Nieuwste blogs

Alle blogs

Filter:
Bruno J. Russell
8 juni, 2018

GDPR/AVG belangrijk voor IT-dienstverleners, aldus Portland Europe

Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2018

 

IT-dienstverleners kunnen en moeten een instrumentele rol spelen bij het voorbereiden van hun klanten op de inwerkingtreding van de GDPR/AVG wetgeving op 25 mei a.s. De nieuwe regelgeving rondom de omgang met persoonsgegevens vraagt enerzijds om organisatorische en procedurele maatregelen, anderzijds een veilige IT-omgeving waarbinnen die gegevens worden verwerkt en opgeslagen. Portland Europe distribueert een aantal oplossingen waarbij IT-dienstverleners hun MKB-klanten kunnen ontzorgen.

 

De juiste aanpak van de uitdaging die GDPR heet begint bij het vaststellen van de huidige beveiligingsituatie, legt Cees Quirijns uit. “Grote enterprises huren daar dure consultants voor in, maar die kan de gemiddelde mkb’er zich niet permitteren. Gelukkig kan het ook anders en heeft Portland Europe de tools in huis waarmee MSP’s redelijk eenvoudig een assessment van de bestaande omgeving kunnen doen, en vervolgens op een schaalbare manier de zwakke plekken inzichtelijk kunnen maken met zo weinig mogelijk kosten voor de eindklant.”

 

RapidFire Network en Security Assessments

“In plaats van een dure consultant die een lijvig rapport genereert, biedt RapidFire een softwaretool die op het netwerk van de klant wordt geïnstalleerd en geautomatiseerde assessments uitvoert, zoals het gebruik van accounts, de detectie van pc’s zonder endpoint security en dergelijke”, vervolgt Quirijns. “Dat biedt een geweldige opportunity voor IT-dienstverleners. Immers, door automatisering kunnen meerdere projecten tegelijk worden aangepakt en door de verhoudingsgewijs zeer lage kosten wordt een regelmatige check, zeg eenmaal per kwartaal, aantrekkelijk. Zo’n assessment gaat overigens breder dan security alleen, maar in dit verhaal focus ik op security-kant.”

 

Stappenplan

Quirijns: “Geen GDPR-compliancy zonder beveiligd netwerk en procedures, ook daar begin je met het vaststellen van de bestaande situatie op het gebied van procedures, (gedelegeerde) verantwoordelijkheden en de locaties waar zich data bevinden. RapidFire is een prima tool voor het verzamelen van gegevens; de IT-dienstverlener kan zich zo focussen op de analyse en prioriteitstelling van gevonden zwakheden, want de tool genereert automatisch whitelabel rapporten. Daarmee kun je als bedrijf aantonen dat je actief bezig bent met de materie en maatregelen neemt door je IT-dienstverlener de gedetecteerde issues te laten prioriteren en op te lossen.” De tools van RapidFire worden overigens ook ingezet in talloze certificeringsprocessen aan de IT-kant. Daarbij volgt de software globale standaarden voor het goed inrichten van de bedrijfsvoering, deze sluiten aan bij de Europese ISO-standaarden.

 Port.lock ft. CC

Bredere inzet door integratie met andere tools

“En wie er nu mee aan de slag gaat voor de korte termijn in verband met GDPR-security-issues kan er ook op langere termijn zijn (zakelijk) voordeel mee doen door het aanbieden van bredere IT-assessments voor kwartaalanalyse van de huidige IT-omgeving bij de mkb-klant”, legt Quirijns uit. “Want de RapidFire toolset integreert naadloos met diverse andere tools die populair zijn bij IT-dienstverleners. Die tools zijn overigens ook inzetbaar wanneer een assessment op een traditionele manier door een consultant is uitgevoerd en uitmondt in een rapportage en een actielijst. Wanneer de klant dan zegt: ‘Los die actiepunten maar op’, dan betekent dat in dat geval dat de techneuten opnieuw aan de slag moeten om het rapport en de actielijst te vertalen naar tickets, maar ze beschikken dan niet meer over de achterliggende informatie. Dat betekent veel onnodig zoekwerk.” Zoals gezegd integreert de tooling van RapidFire naadloos met PSA-tooling (Professional Services Automation) of helpdeskoplossingen van derden.

