Scroll naar boven

Inspiratie over GDPR en gegevens

Hier vind je vijf artikelen over GDPR en data die je kunnen inspireren en je organisatie op weg kunnen helpen.
Je bent altijd welkom om HIER direct een afspraak met me te maken, of schrijf me op abs@dataandmore.com als je meer wilt horen of met ons wilt samenwerken.

.

Andreas Strøbek, partner, Data & More

 

PS: Ben je nieuwsgierig naar je compliance met GDPR - dan bieden we een gratis datascan van je gegevens aan (zie aan het einde van de tekst)

A: Hebt u grip op uw systemen voor het delen van bestanden?

Heeft u geen informatie over wat er in uw systemen voor het delen van bestanden staat? Maakt u zich zorgen over datalekken of meldingen bij de Zweedse privacybeschermingsautoriteit (IMY)? Wilt u ervoor zorgen dat u voldoet aan de wetgeving op dit gebied?

 

Weinig mensen kunnen met een goed geweten instemmen met de volgende beweringen:

 

  • We slaan geen illegale gegevens op.
  • Als er een datalek plaatsvindt op onze systemen voor het delen van bestanden, weten we precies welke (persoonlijke) gegevens mogelijk zijn blootgesteld.
  • Als er een ransomware-aanval plaatsvindt op onze systemen voor het delen van bestanden, is er geen risico dat onze bedrijfsgeheimen worden gestolen.
  • Als we onder toezicht staan van het Zweedse bureau voor privacybescherming, kunnen we snel relevante gegevens vinden in ons systeem voor het delen van bestanden.

 

Het delen van bestanden is als een grote kelder: Je hoeft daar nooit schoon te maken - er is altijd ruimte voor nog een kartonnen doos. Jaar na jaar wordt de kelder gevuld met meer kartonnen dozen totdat sommige kartonnen dozen er al zo lang staan dat niemand meer weet wat erin zit - of wie ze daar neergezet heeft.

Maar toen kwamen GDPR, Ransomware en datalekken. Al met al een noodzaak om schoon schip te maken met alle erfenis en schulden die zich hebben opgestapeld, waar we samen jaar na jaar aan hebben bijgedragen.

Helaas is het probleem veel groter dan je zou denken. Data & More beheert dagelijks meer dan 2.000.000 datasets (Excel sheets, PDF's, Word documenten, PowerPoints, etc.) om organisaties te helpen aan de wetgeving te voldoen en ervoor te zorgen dat gegevens worden gerespecteerd. En het blijkt dat 3-7% van alle gegevens buiten HR-, case management- en financiële systemen illegaal zijn en verwijderd moeten worden.

3-7% klinkt misschien niet als veel, maar als een organisatie met 100 werknemers ongeveer 150.000 illegale datasets heeft - dan begrijp je de omvang van het probleem (vermenigvuldig het aantal werknemers als je er meer hebt...). En slechts één dataset (bijvoorbeeld een Excel-sheet) kan veel persoonlijke gegevens en gevoelige informatie bevatten. Hier zijn enkele voorbeelden uit de praktijk:

  • Een groot verzekerings- en pensioenbedrijf had een vijf jaar oud Excel-bestand in hun systeem voor het delen van bestanden met informatie over hun klanten, financiële informatie, ziektes, familie-informatie, sofinummers, enz. We hebben het hier over zeer persoonlijke en gevoelige gegevens van honderdduizenden mensen, die tientallen jaren beschikbaar waren voor alle werknemers.
  • Of wat te denken van een gemeente die, in verband met hun jaarlijkse budgetbepaling, oude Excel-bestanden met informatie over gehandicapte kinderen in de gemeente en gerelateerde kosten in de gemeenschappelijke bestandsdeling had liggen.
  • Of het bedrijf dat foto's bewaarde van paspoorten en rijbewijzen van oude klanten, die allang verwijderd hadden moeten zijn.

Ik kan nog wel even doorgaan, maar het punt is dat we uit respect voor elkaars gegevens ervoor moeten zorgen dat we onze gegevens opschonen voordat ze met anderen worden gedeeld - of te koop worden aangeboden. Dit is geen probleem dat vanzelf verdwijnt.

