Waarom is 85 procent van de organisaties nu nog niet voorbereid op de Europese privacywet AVG / GDPR?

Het is mooi weer. Op de stoep voor een cafee in een drukke winkelstraat staat een nieuwe auto geparkeerd.

De motor draait nog. De autodeur van de bestuurder staat half open. De sleutels steken in het contact. Op de achterbank ligt een laptop. De bestuurder is vermoedelijk even het cafee binnengelopen.

Hoe groot is het risico dat de auto of de laptop op de achterbank wordt gestolen?

Hoe groot is de kans dat de bestuurder een bekeuring krijgt voor fout parkeren of het onbeheerd achter laten van een auto met draaiende motor?

Hoe groot is de kans dat de verzekering schade gaat vergoeden als de auto of laptop wordt gestolen?

Zou jij het risico nemen? Zou jij je auto op deze manier onafgesloten achterlaten?

De meeste mensen die zich deze situatie voorstellen schudden hoofdschuddend nee. Natuurlijk niet. Dit is onverantwoord gedrag.

De automobilist moest snel naar het toilet. Hij heeft zijn portemonnee en smartphone onbeheerd neergelegd op een tafeltje in het cafee.

Zou jij dat doen? Ben je gek?

En stel nou dat er ook nog een doosje met zware medicijnen bij zou liggen.

Dat is toch onverantwoord? Stel dat die in handen komen van kinderen… Iemand die dat doet speelt met levens van anderen.

Ondertussen staan de digitale poorten van heel veel bedrijven en organisaties wagenwijd open.

Cybercriminelen verdienen miljarden euros aan ondernemers en bestuurders die dachten dat het risico dat zij ooit getroffen zouden worden maar klein is.

Net als de automobilist die zijn auto met draaiende motor en een laptop op de achterbank achterliet op de stoep voor een cafee…

Elk bedrijf, elke organisatie, hoe groot of klein ook, moet tegenwoordig rekening houden met de dreiging van cyberaanvallen.

Wie zich nu niet professioneel wapent tegen cybercriminaliteit loopt hoog risico dubbel gestraft te worden. Door cybercriminelen die handig misbruik maken van lichtzinnig ‘open deuren’ in de databeveiliging van bedrijven.

En ook nog eens door de Autoriteit Persoonsgegevens die vanaf 25 mei 2018 op basis van de Europese privacywet AVG / GDPR hoge boetes kan opleggen aan bedrijven en organisaties die onzorgvuldig omgaan met persoonsgegevens van personeel en klanten.

En de kans dat er een verzekering is die de torenhoge schade of boetes bij aantoonbaar nalatig handelen gaat vergoeden is nihil.

Logisch toch?

Waarom heeft 85 procent van de organisaties dan nu nog steeds geen serieuze stappen ondernomen om te voldoen aan de Europese privacywet?

Cybercriminaliteit is een van de snelst groeiende soorten van criminaliteit wereldwijd. Er gaan miljarden euros in om. Cybercriminelen werken steeds geavanceerder en ze slaan toe om uiteenlopende financiële, politieke en ook onzinnige redenen. Gewoon omdat het kan.

Slachtoffers van cybercrime hebben te maken met ernstige schade bij interne en externe bedrijfsprocessen.

Ze hebben mogelijk direct groot financieel verlies geleden in de vorm van betaling van losgelddeclaraties aan cybercriminelen en schadevergoeding aan klanten. Ook kan het zijn dat de bedrijfsprocessen of de webshop langdurig stilgelegd moeten worden.

En denk ook aan reputatieschade en verlies van goodwill.

Alleen al deze factoren maken het voor bedrijven noodzakelijk om eersteklas cyberbeveiligingsmaatregelen te treffen.

De Algemene Verordening Persoonsgegevens (AVG) verplicht alle organisaties die gevestigd zijn in de Europese Unie of zaken doen net ingezetenen van de Europese Unie om passende technische en organisatorische maatregelen te nemen om een beveiligingsniveau te waarborgen dat aangepast is aan de risico’s die voortvloeien uit het bewaren en verwerken van persoonsgegevens.

