Column


Tim Grieveson van Hewlett Packard Enterprise:

‘De GDPR is niet eng of vervelend’

Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Vanaf die dag moeten alle bedrijven die beschikken over persoonsgegevens van Europese burgers voldoen aan de nieuwe regels uit Brussel. Voor bedrijven die opzien tegen de voorbereidingen heeft Tim Grieveson, Chief Cyber & Security Strategist EMEA bij Hewlett Packard Enterprise, bemoedigende woorden. “Zie de GDPR als een kans om te innoveren en de security op een hoger niveau te brengen.”

Tim Grieveson is helder in zijn mening over de nieuwe ‘Europese Privacyverordening’: “De GDPR is echt een stap vooruit.” Om zijn mening te onderbouwen, neemt hij ons tijdens het interview eerst mee naar het dreigingslandschap dat hij als Chief Cyber & Security Strategist EMEA ziet. Dat landschap wordt volgens Grieveson niet meer gedomineerd door cybercriminelen die uit zijn op verstoring en vernieling, maar door professionele cybercrimebedrijven die gaan voor het grote geld. “Neem de CryptoWall-ransomware; daar hebben de cybercriminelen meer dan 325 miljoen dollar mee verdiend.”

“Cyberbendes zijn uiterst professionele en goed georganiseerde bedrijven geworden die uit zijn op winstmaximalisatie en minimalisering van de risico’s”, vervolgt Grieveson. “Om de bedrijfsdoelstellingen te behalen, beschikken ze over operationele teams die ervoor zorgen dat het geld op de juiste plaatsen is, over een marketingafdeling die de geboden diensten zo goed mogelijk in de markt zet, over een logistiek apparaat, et cetera. Het zijn in alle opzichten echte bedrijven geworden.”

Volgens Grieveson heeft deze professionalisering ook een voordeel: voor securityprofessionals is het eenvoudiger geworden om de ‘cyber crime business’ uit te leggen aan bijvoorbeeld de directie. “Net zoals bij normale bedrijven kun je ook op cybercrimebedrijven een sterkte- en zwakte-analyse loslaten, en kun je jezelf gaan verdedigen door de business van de concurrent te verstoren. Bijvoorbeeld door data te versleutelen. Als er dan toch een inbraak plaatsvindt, dan heeft de gestolen waar minder waarde. De detectietijd verkorten is een andere manier om de business van de cybercriminelen te verstoren.”

GDPR helpt verstoren
“Disrupt their business”, zo zal Grieveson nog meerdere keren herhalen. En volgens de Chief Cyber & Security Strategist EMEA van Hewlett Packard Enterprise is dit precies waar de GDPR bij gaat helpen. “Niet alleen harmoniseert de GDPR de manier waarop we binnen Europa persoonsgegevens beschermen. De verordening geeft ook aanbevelingen en handvatten voor hoe je de data van Europese burgers kunt beschermen. Zo laat het zien welke typen encryptie nodig zijn om de business van de tegenstander te verstoren.”

“De GDPR laat je het belang van beveiliging inzien en hoe je die beveiliging kunt inrichten”, vervolgt Grieveson. De GDPR gaat daarin veel verder dan bijvoorbeeld de huidige versie van de Nederlandse Wet bescherming persoonsgegevens, inclusief de meldplicht datalekken die sinds 1 januari van dit jaar van kracht is. Zo geeft de Wbp alleen aan dat bedrijven en overheden ‘passende technische en organisatorische maatregelen’ moeten nemen om datalekken te voorkomen. De GDPR laat ook zien hoe die maatregelen eruit moeten zien. “Wel denk ik dat Nederlandse bedrijven door de voorbereidingen die ze al hebben getroffen voor de meldplicht datalekken beter zijn voorbereid op de GDPR dan bedrijven uit andere Europese landen.”

Uitdagingen
“De GDPR is echt iets goeds”, zo benadrukt Grieveson nog eens, “maar introduceert uiteraard ook enkele uitdagingen.” Een van die uitdagingen is het vinden van voldoende Data Protection Officers. Vanaf 25 mei 2018 moeten alle bedrijven met meer dan 250 werknemers een dergelijke functionaris in dienst hebben. “Alleen al binnen Europa hebben we waarschijnlijk behoefte aan zo’n 28.000 nieuwe Data Protection Officers. De geïnteresseerden voor deze belangrijke baan moeten nog gevonden en opgeleid worden.”

Een andere uitdaging is de bepaling dat een datalek binnen 72 uur na de ontdekking moet worden gemeld bij de privacy-autoriteiten. Verzuimt een bedrijf hierin, dan kan de boete oplopen tot vier procent van de jaaromzet. “Maar heel veel bedrijven weten zelfs maanden na een cyberinbraak nog niet eens dat ze zijn aangevallen, en als een datalek wel wordt ontdekt, dan zijn de gegevens die nodig zijn voor een melding niet meteen paraat.”

Te nemen stappen
De detectietijd kan onder andere aanzienlijk worden teruggebracht met een goede security monitoring, security analytics en security intelligence. HPE helpt hierbij onder andere met een nieuwe set aan softwareoplossingen.

Maar volgens Grieveson zijn er nog meer stappen die bedrijven de komende anderhalf jaar kunnen nemen ter voorbereiding op de GDPR. “Bedrijven moeten een allesomvattend securityframework omarmen waarin zowel technologie, mensen als processen worden meegenomen. Verder zijn wij van mening dat je moet focussen op de data zelf, en op de interacties tussen de gebruikers van de data en de toepassing. Om data te kunnen beschermen, moet je weten welke data je hebt, welke waarde die data vertegenwoordigen en waar ze zich bevinden.”

“Ook is het belangrijk om de gehele organisatie te mobiliseren”, benadrukt Grieveson. “De bescherming van data is niet alleen een taak van security en IT; daar heeft iedereen een rol in. Maak daarom alle betrokkenen bewust van de rol die ze moeten spelen. Leg in een taal die ze begrijpen uit waarom het zo belangrijk is dat security-incidenten worden gedeeld, en hoe ze dat moeten doen. Vertel hoe ze om moeten gaan met data en maak de bescherming van data persoonlijk en onderdeel van de bedrijfscultuur.”

“We moeten uitleggen dat de GDPR echt belangrijk is”, besluit Grieveson. “Het is niet iets engs of vervelends, niet ‘weer een nieuwe wet’ die we moeten afvinken, maar een kans om te innoveren en de security op een hoger niveau te brengen.”


Lees meer over