ESET: GDPR vereist een compleet beeld

Wessel Veltman, Solutions Advisor Security & Privacy ESET

De Algemene Verordening Gegevensbescherming, bekend onder de Engelse afkorting GDPR, wordt van kracht en dat heeft zo zijn consequenties. Maar ondanks de enorme aandacht blijken veel bedrijven nog steeds niet te weten waar ze aan toe zijn, vooral de kleine en middelgrote organisaties. ESET ziet een belangrijke rol weggelegd voor IT-resellers. Veel klantvragen over de GDPR komen geheid terecht bij de IT-reseller.

 

Vanaf mei zijn de ‘wittebroodsmaanden’ voorbij en wordt de GDPR in de hele Europese Unie van kracht. Voor veel IT-resellers is het echter nog steeds een moeilijk thema. Ze hebben niet altijd de juiste kennis in huis, terwijl er tegelijkertijd ketenaansprakelijkheid bestaat. Het is volgens Wessel Veltman, Solutions Advisor Security & Privacy bij securityleverancier ESET, iets waar veel partners bij hem over aankloppen, maar nog niet genoeg. “Het is een grote uitdaging dat er weliswaar veel partners zijn die het actief oppakken, maar daartegenover staan ook partners die nog terughoudend zijn. Terwijl ook zij met veel vragen zitten.”

Altijd relevant

Vooral de kleinere bedrijven zullen in eerste instantie naar hun IT-partners kijken. “Ze zien het als een hoop gedoe, maar vooral ook primair als een ICT-kwestie”, zegt Veltman. “Maar dat is een onderdeel van het geheel. Denk bijvoorbeeld aan iets als ketenverantwoordelijkheid die kan leiden tot aansprakelijkheid, vooral tussen B2B-bedrijven. Je gaat zien dat eindklanten veel meer naar hun partners toestappen met de vraag hoe zij de gegevens verwerken. Dan moet je een goed verhaal hebben, want je wordt ter verantwoording geroepen.”

‘Het is opvallend dat er nog geen boetes zijn gevallen onder de huidige Nederlandse meldplicht’

Dat vereist volgens Veltman transparantie, en dat gaat verder dan alleen het tonen van je beleid op je website. “Het moet terugkomen in je processen en contracten. Het moet echt verweven zijn in je business.” Dat betekent dat je gegevens actief moet loggen en ook maatregelen moet nemen om bewijs te leveren dat je al het redelijke doet om persoonsgegevens te beschermen.

De eerste vraag die Veltman het vaakst hoort, is of de eindklant zich wel druk moet maken om de GDPR. “Daar zijn we duidelijk in: Ja, want je hebt als bedrijf altijd klanten en zodoende heb je te maken met persoonsgegevens”, zegt Veltman. Maar veel makkelijker maakt die kennis het niet. “In onze beleving is het hoe dan ook moeilijk om compliant te zijn. De wet is op punten nog onduidelijk. Daarnaast hebben nog geen jurisprudentie.”

IT-resellers hebben niet altijd de juiste kennis in huis, terwijl er wel ketenaansprakelijkheid bestaat’

Compliance-checker

Om dit te verlichten heeft ESET maatregelen getroffen om hun partners en klanten te ondersteunen met GDPR-compliance. Zo heeft het bedrijf een compliance-checker online gezet waarmee aan de hand van een vragenlijst kan worden vastgesteld hoe het bij de partner is gesteld. Vijftien vragen voor de eindverantwoordelijke partij, dus de organisatie die eigenaar is van de te beschermen gegevens, en tien vragen voor verwerkers van gegevens. Bovendien heeft het bedrijf de handen ineengeslagen met Mazars, een consultancy gespecialiseerd in audits, en DPO Consultancy. Met de gecombineerde kennis biedt ESET zodoende een vraagbaak voor zijn partners. “We krijgen best veel vragen waar we niet een product tegenover kunnen zetten. Met die partnerschappen kunnen we op zijn minst de kennis vanuit de twee partners delen”, zegt Veltman.

Je hebt als bedrijf altijd klanten en zodoende heb je te maken met persoonsgegevens

Maar is het wel de rol van een vrij traditionele leverancier van security om een dergelijk onderdeel zo op de agenda te plaatsen? Veltman vindt van wel. “Beveiliging is een concreet onderdeel van de wetgeving”, zegt Veltman. “Maar het zou voor ons te makkelijk zijn om alleen op dat onderdeel te richten. Daar help je je klant niet mee. Je moet het hele plaatje zien, van security tot organisatorisch. Daar hebben ze meer aan dan het verhaal dat je minimaal een firewall moet neerzetten. Uiteindelijk is ook dat belangrijk, maar daar kom je pas op als je de basis hebt liggen.”

De interesse in security-oplossingen is volgens Veltman wel duidelijk toegenomen. “Het laatste jaar hebben we vooral een stijging in de vraag naar tweefactor-authenticatie gezien, meer dan een verdubbeling”, vertelt Veltman. “Dat is namelijk effectief en relatief eenvoudig te implementeren. Encryptie is bijvoorbeeld ook populair en effectief, maar implementatie wordt een stuk ingewikkelder als je geen inzicht hebt in welke data je verwerkt. Daar kunnen wij en onze partners klanten over adviseren en bij ondersteunen.”

Nog geen boetes

Veel bedrijven zijn vlak voor de invoering van GDPR niet klaar. Volgens Forrester Research zal dat zelfs gelden voor 80 procent van de in Europa actieve bedrijven. Dat komt volgens Veltman omdat er nog geen concrete actie is ondernomen door autoriteiten. “Op het moment dat er iets engs gebeurt, dan komt er beweging”, schat hij. “Maar het is opvallend dat er nog geen boetes zijn gevallen onder de huidige Nederlandse meldplicht, terwijl we wel lekken hebben gehad. De Autoriteit Persoonsgegevens heeft wel waarschuwingen uit doen gaan, maar doet dit al genoeg? Als je kijkt naar de verzameling datalekken op de website van de autoriteit, dan zie je een groei van het aantal lekken. Als je dat optelt, dan kan het niet anders dan dat het bij elkaar veel is. En ze kunnen niet met zekerheid aantonen dat er geen gegevens in handen zijn gevallen van personen die er kwaad mee willen.”

Maar Veltman betwijfelt dat de Autoriteit of de Europese Commissie na invoering actief op zoek zal gaan om een voorbeeld te stellen. “Dat vind ik een spannende stelling. Natuurlijk is het aan de Autoriteit om zijn bestaansrecht aan te tonen. De focus zal in eerste instantie liggen aan grote ondernemingen die heel veel persoonsgegevens verwerken. Maar of ze een voorbeeld willen stellen weet ik niet.”

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2018]

Lees het artikel hier in PDF