Gelukkig zijn er oplossingen die kunnen helpen met het zware werk, want handmatig opschonen is een onmogelijke taak. Door bijvoorbeeld een datascanner te gebruiken om gegevens automatisch te scannen, kan een echt overzicht worden verkregen van wat het systeem voor het delen van bestanden precies bevat, zonder de medewerkers te belasten. Op deze manier trek je tenminste de aandacht van het management en krijg je hopelijk ondersteuning om het probleem op te lossen. We hebben het tenslotte over onze eigen gegevens.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

B: Op weg naar cloud-opslag?

Als u van plan bent om uw gegevens naar cloud-opslag te verplaatsen (of van platform te veranderen) - dan is het een goed idee om de gegevens op te ruimen die u niet langer nodig hebt of waarvan u het recht hebt om ze op te slaan. Het opruimen van oude, onnodige gegevens is niet alleen logisch - er zijn eigenlijk heel wat goede redenen voor. Hier zijn er een paar:

 

1 - Je bespaart geld
Ten eerste bespaart schoonmaken geld. Clouddiensten kosten geld - en de prijs is vaak gebaseerd op hoeveel gegevens je opslaat en hoe vaak je er toegang toe hebt. Als je opschoont en alle oude gegevens verwijdert die je niet nodig hebt, dan hoef je minder gegevens te verplaatsen. Dit betekent dat zowel de kosten voor het verplaatsen van je gegevens als voor de opslag in de cloud lager zijn. Zie het als het niet hoeven betalen van huur en het niet hoeven opslaan van dingen die je toch nooit gebruikt.

 

2 - Omwille van het milieu
Het verplaatsen en opslaan van gegevens gaat verder dan het milieu. Voor elke verwerking of opslag van een e-mail, een bijlage, bestanden op schijven, enz. is stroom nodig. Hoeveel CO2 is afhankelijk van verschillende factoren, maar volgens Berners Lee's boek "The Carbon Footprint of Everything" is de hoeveelheid CO2 tussen de 30 gr en 5 kg voor slechts 100 e-mails... Tel dan eens op hoeveel e-mails je hebt - en denk aan je gegevens op bestandsdrives.

 

3 - Bedrijfsrisico minimaliseren
Het opslaan van oude gegevens vormt een groot bedrijfsrisico, omdat deze vaak gevoelige persoonlijke en bedrijfskritische gegevens bevatten. Het bewaren van deze gegevens, die je niet meer nodig hebt en die op de verkeerde plekken zijn opgeslagen, of die volgens de Autoriteit Persoonsgegevens zelfs hartstikke illegaal kunnen zijn, is een aanzienlijk bedrijfsrisico. Veel meldingen bij de Autoriteit Persoonsgegevens komen eigenlijk van de werknemers zelf, die verre van tevreden zijn over de manier waarop de organisatie (het management) prioriteit geeft aan compliance met de wetgeving. En als er een datalek is en er is geen overzicht van de gegevens van de organisatie - dan kan het ertoe leiden dat veel van uw en mijn gegevens plotseling worden doorverkocht.

 

4 - Doe het efficiënt en bespaar tijd
Schoonmaken wordt vaak niet gedaan omdat het gewoon te lang duurt. En in een druk dagelijks leven staat het niet bovenaan de to-do lijst. Maar de eis van de Zweedse gegevensbeschermingsautoriteit om gegevens te wissen heeft ervoor gezorgd dat er nieuwe soorten oplossingen op de markt zijn gekomen - oplossingen die effectief gegevens kunnen scannen, identificeren en wissen door de medewerker zelf of automatisch, afhankelijk van hoe je het wissen wilt aanpakken. En als je kijkt naar hoeveel tijd je als organisatie bespaart - het is vaak een goede oplossing voor een anders vervelend en lastig probleem.

 

5 - Minimaliseer de tijd voor het verplaatsen van uw gegevens
Hoe meer gegevens je hebt, hoe langer het duurt om ze te verhuizen. Door je te ontdoen van de gegevens die je niet nodig hebt, kan het hele proces sneller verlopen. Dit betekent minder downtime voor je organisatie en een snellere overgang naar de nieuwe set.

