Strategie

Wat je nu kunt doen om aan de privacywetgeving te voldoen

0

Door een verrassende Europese rechtbankuitspraak mogen persoonsgegevens niet meer in de cloud worden opgeslagen. Veel bedrijven doen dit wel en zijn dus officieel in overtreding. Ik heb hieronder samengevat welke opties bedrijven hebben om zo snel mogelijk weer ‘compliant’ te zijn en problemen te voorkomen.

De Safe Harbor-uitspraak

Voor wie het nieuws gemist heeft: Europa had met de Verenigde Staten speciale afspraken gemaakt. De ‘Safe Harbor’-regeling was er om de privacy van gegevens te garanderen. Bedrijven als IBM, Google, Facebook en Salesforce hebben beloofd zich aan deze principes te houden, en het leek daardoor toegestaan om persoonsgegevens door deze bedrijven te laten opslaan en verwerken. Zoals ook vorige maand al te lezen, is deze regeling sinds deze maand niet meer geldig. Elk bedrijf dat persoonsgegevens verwerkt is verplicht om deze gegevens voldoende te beschermen, en zal dus nu actie moeten ondernemen. Er zijn verschillende acties mogelijk.

Minder persoonsgegevens verzamelen

Niet elk gegeven is een persoonsgegeven. Data wordt pas een persoonsgegeven als er zoveel details bekend zijn, dat een gegeven toegerekend kan worden tot een los individu. Veel bedrijven zijn nu gewend altijd zoveel mogelijk informatie te bewaren en hebben daardoor veel niet-noodzakelijke persoonsgegevens. Door het toepassen van het principe ‘privacy by design’, kun je gegevens op een hoger niveau opslaan en zijn het geen persoonsgegevens meer. Je kunt bijvoorbeeld van IP-nummers de laatste cijfers weglaten, betaaltransacties optellen tot dagtotalen, gevoelige informatie in documenten afplakken en wachtwoorden gehackt opslaan. Dit zijn allemaal stappen waardoor informatie minder makkelijk tot personen te herleiden is.

Switchen naar Europese leveranciers

transip-stackAmerikaanse bedrijven kunnen niet garanderen dat ze voldoen aan alle Europese regels, omdat ze niet kunnen voorkomen dat de Amerikaanse overheid gevoelige gegevens vordert. Voor gevoelige gegevens (medische gegevens bijvoorbeeld) kun je het beste een Nederlands of Europees datacentrum kiezen. Providers spelen hier al op in door met hun eigen cloudvarianten te komen, zoals hiernaast afgebeeld Stack, van Nederlandse provider TransIP. Een goede ontwikkeling, omdat het bedrijven die de cloud willen vermijden opties en mogelijkheden geeft. Bedrijven die goed voorbereid willen zijn in hun applicatie-ontwikkeling, kunnen gebruik maken van de OpenStack suite van ontwikkeltools. Wie dit gebruikt maakt, zijn applicaties leverancier-onafhankelijk.

Versleutel alles

Als het mogelijk is om gegevens versleuteld op te slaan, kun je daar het beste voor kiezen. Bij goed versleutelde bestanden is het voor de Amerikaanse overheid onmogelijk om de gegevens te gebruiken. Een belangrijk voordeel: bij datalekken van versleutelde gegevens hoef je geen melding te doen: in de wet over meldplicht die op 1 januari 2016 ingaat wordt dit expliciet genoemd, om zo het gebruik van goede encryptie te stimuleren. Let er wel op dat je een sterk algoritme gebruikt en dat de sleutel dan alleen bij de gebruiker of op een Europese server veilig wordt opgeslagen. Als de sleutel ook in de cloud staat in het buitenland, biedt encryptie geen bescherming.

Kijk de beveiliging na

Het heeft geen zin om te reageren op Safe Harbor als de rest van de beveiliging niet op orde is. Het kan dus verstandig zijn om alle beveiliging nog eens extra te checken. Let met name ook op het gebruik van de laatste versies van bestanden: veel programma’s zijn het afgelopen jaar geüpdatet vanwege recent ontdekte lekken (denk aan stagefright en heartbleed, de twee bekendste). Veel bedrijven gebruiken de OWASP-top 10 als een checklist voor online applicaties. Wie meer wil doen kan ook kijken naar de SANS critical security controls.

Informeer gebruikers goed

Je kunt niet elke service 100% beveiligen: vaak is dit te duur en ook niet in het belang van gebruiksvriendelijkheid. Het is in dit soort gevallen verstandig om gebruikers goed te informeren, zodat ze zelf een keuze kunnen maken. Vermeld duidelijk wat je met gegevens doet, en hoe ze zijn opgeslagen. Gebruikers kunnen dan zelf inschatten of ze bepaalde gevoelige gegevens willen delen.

Foto intro met dank aan Fotolia.