Xylos brands

Welke impact heeft GDPR op je cloud-inspanningen?

Introductie

Sinds april 2016 is de General Data Protection Regulation of GDPR van kracht. Volgens sommigen een doorn in het oog van cloud-providers, maar ik denk van niet. Ik beschouw deze regels eerder als een hulp dan als een bedreiging voor investeringen in de cloud.

Waarover gaat “GDPR”?

In essentie bepaalt GDPR de regels die gelden voor het gebruik en verwerken van persoonlijke gegevens van EU-inwoners. Ook voor bedrijven zonder vestiging in Europa. En dit onafhankelijk van de context (privé, publiek of professioneel). Enkel ordehandhavers en inlichtingendiensten krijgen bepaalde uitzonderingen.

GDPR zorgt zo voor een geharmoniseerde wetgeving voor de bescherming van gegevens binnen de Europese Unie. Dit maakt het voor zowel Europese als niet-Europese organisaties eenvoudiger om de spelregels te volgen. Doe je dit niet, dan riskeer je nu zwaardere sancties.

De principes

De nieuwe Europese regelgeving hanteert vijf belangrijke basisprincipes:

  1. Eén set regels: in alle EU-lidstaten gelden nu dezelfde regels. Deze vervangen de richtlijnen (directives) die per lidstaat wel eens durfden verschillen.
  2. Verantwoordelijkheid en aansprakelijkheid: het nieuwe basisprincipe is privacy by design and by default. Persoonlijke data beschermen is niet langer een optie, maar een verplichting. Als organisatie ben je vanaf nu hoofdelijk verantwoordelijk voor de data die je verwerkt en bewaart.
  3. Toestemming: wil je iemand zijn of haar gegevens gebruiken? Dan heb je voorafgaand toestemming nodig.
  4. Het recht om verwijderd te worden: het bestaande recht om vergeten te worden is verstrengd. Vanaf nu heeft ieder persoon het recht om te vragen zijn of haar persoonlijke gegevens te verwijderen.
  5. Overdraagbaarheid van gegevens: iedereen heeft het recht om zijn of haar persoonlijke gegevens over te dragen naar een andere organisatie. Dit moet in een algemeen gebruikt format zodat gegevens eenvoudig kunnen worden uitgewisseld tussen organisatie.

Impact

GDPR is van toepassing op jouw organisatie. Ongeacht of je jouw data bewaart binnen je eigen muren of in de cloud. Wat betekent dit concreet?

  • Data Protection Officer (DPO): elke organisatie moet een DPO aanstellen. Deze persoon is verantwoordelijk voor het naleven van de GDPR-wetgeving.
  • Datalekken signaleren: organisaties moeten veiligheidsinbreuken op persoonlijke gegevens zonder uitstel melden wanneer deze zich voordoen. Een datalek dat pas jaren later gemeld wordt – zoals bij Yahoo – wordt niet langer getolereerd.
  • Sancties: volg je de regels niet, dan riskeer je zware sancties. Deze kunnen oplopen tot 20 miljoen euro of tot 4% van de omzet van je organisatie.

GDPR in de cloud

Maar wat nu met de cloud? Een tijd geleden sprak ik over Pizza-as-a-Service om de verschillende cloud-modellen te vergelijken. Vandaag krijgt dit recept een kleine update en bakken we een secured pizza.

Afhankelijk van de cloud-service die je kiest, liggen bepaalde verantwoordelijkheden bij jou of bij de cloud-provider. Op het einde van de rit blijf jij de eindverantwoordelijke voor de data. Maar dat wil niet zeggen dat cloud-providers een get out of jail free-kaart krijgen. Ook zij moeten voldoende voorzieningen treffen om de infrastructuur rond de data goed te beveiligen.

Image of Secured Pizza - GDPR

Information Security

De cloud kan je helpen om GDPR in praktijk te brengen. Diverse cloud-services focussen op information security.

Stel je het volgende voor: je bedrijf biedt een product aan met een ingrediënt dat niemand mag weten. Dan kan je dit geheim versleutelen en de sleutel enkel aan bepaalde ontvangers geven. Zo maakt het niet meer uit hoe je de gegevens bewaart. Zelfs de meest onveilige infrastructuur volstaat. Zonder sleutel kan toch niemand lezen wat er staat.

Image of Information Protection - GDPR

Meer weten over beveiliging in de cloud?

Bekijk dan zeker de GDPR-webinars van Xylos. In twee sessies krijg je een hands-on benadering om aan de slag te gaan met de GDPR-regels.

Deze benadering omvat enerzijds een methodologische aanpak om de stand van zaken binnen jouw organisatie in kaart te brengen. Anderzijds werkte Xylos ook aan een strategie om vertrekkende vanuit jouw specifieke situatie je organisatie in lijn te brengen met de geldende wetgeving.

Deel dit blogbericht

Also interesting for you

Laat een antwoord achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd.

Breng jouw kennis en skills naar een hoger niveau

Schrijf nu in voor onze nieuwsbrief en krijg maandelijks:

  • Uitnodigingen voor Xylos' events & webinars
  • De laatste blogposts en cases
  • Nieuwste IT-trends