NL | Nederlands
KINGSTON GDPR.

Empowering your business.


Tijd om over GDPR na te denken

Klein maar krachtig!

 

Klein, belangrijk en een essentieel stuk van de GDPR-puzzel… Hoe versleutelde USB-sticks in uw GDPR-strategie passen.

Een dagelijks scenario:

een medewerker downloadt gegevens van een werk-pc naar een USB-stick, misschien voor een back-up om thuis te kunnen werken of voor het geven van een presentatie. De medewerker verlaat het kantoor en onderweg naar huis verliest de medewerker de USB-stick. De USB-gegevens zijn niet versleuteld en dus toegankelijk voor iedereen die de stick aansluit op een computer. Uit een recent onderzoek blijkt dat bijna de helft van ons ooit een USB-stick vindt. In een best case-scenario is het verlies van een USB-stick alleen maar vervelend. Het verlies van een USB-stick met vertrouwelijke of persoonlijke informatie is echter een totaal ander verhaal.

 

automatisch indirecte kosten zal genereren door negatieve publiciteit, verlies van klantvertrouwen en uiteindelijk zaken. Daarom moeten organisaties hun interne IT-processen en beleidsregels nu herzien en controleren, en dienovereenkomstig aanpassen.

 

Een van de meest verwaarloosde risico's is vaak het niet versleutelen van de USB-sticks van bedrijven. Veel mensen denken dat het gebruik van USB-sticks een aflopende zaak is. Uit een recent onderzoek over het gebruik van USB-sticks blijkt echter dat ongeveer 90% van de deelnemers voor zijn werk gebruikmaakt van ten minste één USB-stick.

 

Van deze gebruikers rapporteerde een alarmerend percentage van 44% dat er een of meer USB-sticks waren verdwenen tijdens bedrijfsgebruik (50% hiervan werd als verloren gerapporteerd, 11% als gestolen, en in 39% van de gevallen was het niet duidelijk wat er met de USB-stick was gebeurd. Een ander zorgwekkend resultaat is dat bijna de helft van de ondervraagde medewerkers aangaf dat ze de USB-stick voor zowel persoonlijke als bedrijfsgegevens gebruikten.

 

Andere vragen toonden aan dat in ongeveer een vijfde van de onderzochte bedrijven de medewerkers gevoelige informatie op USB-sticks bewaren. Niettemin meldde 93% dat ze hiervoor geen op hardware gebaseerde versleutelde USB-sticks gebruiken. Daarom kan de conclusie worden getrokken dat onzorgvuldigheid van organisaties en werknemers in het omgaan met USB-sticks een aanzienlijk risico voor bedrijven vormt. Het is duidelijk dat het verbeteren van netwerk- of cyberbeveiliging een doorlopende en belangrijke taak van IT-afdelingen is, aangezien hacking en ransomeware-aanvallen een steeds groter probleem worden. In een wereld die steeds mobieler wordt en waarin medewerkers vaak thuis of in een BYOD-omgeving werken, zullen bedrijven de beveiligingskwesties die voortkomen uit ‘gegevens onderweg’ moeten aanpakken.

 

Om te voldoen aan de Europese GDPR-wetgeving betreffende mobiele gegevens, raden we organisaties aan de volgende vijf stappen te overwegen. In de eerste plaats is het van essentieel belang dat organisaties de nieuwe wetgeving en de implicaties hiervan begrijpen. Ten tweede moeten ze beoordelen welke persoonlijke en gevoelige gegevens de organisatie precies verwerkt, wie er toegang tot die gegevens heeft, en welke gegevens de organisatie verlaten. Zodra dit alles in kaart is gebracht, bestaat de derde stap uit het definiëren van een datastrategie en beleid over wie toegang krijgt tot welke gegevens en op welk medium. De volgende stap slaat op de hiervoor gebruikte technologie. Hier komt de versleutelde USB-stick om de hoek kijken. De EU GDPR geeft echter niet aan welke technologie gebruikt moet worden voor de bescherming van persoonsgegevens, maar de wetgeving vermeldt wel versleuteling als een te overwegen methode.