Het gaat daarbij bijvoorbeeld om risico’s van accidentele of onwettige vernietiging, verlies, wijziging en niet-geautoriseerde bekendmaking of toegang tot persoonsgegevens.

De AVG / GDPR geeft in algemene termen enkele van de cybersecuritymaatregelen aan die verwacht worden:

In de eerste plaats moeten organisaties die te maken krijgen met een inbreuk op de gegevensbeveiliging in bijna alle gevallen deze inbreuk zonder “onnodige vertraging” en, indien mogelijk, binnen 72 uur na de kennisneming melden aan hun gegevensbeschermingsautoriteit.

Alle relevante gegevens moeten worden verstrekt. In veel gevallen moeten organisaties ook rapporteren aan de personen van wie de gegevens gecompromitteerd zijn.

Ten tweede zijn de sancties voor het niet hebben van de juiste beveiliging of, inderdaad, voor het niet naleven van de bovengenoemde rapportageverplichtingen nu veel strenger. Waar voorheen de maximale boete in de orde van honderdduizenden euro’s lag, is nu het maximum voor een inbreuk op de bepalingen die specifiek betrekking hebben op gegevensbeveiliging het hoogste van € 20 miljoen en 4% van de jaarlijkse wereldwijde bruto-omzet van de betreffende entiteit. En dat per geconstatteerde overtreding.

Tot slot: hoewel alle organisaties hun cybersecurity-regelingen voortdurend zouden moeten monitoren, wordt organisaties die onder het AVG / GDPR vallen sterk aangeraden om onmiddellijk een grondige herziening van de totale organisatie uit te voeren. Daarbij moeten zij zich niet alleen richten op hun technologie en dagelijkse praktijken, maar ook procedures creëren en documenteren voor het naleven van de toepasselijke wetgeving en het melden van inbreuken op gegevens aan hun gegevensbeschermingsautoriteit en de betrokken personen.

Amazon Web Services klaar voor GDPR. Amazon lanceert diverse nieuwe beveiligingstools

Amazon Web Services (AWS)  zegt dat al zijn producten en diensten volledig voorbereid zijn op de General Data Protection Regulation (GDPR).

Amazon zegt dat persoonlijke data versleuteld wordt. Het bedrijf garandeert bij verwerkte data voortdurende integriteit, vertrouwelijkheid, beschikbaarheid en veerkracht. Ook kunnen gegevens in het geval van een technische fout snel hersteld worden, terwijl activiteiten regelmatig getest en geëvalueerd worden om de veiligheid te garanderen.

Amazon AWS biedt gebruikers de mogelijkheid om personeel te trainen op weg naar GDPR-compliance met diensten van het bedrijf.

Het Professional Services-team biedt een GDPR-workshop aan, een tweedaags programma dat gepersonaliseerd wordt op de specifieke behoeftes van de gebruikers. Het bedrijf houdt tijdens zijn AWS Summits in Europese landen, San Francisco en Tokio presentaties over GDPR.

Een aanvulling hierop zijn de teams voor compliance, databescherming en security die Europese klanten helpen bij het draaien van gereguleerde workloads in de cloud. Bedrijven kunnen via hun AWS Account Manager de opties hiervoor bespreken.

De aankondigingen bestaan naast een reeks AWS-diensten die geschikt zijn voor klanten die op GDPR-compliance hameren.

Amazon GuardDuty biedt intelligente bedreigingsdetectie en voortdurende monitoring.

Amazon Macie is een machine learning tool die ondersteuning biedt bij het bekijken en beveiligen van persoonlijke data in Amazon S3.

Met de Amazon Inspector krijgen bedrijven een geautomatiseerde security-beoordelingsdienst erbij die applicaties overeenstemt met de geschikte beveiligingsrichtlijnen.

Tot slot is er nog AWS Config Rules, een monitoringsdienst die cloud-resources beoordeelt op compliance met security-regels.