Het volgen van je gegevens is een belangrijk onderdeel van de naleving van de nieuwe NIS2-richtlijn die door de EU is uitgevaardigd. Maar… hoe volg je je gegevens?
In de wereld van vandaag is het net zo belangrijk om te weten waar je gegevens naartoe reizen als de gegevens zelf. Stel je gegevens voor als de levensader van een bedrijf, essentieel voor de dagelijkse werking en het langdurige succes. Naarmate bedrijven groeien en meer gegevens produceren, wordt het veilig beheren van deze gegevens en het naleven van regels een complexe taak. Het is alsof je probeert alles bij te houden wat er gebeurt in een drukke stad, waar je niet per se alles direct onder controle hebt.
De Europese Unie heeft de NIS2-richtlijn geïntroduceerd, die de nadruk legt op de noodzaak voor bedrijven om een duidelijk beeld te hebben van de reis van hun gegevens. Het gaat niet alleen om het veilig opbergen van gegevens; het gaat om het begrijpen van elke stap die de gegevens maken, wie ze ziet en wat ze ermee doen. Beschouw het als het exact weten waar je gegevens naartoe reizen, wie ze bezoeken en welke avonturen ze beleven. Deze kennis is cruciaal voor het veilig houden van gegevens en ervoor zorgen dat bedrijven zich aan de regels houden.
Het Belang van Het Volgen van Je Gegevens
NIS2 gaat niet alleen om het afvinken van vakjes om te zeggen dat je voldoet aan de wet. Het gaat erom echt te laten zien dat je gegevens veilig houdt. Dit betekent dat je de volledige reis van je gegevens moet kennen — van het moment dat ze worden aangemaakt tot het moment dat ze worden verwijderd.
Artikel 21, Paragraaf 2, Punt d en Punt e van NIS2 beschrijft dit als:
“(d) beveiliging van de toeleveringsketen, inclusief beveiligingsaspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners;
(e) beveiliging bij de aanschaf, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief het omgaan met kwetsbaarheden en openbaarmaking.”
Wat dit in normaal Nederlands betekent, is dat je de verantwoordelijkheid hebt om te controleren waar je gegevens naartoe gaan gedurende de gehele reis. Dit betekent dat je moet weten wie je gegevensverwerkers zijn en welke gegevensverwerkers zij zelf gebruiken.
Het begrijpen van waar je gegevens naartoe gaan en hoe ze daar komen, is essentieel om te zien waar dingen mis kunnen gaan, ervoor te zorgen dat ze goed beschermd zijn en te voorkomen dat er informatie uitlekt die dat niet zou moeten. Je bedrijf gaat misschien veilig om met gegevens en je hebt mogelijk zelfs een certificering zoals ISO 27001, maar wat gebeurt er als gegevens je controle verlaten?
De voordelen en strategieën
Een belangrijke reden waarom het belangrijk is om gegevens te volgen, is dat cyberaanvallen steeds slimmer worden, en ze richten zich niet alleen op de gegevens die jij hebt, maar ook op de gegevens die andere bedrijven van jou bewaren. We horen allemaal wel eens van een grote hack, waarbij jij mogelijk zelfs bent getroffen.
Als je niet precies weet waar je gegevens zijn en hoe ze veilig worden gehouden, kun je niet echt zeggen hoe veilig je bent voor deze bedreigingen. Door je gegevens bij elke stap van hun reis in de gaten te houden, bouw je een verdedigingsstrategie op tegen cyberaanvallen.
Risicomanagement
Soms kunnen gegevens op manieren of naar plaatsen worden verplaatst, gebruikt of bewaard die je niet had gepland. Elke nieuwe stap die je gegevens zetten, kan nieuwe gevaren met zich meebrengen, en door te weten waar je gegevens naartoe gaan, kun je deze problemen vroegtijdig spotten. Dit stelt je in staat om snel oplossingen te bedenken om deze problemen op te lossen voordat ze zich tot grotere problemen ontwikkelen.
Vertrouwen opbouwen
Tegenwoordig willen de meeste mensen, van klanten tot zakenpartners, weten dat hun informatie veilig is en dat de regels worden nageleefd. Laten zien dat je altijd weet waar je gegevens zijn, helpt je niet alleen om in overeenstemming met de wet te blijven en dingen veilig te houden; het helpt ook om vertrouwen op te bouwen.
Uitdagingen en Overwegingen
Het bijhouden van je gegevens kan echter moeilijk zijn. Elk bedrijf dat met je gegevens werkt, zoals cloudservices of onderaannemers, heeft zijn eigen manier van werken. Bovendien veranderen digitale bedrijven voortdurend, wat betekent dat de manier waarop je gegevens bewegen ook kan veranderen.