Op 24 mei 2018 wordt de huidige wetgeving uit 1995 inzake databescherming volledig vervangen door de General Data Protection Regulation (GDPR).

de nieuwe Europese wet voor databescherming. Deze nieuwe wetgeving van de Europese Unie streeft ernaar de bescherming van persoonsgegevens voor EU-burgers te versterken middels het recht om te worden vergeten, naast een toekomstvaste databeschermingswetgeving. Deze wetgeving is een poging om de verschillende nationale wetgevingen, welke verwarrend kunnen zijn door overlapping en onderlinge verschillen, te verenigen. Dit betekent concreet dat organisaties extra stappen moeten zetten om eventuele gegevenslekken en verlies en diefstal te vermijden. De boetes voor gelekte persoonsgegevens als namen, geboortedata, bankgegevens of medische dossiers kunnen oplopen tot 20 miljoen euro of maximaal 4% van de wereldwijde omzet van een organisatie (welke hoger uitvalt). Bovendien moeten de betrokkenen en een toezichthoudende autoriteit worden geïnformeerd indien persoonsgegevens zijn gecompromitteerd. Dit betekent dat een gegevensinbreuk - naast de directe kosten, zoals bijvoorbeeld boetes of juridische kosten - ook.

 

Versleutelde USB-sticks zijn vaak de meest verstandige en kosteneffectieve methode om ‘gegevens onderweg’ te beschermen. Ten slotte moeten organisaties ervoor zorgen dat hun medewerkers zich bewust zijn van de nieuwe wetgeving, het best practice databeschermingsbeleid gevolgd wordt, en dat de juiste technologie wordt gebruikt. In dit stadium is het ook belangrijk om te bedenken dat dit niet alleen geldt voor gegevens die u vanuit juridisch oogpunt moet beschermen, maar ook voor bedrijfsgevoelige informatie die u vanuit een zakelijk oogpunt wilt beschermen.

 

Kingston Technology biedt betaalbare versleutelde business-grade (DTVP 3.0), high-security (DT4000 G2) en keypad USB-sticks (DT2000) om bedrijven te helpen te voldoen aan de EU GDPR-wetgeving. Daarnaast maakt Kingston gebruik van de onlangs aangekochte productlijn van IronKey om FIPS 140-2 Level 3 certificeringsoplossingen aan te kunnen bieden aan organisaties die het hoogste versleutelings- en beveiligingsniveau verlangen. Kingston's softwarepartner DataLocker® Inc. biedt bovendien de SafeConsole® en Enterprise Management Services (EMS) platforms die gebruikt worden door versleutelde stations met Kingston- of IronKey-beheer. Beide stellen IT-beheerders in staat hun USB-sticks centraal te beheren, aan nalevingsvereisten te voldoen en een hoger ondersteuningsniveau te bieden. Functionaliteit omvat wachtwoorden op afstand instellen, configuratie van wachtwoorden en apparaatbeleid, activatie van nalevingscontroles, stations op afstand onbruikbaar maken, en nog veel meer.

 

Zoals reeds vermeld, is de versleuteling van persoonsgegevens op dit moment een van de meest moderne methodes om voor beveiliging te zorgen. De versleuteling van persoonsgegevens hoeft niet ingewikkeld te zijn, aangezien een versleutelde USB-stick de versleuteling automatisch op de achtergrond uitvoert. Gebruikers krijgen alleen met de versleuteling te maken wanneer ze een stick op een computer aansluiten en een wachtwoord moeten invoeren. Hiervoor is geen technische kennis vereist, wat een dergelijke oplossing eenvoudig te implementeren en in het gebruik maakt. Dit is cruciaal, aangezien onnodige complexe oplossingen het risico met zich meebrengen dat werknemers er geen gebruik van maken.

 

Door te investeren in 256-bits AES, op hardware gebaseerde versleutelde USB-sticks kunnen organisaties een klein, maar belangrijk onderdeel van hun GDPR-takenlijst afvinken. Dit is voor sommige organisaties mogelijk onbekend terrein, maar we zijn ervan overtuigd dat we organisaties kunnen helpen aan hun GDPR-vereisten te voldoen en een soepele overgang van de ene databeschermingswetgeving naar de andere mogelijk te maken.