WAT JE MOET WETEN OVER GDPR EN MOBIELE DEVICES

De introductie van GDPR / AVG volgend jaar kan verstrekkende gevolgen hebben voor het gebruik van mobiele apparaten binnen bedrijven. In dit blog enkele handvatten hoe daar technisch mee om te gaan. 

Voordat we op de techniek duiken is het goed om eerst stil te staan bij de doelstellingen. Want wat wordt er in essentie van bedrijven verwacht in de nieuwe privacy regelgeving op het gebied van ICT? 

Het antwoord op die vraag is volgens mij een adequaat beschermingsniveau van privacygevoelige data. Wat dan precies 'adequaat' is, zal vast en zeker de komende jaren uitkristaliseren, maar dat helpt ons nu niet echt. Dat adequate beschermingsniveau wordt namelijk al in mei volgend jaar van bedrijven verwacht. Ook op mobiele apparaten.

Kort samengevat behelst privacygevoelige data op mobiele apparaten:

  • Bedrijfsdata. Privacygevoelige data van klanten die via mobiele apparatuur toegankelijk is voor medewerkers.

  • Persoonlijke data. Privacygevoelige data van medewerkers op mobiele apparatuur die toegankelijk is voor het bedrijf.

De Catch-22 is dat voor het beschermen van de bedrijfsdata toegang nodig is tot het mobiele device van de werknemer waarop dan meestal ook weer persoonlijke data aanwezig is. 

Mobiele bedrijfsdata

Het behoeft weinig toelichting dat de privacygevoelige data van klanten beschermd moet worden. Wanneer je een laptop, tablet of telefoon verliest, dan is het zaak dat een ongeautoriseerd persoon niet bij die data kan komen. Dat doe je bijvoorbeeld op de volgende manieren:

  • Encryptie van gegevensdragers in combinatie met het afdwingen van een toegangscode op het mobiele device (zoals wachtwoord, pincode, vingerafdruk of gezichtsherkenning);

  • Wissen op afstand van een mobiel device wanneer het wordt vermist;

  • Een extra beveiligingslaag voor toegang tot privacygevoelige data (zoals software of hardware tokens of andere vormen van 2-factor authentication).

Deze technieken verkleinen de kans dat privacygevoelige bedrijfsdata op straat komt te liggen door verlies of diefstal van een mobiel device aanzienlijk. Daarmee zijn natuurlijk niet alle risico's uitgesloten. 

Zo geldt bijvoorbeeld voor mobiele devices dezelfde problematiek als voor desktops binnen het  bedrijfsnetwerk: zijn ze wel afdoende beschermd tegen virussen, malware en ransomware? Dit is eens te meer relevant wanneer die mobiele devices connecteren via publieke (onbeschermde) wifi-punten. 

Zelfs ook al is al het voorgaande goed geregeld dan nog ben je er niet. Gebruik je verbeelding: er kan nog steeds van alles misgaan :(. Het is daarom ook zaak om (mogelijke) datalekken actief te monitoren en de schade ervan te beperken:

  • Mobiele devices regelmatig automatisch laten 'inchecken' om vermiste apparatuur snel te ontdekken;

  • Zorg via een datarechtenstructuur dat niet elk vermist device gelijk een potentieel datalek met zich meebrengt van dezelfde orde van grootte als wanneer de CEO zijn device verliest;

  • Deel en synchroniseer privacygevoelige bestanden alleen op een veilige manier, zodat een lek nog te repareren valt;

  • Denk na over een plan van aanpak (inclusief escalatie naar de verantwoordelijk Data Protection Officer of privacy-verantwoordelijke) wanneer een datalek zich -ondanks alle getroffen maatregelen- toch voordoet.

Mobiele persoonlijke data

Om bescherming van die bedrijfsdata op mobiele devices mogelijk te maken, moet een organisatie vaak vergaande maatregelen treffen op de mobiele devices van werknemers. Zoals installatie van Mobile Device Management (MDM) of Enterprise Mobility Management (EMM) toepassingen. Daarmee kan de organisatie tegelijkertijd toegang krijgen tot allerlei privacygevoelige informatie van de medewerker. 

Dat leidt weer tot nieuwe problemen, want ook die persoonlijke data moet beschermd worden, lees: niet zonder meer voor de organisatie toegankelijk zijn. Dat geldt wanneer het mobiele device eigendom is van de organisatie, maar helemaal wanneer het van de werknemer is (Bring Your Own Device, BYOD).

Wees om te beginnen transparant hierover:

  • Leg in simpele bewoordingen uit wat MDM/EMM wel en niet kan zien op een mobiel device. 

  • Zorg voor een BYOD-beleid (voorbeeld) en een efficiënte BYOD enrollment en unenrollment.  

  • Biedt medewerkers (desgevraagd) inzicht in hun eigen data.

En vergaar alleen persoonlijke data voor een gerechtvaardigd doel: 

  • Maak het doel duidelijk in voorwaarden voor eindgebruikers:

  • Vergaar alleen data die nodig is voor compliance-doeleinden;

  • Bewaar vergaarde data niet langer dan strikt noodzakelijk is. 

Tools

Wij hebben verschillende tools in ons portfolio die je helpen om data op mobiele devices (nog beter) te beschermen, zoals Mobile Device Management en Mobile End Point Protection van GDATA,  Secure File Share & Sync van Nomadesk en Private APN van FirmTel. 

Meer weten over een van deze merken? Neem contact met ons op.

Delen

DE VIJF VECTOREN VAN CYBER PROTECTIE