 

6 - Onthoud alle gegevens - niet alleen de gegevens aan de oppervlakte
Je moet controle hebben over al je gegevens, en niet alleen over de gegevens die gemakkelijk te wissen zijn. Er kunnen veel gegevens te verwijderen zijn in e-mails, pdf-bijlagen, in afbeeldingen, Excel-sheets en natuurlijk in gewone documenten. Een enkele Powerpoint-presentatie met mooie grafieken en begrotingsvoorstellen voor 2019 kan bijvoorbeeld een ingesloten blad bevatten met alle uitgaven van de gemeente (inclusief socialezekerheidsnummers en gedetailleerde informatie) over de gehandicapte burgers van de gemeente.

 

7 - Stel rollen en verantwoordelijkheden rond gegevens vast
Het verplaatsen van gegevens naar de cloud is ook een goede kans om je gegevens op orde te krijgen. Na verloop van tijd is uw bestandsschijf vast een rommeltje geworden van verouderde bestanden, duplicaten, verkeerde locaties, enz. Door uw gegevens op te schonen voordat u ze verplaatst, zorgt u ervoor dat alleen relevante gegevens worden verplaatst - maar u moet ook rollen en verantwoordelijkheden voor gegevensbeheer vaststellen.

 

8 - Voorkom dat alles waar is
In verband met de verhuizing moet je natuurlijk methoden, hulpmiddelen en verantwoordelijkheden hebben vastgesteld om ervoor te zorgen dat dit niet nog een keer gebeurt. Zweden is een grotendeels gedigitaliseerd land en de hoeveelheid gegevens in organisaties neemt elke dag toe.

Voeg een paar woorden toe - ruim je gegevens op voordat je ze naar de cloud verplaatst - het is logisch, je bespaart tijd en geld en het is goed voor het milieu. En ten slotte, bepaal de nodige maatregelen zodat het niet nog eens gebeurt. We hebben een gedeelde verantwoordelijkheid om onze oude erfenis en schulden op te ruimen - zelfs in een druk dagelijks leven. Veel ervan zijn tenslotte jouw gegevens en de mijne.

C: Slaagt bij Microsoft Purview

Veel mensen proberen Microsoft Purview om hun gegevens beter te beheren, maar geven het na een tijdje op. Maar er is hoop! De grootste uitdagingen met Purview kunnen worden samengevat in een paar zinnen - en gelukkig zijn ze allemaal oplosbaar:

In Purview moet je zelf een complexe zoekmachine bouwen en onderhouden, die altijd een hoge foutmarge zal hebben - en die ook ongelooflijk traag is om gegevens te doorzoeken. En als er fouten of wijzigingen zijn, moet je opnieuw beginnen. Niet alle relevante gegevens kunnen worden verwerkt door Purview - en als je de gegevens uiteindelijk wilt verwijderen, verwijder je ze blindelings zonder te weten of Purview het goed heeft gedaan.

Deze gebieden zijn vaak obstakels voor organisaties die controle willen over hun eigen gegevens. Ik heb daarom de zaken waar Purview problemen mee heeft geformuleerd - en de oplossingen die beschikbaar zijn.

 

Dus waar faalt Purview ?

 

1. Slechte identificatie van gegevens

Purview wordt geleverd met een aantal vooraf gedefinieerde zoekopdrachten. Deze zijn bij lange na niet wat nodig is en ze zijn ook niet erg nauwkeurig. Je moet dus zelf al die duizenden soorten zoekopdrachten instellen die nodig zijn om te voldoen aan bijvoorbeeld GDPR en binnenkort NIS2. Het is geen dealbreaker - maar het is een enorme klus die een heel team van zowel taalexperts als MS-consultants vereist. Voor elke taal die je in de organisatie gebruikt, moet natuurlijk ook een aparte set worden gemaakt. En dan moet je er ook nog voor zorgen dat bijvoorbeeld een Duits serienummer niet wordt verward met het Deense persoonlijke identificatienummer. Helaas is de complexiteit van het garanderen van nauwkeurige zoekopdrachten zowel een enorme taak als cruciaal voor succes.

 

2. Zeer langzaam scannen

Purview is een (extreem) langzame datascanner - je kunt dus gemakkelijk jaren wachten tot je gegevens zijn gescand. Als je 250 werknemers hebt met elk ongeveer 100.000 gegevensbestanden (e-mails, bijlagen, bestanden, enz.) duurt het ongeveer 365 dagen om alle gegevens te scannen (vermenigvuldigd als je met meer bent). En dat is slechts één scan. Aangezien je maar één scan met een duur van 7 dagen per keer kunt uitvoeren, wordt het ook een zwaar project om de scan van alle gegevens te voltooien.