 

Quirijns: “Wij leveren daarvoor bijvoorbeeld de oplossingen van ConnectWise, waarmee conclusies uit een rapport automatisch vertaald worden naar tickets waar de support-engineer of helpdesk direct mee aan de slag kan. Daarmee bespaar je als dienstverlener enorm veel tijd en geld.”

“Met ITGlue ten slotte kunnen we het geheel documenteren, iets dat vaak niet of onvolledig wordt gedaan. Dus moet je, nadat de assessment is gedaan en de vertaalslag naar tickets gemaakt, als derde actie de totale IT-omgeving documenteren, in plaats van dat er moet worden gewerkt met een rapport en een paar tickets die geen volledig beeld van de status van de infrastructuur geven. Deze ‘driewerking’ tussen de tools zorgen voor een minimalisering van tijdrovend handwerk en efficiënte overdraagbaarheid van to-do’s.”

 

GDPR-workshops: over kansen en bedreigingen

Quirijns: “Om onze resellers te ondersteunen bij hun vragen over GDPR hebben we eind vorig jaar een aantal GDPR-bundels samengesteld. Tijdens de drukbezochte workshops die we daarover al hebben georganiseerd, bleek enerzijds de grote behoefte aan ondersteuning om de marktkansen optimaal te benutten, maar kwam er anderzijds ook een mogelijke bedreiging naar boven. Wat is namelijk het geval? De wetgeving veronderstelt dat de verwerkingsverantwoordelijke, degene die eigendom heeft van de data, zijn toeleveranciers kan voorschrijven wat er precies met die data moet gebeuren. Dat gaat alleen lukken in het geval van (zeer) grote bedrijven.”

 

“Maar in het IT-domein ligt het anders, daar gaat het – zeker in de mkb-markt – vaak om relatief kleine partijen die te maken hebben met vendoren, de grote partijen in de markt zoals Microsoft. Zij dringen de IT-dienstverlener hun verwerkingsovereenkomst op, want als je weigert levert Microsoft bepaalde diensten niet meer. De IT-dienstverlener, die als sub-verwerker optreedt, moet dan de opgedrongen verwerkingsovereenkomst doorvertalen naar zijn mkb-klant, terwijl de mkb-klant wellicht zelf een verwerkingsovereenkomst heeft die de IT-dienstverlener dan weer geacht wordt te tekenen. Deze mismatch leidt tot onduidelijkheden, waardoor de dienstverlener geneigd zou kunnen zijn om het aantal vendoren waarmee hij samenwerkt tot een minimum te beperken. Dat is geen goede ontwikkeling, niet voor ons als distributeur van een aantal merken, en ook niet voor de IT-dienstverlener omdat hij dan de keuzevrijheid van zijn klant beperkt.”

 

‘Geautomatiseerde assessments zijn een geweldige opportunity voor IT-dienstverleners

“Vanuit Portland zijn we dan ook druk bezig om die bedreiging voor de keuzevrijheid van IT-dienstverleners en hun klanten om te zetten in een kans: door in samenwerking met een aantal advocatenkantoren een model-(sub)verwerkingsovereenkomst te ontwikkelen waarmee de dienstverlener zich kan indekken, zowel richting vendoren als richting hun eindklanten. Daarover hopen we binnenkort meer nieuws naar buiten te kunnen brengen”, aldus Quirijns.


Blijf automatisch op de hoogte van onze blogs over de MSP-business. Schrijf je in en ontvang wekelijks een overzicht van gepubliceerde blogs plus exclusieve content, zoals marktonderzoek en andere relevante research.

Blogs per e-mail

Ransomware Whitepaper
Business Booster Map