Om met deze uitdagingen om te gaan, moet je grondig en proactief zijn in het bepalen hoe je gegevens bijhoudt. Dit betekent gedetailleerde controles uitvoeren om precies te begrijpen hoe gegevens bewegen en waar ze naartoe gaan. Het instellen van sterke regels voor het beheren van gegevens zorgt ervoor dat iedereen die met je gegevens werkt, deze op een veilige en wettelijke manier afhandelt, en dat is geen eenmalige inspanning.
Hoe je je gegevens kunt volgen
Nu we weten waarom het belangrijk en zelfs voordelig is om je gegevens te volgen, geef ik je een paar richtlijnen die je kunnen helpen om dit zelf te doen.
Het eerste wat je moet doen om je gegevens bij te houden, is uitvinden hoe ze bewegen, zowel binnen als buiten je bedrijf. Dit betekent het in kaart brengen van elke stap van waar gegevens worden gecreëerd, bewaard en bewerkt.
Wanneer je de gegevensstroom in kaart brengt, noteer dan ook wat voor gegevens je verzamelt, waarom je ze verzamelt, waar ze worden opgeslagen, hoe ze van de ene plaats of dienst naar de andere komen, en wie er toegang toe heeft op elke stap. Een kaart als deze helpt je te begrijpen en aan te wijzen waar er zwakke plekken of potentiële problemen kunnen zijn.
Stap 1: Ga in gesprek met je serviceproviders
Stap één van het volgen van je gegevens is eigenlijk vrij eenvoudig. Je gegevens worden vaak verwerkt of opgeslagen door anderen, bijvoorbeeld door je cloudservices, analysetools of klantbeheersystemen. Het is erg belangrijk om met deze providers te praten om te begrijpen hoe zij met jouw gegevens omgaan. Je moet echt onderzoeken hoe zij de regels volgen, wat zij doen om gegevens veilig te houden, en of zij andere bedrijven inschakelen om hen te helpen.
Een goed transparant bedrijf zal je helpen met vragen die je hebt. Een andere manier om ervoor te zorgen dat zaken goed geregeld zijn, is door verwerkingsovereenkomsten te sluiten. Dit zijn overeenkomsten waarin verplichtingen staan die jij en je serviceprovider moeten naleven om persoonlijke gegevens veilig te houden. Het is niet altijd even makkelijk om deze documenten te krijgen en te vinden, aangezien sommige bedrijven het behoorlijk moeilijk maken om ze te vinden. Dit toont al de waarde van het zakendoen met betrouwbare serviceproviders.
Stap 2: Identificeer en beoordeel subprocessors
De volgende stap kan wat moeilijker zijn. Een grote hindernis bij het bijhouden van je gegevens is het volgen ervan wanneer ze door subprocessors bewegen. Dit zijn de derde partijen die je hoofdsserviceproviders inschakelen om gegevens voor hen te verwerken. Het is van cruciaal belang om elke subprocessor te identificeren die betrokken is bij het omgaan met je gegevens, zodat je volledig begrijpt wat er van begin tot eind met je gegevens gebeurt. Zodra je weet wie ze zijn, moet je controleren hoe veilig en compliant ze zijn. Dit kan betekenen dat je naar hun beveiligingscertificeringen (zoals ISO 27001) kijkt, hun operaties door audits controleert, of bewijs vraagt van hoe ze gegevens beschermen. Je wilt ervoor zorgen dat elk bedrijf dat je gegevens aanraakt, net zo toegewijd is aan het veilig houden van die gegevens en het naleven van de regels als jij.
Gegevensstroom buiten directe controle
Je gegevens gaan vaak naar plaatsen die buiten je directe controle liggen. De lijst van subprocessors is soms lang, en dan hebben we het nog niet eens over de subprocessors van de subprocessors. Deze lange keten van waar je gegevens worden verwerkt en opgeslagen, kan het volgen ervan tot een moeilijke taak maken. Je moet proactief zijn, constant alles in de gaten houden en echt begrijpen wat de afspraken zijn tussen jouw bedrijf en de diensten die het gebruikt.
Meer dingen om te overwegen
Wat je ook moet opmerken, is dat sommige bedrijven mogelijk niet alleen subprocessors gebruiken, maar ook gegevens kunnen verkopen. Een van de vele voorbeelden is de nieuwe Outlook-app van Microsoft, die, zodra je de privacyverklaring accepteert, is toegestaan om gegevens van alle e-mails die je eraan toevoegt, te verkopen aan meer dan 750 derde partijen.