 

3. Opnieuw scannen is vaak nodig

Natuurlijk moet je je zoekopdrachten aanpassen als je bijvoorbeeld meer weet over je eigen gegevens, als je meer weet over waar je op wilt scannen, als je valse positieven wilt minimaliseren, enz. Bij elke wijziging moeten alle gegevens van de organisatie opnieuw worden gescand (zie hierboven).

 

4. Etikettering - maar alleen op een paar gegevens

Labelen is een zeer centrale functie van Purview. Het is daarom belangrijk dat de juiste gegevens worden gemarkeerd met een label, zodat ze achteraf correct kunnen worden verwerkt. Het is echter slechts een select aantal gegevens dat Purview kan scannen en labelen. De rest van de gegevens van de organisatie is dan nog ongemarkeerd.

 

5. Schoonmaken met gesloten ogen

Weinig mensen durven hun gegevens met hun ogen dicht te wissen zonder precies te weten wat ze wissen (gegevens die vaak zelfs verkeerd geselecteerd zijn). Maar in Purview is dat wel het geval. De werknemer/eigenaar van de gegevens is niet betrokken - en in plaats daarvan wordt de beslissing om het wissen te starten genomen vanuit een gecentraliseerd team. Dit kan op zich al enorme zakelijke gevolgen hebben wanneer belangrijke gegevens verloren gaan.

 

Maar dat gezegd hebbende, er is een kans om Purview te behouden, de lancering te vergroten en te slagen:

 

Data & MoreDe oplossing van Purview kan al deze uitdagingen (en meer) overwinnen waar tekortschiet. Je kunt bijvoorbeeld Data & Moregebruiken als stand-alone oplossing of als aanvullende oplossing voor het zwaarste werk. Op deze manier kan de organisatie snel starten met het gebruik van Purview voor haar kerncompetenties.

 

Iets over Data & More's oplossing:

  • De oplossing is klaar voor gebruik. Er is geen configuratie, programmering, enz. nodig.
  • Het bevat honderdduizenden vooraf gedefinieerde en geteste zoekopdrachten in verschillende talen
  • De oplossing scant snel en kan enorme hoeveelheden gegevens aan (petabytes)
  • Als zoekopdrachten veranderen, hoeft u de scan niet opnieuw te doen
  • De oplossing heeft altijd controle over alle gegevens in alle aangesloten gegevensbronnen - inclusief nieuwe gegevens
  • Er kunnen labels worden geplaatst op alle soorten gegevens, die vervolgens kunnen worden gebruikt door bijvoorbeeld Purview, DLP enz.
    De medewerker wordt indien nodig automatisch betrokken
    De medewerker kan dubbel controleren wat is ingesteld voor verwijdering voordat het wordt verwijderd.
    De oplossing kan geselecteerde gegevens binnen enkele seconden vinden (bijv. in geval van toegangsverzoeken) in alle gegevens

 

In principe doet Data & More's oplossing het zware werk - namelijk snel en efficiënt alle gegevens scannen en de juiste markeringen toepassen - op de juiste gegevens - in alle relevante gegevensbronnen. En betrekt de medewerker erbij als gegevens ook moeten worden verwijderd. In de afgelopen jaren heeft Data & More elke dag op basis van miljarden gegevenssets (e-mails, bijlagen, bestanden, enz.) classificaties voor GDPR, CCPA, PIPEPA, enz. ontwikkeld en onderhoudt deze voortdurend - en het kan direct worden gebruikt met Purview.

Op deze manier krijgt Purview de optimale uitgangspositie om te slagen.

D: AI ook Microsoft CoPilot

Wanneer je bijvoorbeeld Microsoft CoPilot (of sommige soorten AI) gebruikt, worden gegevens vaak gedistribueerd. Maar als je geen controle hebt over je gegevens, loop je het risico dat je grote hoeveelheden gegevens verspreidt naar bijvoorbeeld Microsoft. Gegevens die niet gedeeld zouden moeten worden, en zelfs gegevens die misschien al lang geleden verwijderd hadden moeten worden.

