileCap heeft plug-ins voor veelgebruikte applicaties zoals Microsoft Outlook. Die applicaties herkennen direct of bestanden groter zijn dan de standaardlimiet en zetten die dan direct door naar de FileCapserver in de beveiligde omgeving. De ontvanger krijgt de link naar het bestand direct in zijn of haar e-mailbericht. Verzenden gaat via het TLS-protocol en dankzij de standaard encryptie die FileCap toepast is de informatie voor onbevoegden onleesbaar. Downloaden van het versleutelde bestand is ook alleen mogelijk na invoering van een wachtwoord. Voor organisaties zoals de gezondheidszorg, financiële instellingen en overheden, waar de beveiliging van persoonsgegevens topprioriteit is, kent FileCap ook nog ‘two factor’ authenticatie – een wachtwoord of een sms-token – bij de uitwisseling van privacygevoelige data.”

Eén van de eisen van de GDPR is ook dat privacygevoelige informatie optimaal beschermd moet worden en alleen toegankelijk is voor rechthebbenden. “Duidelijk moet zijn wie toegangsgerechtigd is en wie eventueel zou kunnen meekijken bij de uitwisseling van gegevens”, vult Calf aan. “FileCap zorgt ervoor dat beheerders wel het verkeer, maar niet de inhoud kunnen zien. Via het automatisch gegenereerde logboek kun je terug in de tijd en zien wat er met bepaalde files is gebeurd, bijvoorbeeld of er wachtwoorden op gezet zijn, en die gegevens eenvoudig exporteren naar bijvoorbeeld een Excelsheet of andere vorm van rapportage. Vanuit het oogpunt van privacy, beleidsregels en wet- en regelgeving zijn dat essentiële dingen, omdat je op deze manier kunt aantonen dat je aan de eisen van de GDPR voldoet. Bijkomend voordeel is dat FileCap zoals eerder gezegd een volledig Nederlands product is, met korte lijnen voor support en de mogelijkheid om direct contact met de ontwikkelaars te hebben.”

Datastroom inzichtelijk

“Het GDPR-traject begint bij het inzichtelijk maken van je datastroom”, legt Egberink uit. “Welke clients, welke personen maken verbinding naar je fileservers en wat gebeurt er met de data? Bij een calamiteit moet je binnen 72 uur kunnen aantonen welke data gestolen is. Met de securitytools van Hillstone firewalls kunnen we aantonen wat er gebeurd is en wie er mogelijk toegang heeft gehad tot de data die verdwenen is, en daarmee voldoen we wederom aan een eis van de GDPR.”

“De netwerkkwetsbaarheid wordt verder verminderd doordat Hillstone Cavium-processoren gebruikt, en niet de Intelprocessoren die worden geplaagd door de beveiligingslekken ‘Meltdown’ en ‘Spectre’ die voor veel onzekerheden hebben gezorgd. Voor een distributeur van securityoplossingen, zoals Contec, is het natuurlijk een groot pluspunt dat we niet afhankelijk zijn van (te) snel ontwikkelde mainstreamproducten, maar zorgvuldig onze eigen weg kunnen kiezen met producten die we in de praktijk door-en-door getest hebben voordat we ze in ons portfolio opnemen.”

Webinars

In het kader van GDPR heeft Contec een aantal activiteiten op de agenda staan. Calf: “Vanuit de invalshoek FileCap gaan we in de komende maanden diverse webinars houden, waar we ingaan op de koppeling van persoonsgegevens met file-transfer, wat kan en mag wel en wat niet. En via onze leverancier Webroot helpen we onze resellers en MSP’s met online Security Awareness trainingen die gebruikers – vaak een zwakke schakel in de veiligheidsketen – probeert te doordringen van de risico’s van naïef of slordig gedrag bij zakelijke én particuliere online activiteiten.”

‘FileCap doet wat alternatieven zoals WeTransfer niet doen: alle data compromisloos lokaal opslaan’

Ook dat is een onderdeel van de voorbereiding op de inwerkingtreding van GDPR. Immers: de inzet van technologie is slechts een onderdeel daarvan. “Compliancy staat of valt met bewust veilig gedrag van de mensen die werken met privacygevoelige data. Dat kunnen we niet vaak genoeg beklemtonen”, zo sluiten Calf en Egberink ons gesprek af.

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2018]

Lees het artikel hier in PDF