De brede regelgeving van de Europese Commissie over de algemene bescherming van persoonsgegevens (GDPR) zal een sterke impact hebben op bedrijven binnen en buiten Europa. Vanaf 2018 moet elke organisatie die persoonlijke informatie over Europese burgers verzamelt, gebruikt of deelt, kunnen aantonen dat zij voldoet aan deze inmiddels fel omstreden regelgeving. Hieronder vallen ook de gebruikte technieken binnen het model en de infrastructuur van de organisatie, waarmee men de persoonlijke gegevens afschermt voor de buitenwereld. Het beschermen van persoonsgegevens moet op alle niveaus geïntegreerd zijn binnen de organisatiestructuur van de onderneming. 
 

De beveiliging van een enorme hoeveelheid data

In de Cloud wereld, die 24 uur per dag en zeven dagen per week doorgaat, zien gebruikers hun persoonlijke informatie als een levend systeem. Wat de meeste gebruikers echter niet beseffen is dat hun persoonlijke data intensief wordt gekopieerd, getest en beoordeeld door de organisaties die deze data in beheer hebben. Op deze wijze beoordelen ondernemers de persoonlijke gegevens op integriteit en volledigheid. Een dergelijk integriteitsproces biedt de ondernemers de mogelijkheid om bepaalde gegevens, zoals de financiële status, de woonomstandigheden, de burgerlijke staat en het surfgedrag van de gebruikers, te rangschikken. Hierna worden deze gerangschikte gegevens intern gebruikt en vaak aangeboden en benaderd door derden. Zo kunnen kleinere ondernemingen, bijvoorbeeld op basis van een abonnement, gebruik maken van persoonsgegevens door simpel op de site van de aanbieder in te loggen met een gebruikersnaam en een wachtwoord.
 

Veranderingen in de interne organisatie

De nieuwe regelgeving van de Europese Commissie zal dit patroon aanzienlijk doen veranderen. In de nabije toekomst zal elke software-ontwikkelaar zich terdege bewust moeten zijn van zijn verantwoordelijkheden als databasebeheerder. Een probleem hierbij is dat dit concept of denkpatroon voor veel software-ontwikkelaars geheel onbekend is. Vaak ontwikkelen zij applicaties op basis van innovaties en creativiteit waarbij de beveiliging van de gegevens ondergeschikt is. Alhoewel er bij ondernemers enige verantwoordelijkheid bestaat als het gaat om het beheren en het beveiligen van persoonlijke informatie, zal de nieuwe regelgeving deze ondernemers werkelijk aansprakelijk stellen als het gaat om het beveiligen van persoonsgegevens. Ondernemers worden hierdoor gedwongen om flink te investeren in opleiding, training en technologie zodat zij kunnen voldoen aan de eisen en de regelgeving van de Europese commissie. Voor veel bedrijven zal dit betekenen dat zij hun organisatiestructuur volledig moeten aanpassen zodat zij een data-first model kunnen hanteren.
 

Investering in technologie

Op dit moment wordt geschat dat ongeveer 90 procent van de persoonsgegevens wordt bewaard in kopieën. De eerste stap, in het naleven van de regelgeving van de Europese commissie, is het inventariseren van zowel de productieve als de niet-productieve omgeving zodat men weet waar deze data zich bevindt. De stap die hierop volgt is de aanschaf van de technologie die de mogelijkheid biedt om de verspreide data te lokaliseren en te beveiligen. Dit zal tot een noodzakelijke investering leiden in technologieën waarmee men de bestaande gegevens en de latere kopieën kan afschermen en pseudonimiseren. In het geval van een inbreuk op deze persoonlijke data zullen deze investeringskosten echter verbleken ten opzichte van de mogelijke boete van vier procent van de totale omzet van de onderneming.
 

Conclusie

Gezien de steeds toenemende kansen en de ernst van de inbreuk op persoonlijke gegevens is het van groot belang dat ondernemingen duidelijk aangeven dat zij de regelgeving van de Europese commissie naleven en zij zeer zorgvuldig met de persoonlijke gegevens omgaan. Hiervoor zullen deze bedrijven binnen hun totale organisatiestructuur een databeveiligingsstrategie moeten implementeren waarmee men de persoonlijke gegevens maximaal beveiligt zodat het risico voor hun gebruikers minimaal is. Door te pleiten voor de invoering van deze voorzorgsmaatregelen stuurt de Europese commissie aan op een waarborg dat de persoonlijke gegevens beveiligd zijn of onbruikbaar worden gemaakt indien cybercriminelen succesvol inbreuk maken op de bedrijfssystemen. Met deze regelgeving worden ondernemingen beter beschermd tegen de financiële gevolgen en het reputatieverlies als er inbreuk op de persoonlijke gegevens plaatsvindt. De Europese commissie verwacht als tegenprestatie echter wel dat de zakelijke markt gaat investeren in het beschermen van bedrijfsdata en persoonlijke gegevens van de gebruikers.



Bron: bitMIND