Het is één ding om van buitenaf blootgesteld te worden aan een datalek door bijvoorbeeld een gebrek aan beveiliging. Iets anders is het bewust naar buiten brengen van gegevens van je organisatie, vaak met inbegrip van persoonlijke en gevoelige gegevens van anderen, zonder ervoor te zorgen dat je precies weet welke gegevens je deelt.

Als je ook maar enigszins onzeker bent over welke gegevens je precies deelt - controleer dan eerst je eigen gegevens en die van anderen voordat je ze deelt.

 

E: Dataläck (Datalek)?!

Zorg ervoor dat je noodplannen informatie bevatten over hoe je in het geval van een datalek op een efficiënte manier snel en nauwkeurig inzicht kunt krijgen in gelekte gegevens.

Hierdoor kun je snel communiceren over het datalek en dit beheren in relatie tot de betrokken privépersonen op basis van feitelijke informatie over de inhoud van het datalek.

Data & More helpt organisaties die te maken hebben met een datalek snel en efficiënt door volledige transparantie te garanderen over welke persoonlijk identificeerbare en gevoelige gegevens precies zijn gelekt. Natuurlijk kunnen we ook helpen bepalen welke bedrijfskritische informatie is gelekt.

Maar een goed advies is nog steeds het bekende "Maak de auto leeg voor de dief" - dus zorg ervoor dat je je gegevens van tevoren opschoont. Dan is de schade zoveel minder - mocht het toch gebeuren.

Lees hier meer: https://dataandmore.com/sv/data-breach/

 

 

Inzicht krijgen in uw gegevens compliance risico's - efficiënt en gratis

Organisaties zijn niet goed geweest in het opschonen van oude gegevens. Er worden nog steeds veel gegevens opgeslagen die volgens de GDPR allang verwijderd hadden moeten zijn - en er komen elke dag nieuwe gegevens bij. Dat is de keerzijde van het leven in een digitale samenleving. We krijgen er allemaal mee te maken, als individu wanneer onze persoonlijke en gevoelige informatie in een datalek terechtkomt - of als organisatie wanneer de Privacy Protection Authority op bezoek komt of je in de media belandt.

Om organisaties en ons allemaal als individuen te helpen beveiligen, bieden we nu gratis scans aan. Het is precies hetzelfde type oplossing dat we anders verkopen - en dat dagelijks meer dan 2.000.000.000 e-mails, bijlagen, documenten enz. verwerkt. Het is alleen gratis.

  • Binnen enkele minuten aan de slag - geen installatie vereist
  • Automatisch scannen van de e-mails van je organisatie (tot 250 accounts)
  • De scan is gebaseerd op de GDPR-regels van de autoriteiten
  • De oplossing zoekt naar inhoud met een hoog risico, die catastrofaal zou zijn in het geval van een datalek
  • Feitelijk risico-overzicht dat kan worden gedownload
  • Niemand in uw organisatie heeft toegang tot de gescande informatie - zelfs u niet
  • Volg je kerncijfers, trends en risico's in de loop van de tijd.
  • De leverancier komt uit Scandinavië en is ISAE 3402- en GDPR 3000-gecertificeerd.
  • Alle juridische documenten (gegevensverwerkingsovereenkomst enz.) zijn inbegrepen

De daadwerkelijke scan kan 2-4 weken duren, afhankelijk van hoeveel rekeningen er gescand moeten worden en hoeveel gegevens er zijn. Als je geïnteresseerd bent in een snellere of grotere scan - of als er andere soorten gegevens zijn die je wilt scannen, schrijf me dan op abs@dataandmore.com

  • Geautomatiseerde gegevens Compliance: Identificeert en verwijdert niet-conforme privacygegevens met validatie door de eindgebruiker.
  • Beperking datalekken: Identificeert en rapporteert over betrokkenen bij een datalek en zorgt voor de juiste gegevensvalidatie.
  • Copiloot Privacy: Voorkomt dat Microsoft Copilot onbedoeld toegang krijgt tot gevoelige informatie door privacygegevens te labelen met gevoeligheidslabels van Microsoft.
  • Data & More voor Purview: Verbetert Purview met volledige GDPR privacyclassificatie en stelt automatisch Microsoft privacygevoeligheidslabels in op gegevens.
  • AI-platform voor bedrijfsgegevens: Gebruikt onze classificatietechnologie om gegevens uit grote ongestructureerde opslagplaatsen te identificeren en te gebruiken voor grote taalmodellen (LLM).