Afgelopen week waarschuwde de Nederlandse Inlichtingendienst (de CIA van Nederland) ons voor beveiligingsproblemen die zich voordoen in verband met de Amerikaanse overheid. Het werd zelfs het nationale nieuws (Nederlands artikel). Het gaat om het feit dat de Amerikaanse overheid alle gegevens van Amerikaanse bedrijven kan inzien onder hun Patriot Act en Cloud Act. Dit omvat ook essentiële bedrijven en overheidsorganisaties in Nederland en de rest van de wereld.
Trackingmechanismen
Naast het begrijpen van hoe gegevens bewegen en het controleren van serviceproviders, is het belangrijk om zowel technische oplossingen als regels in te voeren om je gegevens in de gaten te houden terwijl dit gebeurt. Dit kan betekenen dat je gegevensbeheerhulpmiddelen gebruikt waarmee je kunt zien waar je gegevens naartoe gaan, toegangsbeheersystemen instelt om bij te houden wie er toegang heeft tot je gegevens en waarom, en je gegevens versleutelt, of ze nu gewoon opgeslagen zijn of in beweging zijn. Het is het makkelijkst als je serviceprovider je de mogelijkheid biedt om dit zelf te beheren, zodat je meer controle hebt.
Het is ook geen eenmalige taak; het is een doorlopende inspanning. Een ander belangrijk onderdeel van het bijhouden van je gegevens, dat soms over het hoofd wordt gezien, is de menselijke factor. Het is heel belangrijk om je team te onderwijzen over waarom het cruciaal is om gegevens te volgen en zich aan regels te houden. Dit kan betekenen dat je hen informeert over NIS2, hoe je organisatie verwacht dat gegevens worden behandeld, en wat ze moeten doen als ze een datalek ontdekken. Een team dat weet wat te doen en alert is, helpt je bedrijf om gegevens correct te beheren.
Subprocessors identificeren
Laten we iets dieper ingaan op subprocessors, aangezien dit deel van de gegevensreis vrij vaag kan zijn.
De eerste uitdaging voor organisaties is het verkrijgen van duidelijk inzicht in het subprocessor-ecosysteem, aangezien de details van deze relaties mogelijk verborgen zijn in serviceovereenkomsten of helemaal niet gedeeld worden. Of, nog erger, opzettelijk verborgen worden. Je zult mogelijk openbare bronnen moeten raadplegen, zoals de website van de provider of rapporten uit de industrie, om een completer beeld te krijgen van hoe zij gegevens behandelen. Het doel is om een gedetailleerde lijst van subprocessors op te stellen, waarmee de basis wordt gelegd voor een diepere analyse.
Risicoanalyse en Betrokkenheid
Na het identificeren van subprocessors, is de volgende stap om de gegevensketen te evalueren op mogelijke risico’s. Dit vereist een grondige blik op de beveiligingsprotocollen en compliance-niveaus van elke subprocessor. Belangrijke factoren om te overwegen zijn waar de gegevensverwerking plaatsvindt, de juridische regels van die plaatsen en de specifieke gegevensbeschermings- en beveiligingscertificeringen, zoals ISO 27001, die elke subprocessor heeft.
Directe interactie met subprocessors, of dit nu via je primaire serviceproviders is, is essentieel om de informatie te verkrijgen die je nodig hebt. Dit kan betekenen dat je gebruik maakt van vragenlijsten of audits uitvoert.
Deze vorm van betrokkenheid bij providers opent mogelijk ook een communicatielijn voor het aanpakken van eventuele problemen die zich kunnen voordoen. Het is altijd goed om deze interacties te documenteren, aangezien ze bijdragen aan het bewijs van naleving dat je nodig hebt onder NIS2.
Voorbeeld: Microsoft
De producten die Microsoft aanbiedt, worden nog steeds door veel bedrijven gebruikt. Laten we eens kijken naar hoe een analyse eruit zou zien met Microsoft, zonder te veel in detail te treden over of je gegevens daadwerkelijk veilig zijn voor analyse door buitenlandse overheden en of je je gegevens bij een bedrijf wilt hebben dat vorig jaar miljarden euro’s, met een B, aan boetes kreeg voor privacyschendingen.
Ten eerste vormt Microsoft een aanzienlijke uitdaging op het gebied van transparantie, wat de inspanningen van bedrijven om grondige cybersecurity en naleving te waarborgen bemoeilijkt. Hoewel Microsoft een lijst publiceert met 47 subprocessors en 36 datacenters op het moment van schrijven, blijven de specifieke details over hun operaties, hoe ze met gegevens omgaan en hun beveiligingsprotocollen minder duidelijk.
