Tips voor bedrijven om met de invoer van GDPR op mobile devices om te gaan

Om voor burgers van de Europese Unie betere bescherming van persoonsgegevens te garanderen wordt 25 mei 2018 de General Data Protection Regulation (GDPR) ingevoerd. GDPR zorgt voor een sterke, uitgebreide en gelijkwaardige bescherming van privégegevens van iedere burger van de Europese Unie.  Goed nieuws voor burgers, maar bedrijven wordt het met de komst van deze nieuwe regels moeilijker gemaakt door middel van meer verantwoordelijkheden, strengere handhaving, en hogere boetes. In dit artikel biedt Cees Quirijns van softwaredistribiteur Portland concrete handvatten aan, die bedrijven waar gebruik wordt gemaakt van mobile devices te helpen om te gaan met de invoer van GDPR.

Met de nieuwe regelgeving komt bescherming van privacygevoelige bedrijfsdata bovenaan de prioriteitenlijst van bedrijven te staan. Daarbij is het belangrijk te letten op alle plekken waar klantgegevens zich zouden kunnen bevinden.

Naast het beschermingsniveau van bedrijfscomputers, moet er ook worden gelet op de bescherming van data op mobiele devices. “De moeilijkheid hierbij is dat bedrijven, die hun bedrijfsdata willen beschermen op de mobiele devices van medewerkers, toegang moeten krijgen tot deze devices waarbij ze automatisch ook in contact komen met die persoonlijke data,’’ aldus Quirijns. Hoe kan een bedrijf ervoor zorgen dat data beschermd is op mobile devices?

Bedrijfsdata op mobile devices

Het behoeft weinig toelichting dat privacygevoelige data van bedrijven, zoals bijvoorbeeld klantgegevens, beschermd moeten worden. Wanneer een medewerker een laptop, tablet of telefoon verliest, dan is het zaak dat een ongeautoriseerd persoon niet bij die data kan. Bedrijven kunnen hiervoor zorgen door:

  • Op een mobile device bewaarde klantgegevens extra te beveiligen. Zorg ervoor dat de data niet vrij toegankelijk is, zodat er in geval er een telefoon, laptop of tablet om wat voor reden dan ook verloren raakt niet per definitie meteen sprake is van een datalek. Software biedt hiervoor steeds meer mogelijkheden. Waarbij jaren geleden enkel een wachtwoord moest worden ingevoerd bij het aanzetten van bijvoorbeeld een mobiele telefoon, is het nu al verder ontwikkeld naar vingerafdrukken en gezichtsherkenning;
  • Veel softwareprogramma’s maken het mogelijk data te wissen op afstand. Dit is te vergelijken met het blokkeren van een bankpas. Mocht het degene die het apparaat in handen heeft gekregen lukken om toegang te krijgen, dan is er niets te vinden.
Bovenstaande maatregelen verkleinen de kans dat privacygevoelige data op straat komt te liggen aanzienlijk. Waar medewerkers de toegang hebben, én verbinding maken met verschillende wifi-netwerken, benadrukt Quirijns het belang van het investeren in software die virussen, malware en ransomware voorkomt.

Al deze voorbereiding en voorzichtigheid verkleint de kans op datalekken, maar maakt deze niet onmogelijk: “mocht het, na alle maatregelen, nou toch misgaan dan is het zaak om (mogelijke) datalekken actief te monitoren en de schade te beperken,” stelt Quirijns.

Waar het gaat om schade beperkende maatregelen kunnen bedrijven bijvoorbeeld denken aan:

  • Het regelmatig automatisch laten 'inchecken' van alle mobile devices, om vermiste apparatuur snel te ontdekken. Wanneer een device ontbreekt is mogelijk deze met behulp van software te lokaliseren. Dit is vergelijkbaar met de Apple-applicatie ‘Zoek mijn iPhone’; 

  • Ervoor zorgen ervoor dat niet ieder device toegang heeft tot dezelfde hoeveelheid gegevens. Door een datarechtenstructuur aan te brengen is een datalek bij de receptioniste minder ingrijpend als bij de algemeen directeur; 

  • Privacygevoelige bestanden alleen op een veilige manier te delen en synchroniseren, zodat een eventueel lek nog te repareren valt;
  • Een protocol te formuleren dat duidelijk maakt hoe om hoort te worden gegaan met datalekken.


Mobiele persoonlijke data             

Wat het wapenen tegen datalekken lastig maakt, is het feit dat om bovenstaande maatregelen te treffen, er toegang is nodig tot de mobile devices van medewerkers. Bij het inzetten van toepassingen met de bedoeling bedrijfsdata te beschermen, zoals Mobile Device Management (MDM) en Enterprise Mobility Management (EMM), krijgt een organisaties ook toegang tot persoonlijke informatie van de medewerkers. Ook deze persoonlijke data dient beschermd te worden. Van belang is om ook hier maatregelen voor te treffen, waarbij het startpunt transparantie hoort te zijn. Wees duidelijk naar medewerkers over wat de organisatie door inzet van deze toepassing wel en niet kan zien. Geef hierbij medewerkers ook desgewenst inzicht in eigen data.

Zorg daarnaast voor:

  • Een ‘Bring Your Own Device’ beleid (BYOD). Veel medewerkers gebruiken eigen devices voor zakelijke doeleinden. Ontwikkel als organisatie een beleid dat duidelijkheid geeft over de verplichtingen voor de werknemer en de bevoegdheden van de werkgever met betrekking tot dit zakelijk gebruik van privé-apparatuur.
  • Een gerechtvaardigd doel. Het moet voor alle partijen duidelijk zijn wat er met de data wordt gedaan. Vergaar alleen data die nodig is voor her bereiken van de zakelijke doeleinden. Zorg ervoor dat de overeengekomen regels worden nageleefd en bewaar data niet langer dan noodzakelijk.

Portland stoomt IT-dienstverleners klaar voor GDPR

De invoering van GDPR gaat zorgen voor grote veranderingen in de manier waarop bedrijven om (moeten) gaan met klant- en persoonsgegevens. Dat betekent zowel uitdagingen als kansen voor IT-dienstverleners. We hebben het gehad over mobile devices, maar hoe zit het met het interne netwerk, SaaS-apps, websites? Klanten zoeken bij hun IT-dienstverlener naar antwoorden.

Als distributeur is Portland van plan resellers zo goed mogelijk klaar te stomen voor de toekomst, door te zorgen dat iedere reseller in staat is de vruchten te plukken van de nieuwste technologieën én het beste van wat er op dit moment op de markt is. Op 21 december 2017 organiseert Portland een GDPR Info Sessie, waarin de uitdagingen die GDPR presenteert aan het MKB worden toegelicht, en de mogelijkheden die er liggen voor IT-dienstverleners duidelijk worden gemaakt. Inschrijven voor de GDPR Info Sessie kan via https://www.portland.eu/agenda/gdpr-event-21-december-2017

 

Download PDF
Download PDF
Over Portland Europe

Portland distribueert innovatieve software gericht op het MKB, louter via resellers. Portland zoekt wereldwijd naar schaalbare software van ambitieuze ontwikkelaars die beter en goedkoper is dan traditionele oplossingen. Daarmee creëert Portland kansen voor resellers en hun klanten, terwijl ontwikkelaars een partner vinden in Portland voor toegang tot de Benelux. Zie: www.portland.eu.