Het voldoen aan alle regels die de GDPR-wetgeving ondernemers oplegt is een forse opgave. Het scannen en analyseren van data in alle mailboxen en daarnaast het doorspitten van alle gedeelde folders van een complete organisatie, betekent al snel het verwerken van meerdere terabytes aan data. Vervolgens dient het ontdubbelen, gecontroleerd opslaan óf werkelijk wissen van de informatie ook te gebeuren. Dit alles om privacy-issues te voorkomen. Handmatig is dit voor bijna geen enkele onderneming uitvoerbaar. Zelf een oplossing aanschaffen kan zeker voor een MKB-onderneming te duur uitvallen en moet daarnaast regelmatig worden geüpdatet naar nieuwe wet- en regelgeving. “De oplossing is het huren van een appliance die de organisatie GDPR-proof maakt”, stelt Francis Smulders, pre-sales bij IRENT.systems.
‘Onze oplossing kan 10 terabyte per week verwerken’
Het systeem dat IRENT aanbiedt is uitgerust met de functionaliteit van ControlPoint van Micro Focus. “Je huurt een systeem dat bestaat uit zowel de hardware, als de analyse- en data-beheersoftware.” ControlPoint is zo het antwoord op verschillende uitdagingen, weet Smulders. “Ten eerste voorkom je foutgevoelig handwerk. Daarnaast hoeven data het bedrijfsnetwerk niet te verlaten, omdat de oplossing daadwerkelijk in het netwerk staat, wat overigens ook betekent dat er geen sprake is van latency.”
Eigen regels
Eenvoudig gezegd gaat het bij de oplossing van Micro Focus om software die ongestructureerde data vindt en analyseert. Een vaste set control points, zoals gedefinieerd in de GDPR-regelgeving, zijn ‘ingebouwd’ in de appliance. Daarnaast kan de klant ook eigen regels toevoegen, denk daarbij aan het wissen van MPEG-bestanden. “Bij GDPR-wetgeving denken mensen vaak alleen aan klantgegevens die goed beheerd moeten worden. Er is echter veel meer”, legt Smulders uit. “Als een vacature wordt uitgeschreven reageren soms tientallen kandidaten, elk met een persoonlijke motivatie en cv.
Die documenten worden in de loop van het selectieproces door steeds weer andere medewerkers gelezen, geprint en opgeslagen. Ze worden daarbij wellicht ook aangevuld met gespreksverslagen, assessment-rapportages, verklaringen omtrent gedrag of kentekenregistraties als de sollicitanten bij het kantoor parkeren. Al die gegevens mag je niet zonder meer bewaren. Sterker nog: je moet ze wissen of de (afgewezen) kandidaat om toestemming vragen de documenten in portefeuille te houden.”
Uit de uitleg wordt duidelijk waarom een handmatige toets nauwelijks uitvoerbaar is, ook omdat data soms op heel onverwachte plekken binnen een organisatie terecht kunnen komen. Om dit fysiek uit te zoeken is onbegonnen werk. “De oplossing van Micro Focus die wij verhuren kan geheel geautomatiseerd 10 terabyte per week verwerken.”
Eenmalige scan
Overigens biedt de GDPR Appliance as a Service-oplossing die IRENT verhuurt ook uitkomst wanneer een klant slechts een eenmalige scan van alle data wil maken om in kaart te brengen waar de risico’s met betrekking tot de AVG liggen. “Op die manier kunnen de verantwoordelijken binnen een bedrijf het risicobeheer vormgeven.” Ook gebeurt het dat klanten de oplossing eenmalig inzetten bij een transitie naar de cloud.
‘Je kunt de software trainen op het herkennen van documenten’
Gegevens die onder de GDPR vallen worden niet alleen geautomatiseerd geïnventariseerd door ControlPoint, ook kan de data gecategoriseerd inzichtelijk worden gemaakt. Op die manier kunnen bedrijven de analyseresultaten met behulp van de software direct omzetten naar uitvoering en databeleid. “Zo kun je aangeven welk soorten data opgeslagen moeten worden in het archief, om ze na de voorgeschreven of zelfbepaalde bewaartermijn automatisch te verwijderen.” Ook kunnen klanten complexere data markeren om intern te bespreken en andere data juist direct naar de prullenbak verwijzen. “En als data verwijderd worden, dan zijn ze ook écht weg.”
Templates
Voor branche- of bedrijfsspecifieke persoonsgegevens zijn er binnen ControlPoint voorgeprogrammeerde templates beschikbaar. Francis Smulders: “Heeft de klant heel specifieke data waarop hij de omgeving wilt scannen, dan kan hij de software trainen op het herkennen van bepaalde soorten informatie en documenten.” Daarnaast kan de software gebruikt worden voor de analyse van dubbele, overbodige en verouderde data. Zorgvuldig databeheer op alle vlakken dus. En mocht er in de toekomst onverhoopt een datalek zijn, dan kun je direct aantoonbaar maken wat je aan de bescherming van persoonsgegevens hebt gedaan. “Ondernemingen hebben daarin immers een verantwoordelijkheid.”
[Dit artikel is eerder gepubliceerd in ChannelConnect 6 – 2020]