Dit probleem wordt verder gecompliceerd door de wereldwijde verspreiding van subprocessors, die werken onder verschillende gegevensbeschermingswetten, afhankelijk van hun locatie. Hoewel Microsoft ervoor zorgt dat subprocessors voldoen aan de GDPR, moeten we in gedachten houden dat Microsoft zelf de GDPR blijft schenden, dus je zou jezelf kunnen afvragen wat hun woorden eigenlijk betekenen. Het zegt ook niet noodzakelijk iets over de gegevensbeveiliging, aangezien ze ook veel hacks en inbreuken hebben gehad het afgelopen jaar.
Het is eigenlijk erg moeilijk om zelf toezicht te houden op subprocessors, aangezien de moederbedrijven van deze subprocessors uit verschillende landen komen, wat meer complexiteit en potentiële beveiligingsrisico’s met zich meebrengt. Terwijl een subprocessor zich misschien in de Verenigde Staten bevindt, is het moederbedrijf dat niet altijd. Je kunt dit zelf ook controleren, maar je komt meer dan eens terecht bij door de Chinese overheid beheerde bedrijven als je het spoor volgt.
Daarnaast geven veel van deze subprocessors geen gepubliceerde lijst van subprocessors of privacygerelateerde beleidsmaatregelen, waardoor je op de een of andere manier contact met hen moet opnemen, en dat kost ook tijd en kan praktisch onmogelijk blijken te zijn.
Zichtbare verschuiving op de markt
Als het jouw taak is om Microsoft te beoordelen in het licht van NIS2, denk je misschien wel aan het opgeven van je baan en verhuizen naar een ander land, en je zou niet de enige zijn die vindt dat dit een ontmoedigende taak is. Wat we merken, is dat deze realisatie, samen met privacy- en beveiligingszorgen, steeds meer bedrijven en overheidsorganisaties heeft aangemoedigd om beleid te creëren tegen hun serviceproviders die subprocessors gebruiken voor gegevensverwerking, of op zijn minst hen te beperken. Deze verandering wordt gedreven door het inzicht dat subprocessors lagen van complexiteit aan de gegevensbeveiliging toevoegen, waardoor het soms uiterst moeilijk is om uitgebreide bescherming te waarborgen.
Door de betrokkenheid van subprocessors te verminderen of volledig te vermijden, maak je je leven een stuk gemakkelijker. Zoals de Nederlandse Inlichtingendienst in het artikel van vorige week zei, is het momenteel ondenkbaar dat de banden met Amerika verslechteren, maar je weet nooit wat er in de toekomst kan gebeuren. Wij denken dat de EU zal blijven investeren in lokale infrastructuur en daarmee nieuwe wetten en richtlijnen. Dit kan dus een andere reden zijn om te overwegen je gegevens volledig binnen de EU-grenzen te houden.
Hoe je je NIS2-naleving kunt vereenvoudigen
Als je alles overweegt, is dit het perfecte moment om afscheid te nemen van providers die je mogelijk nu gebruikt, om jezelf en je bedrijf veel onnodig werk te besparen en tegelijkertijd je beveiligings- en privacystandaarden te verbeteren.
Er zijn veel bedrijven in de EU die allerlei diensten aanbieden en veel producten hebben voor de verschillende uitdagingen waar je bedrijf mee te maken kan krijgen. Je hoeft alleen maar te zoeken naar die bedrijven die passen bij je bedrijfsbeleid.
Als we de vereenvoudigde gegevensreis vergelijken met Microsoft, zou je gaan van de situatie in de afbeelding hieronder, met tientallen subprocessors in verschillende landen en de mogelijke verkoop van je gegevens…
… naar de situatie hieronder, met minder providers, minder subprocessors en hosting in de EU. In het geval van vBoxx zou dit betekenen dat de producten in Nederland worden gehost, zonder subprocessors en met persoonlijke ondersteuning.
Jouw Volgende Stappen
De Nederlandse overheid heeft een tool beschikbaar gesteld die je snel helpt je NIS2-naleving te controleren (Nederlands). We raden deze tool sterk aan.
Als je je use-case wilt bespreken, helpen we je graag uitzoeken wat je mogelijk nodig hebt. We bieden veel van wat je bedrijf nodig heeft, zoals cloudopslag, e-mail, videovergaderingen, wachtwoordbeheer, maar ook servers, webhosting en veel meer.
We hebben geen subprocessors, wij en ons datacenter zijn ISO 27001-gecertificeerd en volledig EU-eigendom, dus er zijn geen niet-EU moederbedrijven betrokken. Stuur ons gewoon een e-mail, bel ons of start een chat en je wordt direct geholpen.
