Stel je voor dat je kunt doen voorkomen dat een factuur reeds is betaald of een order in een systeem toevoegt dat daar helemaal niet hoort. Het kan desastreuze gevolgen hebben voor organisaties, ongeacht de bedrijfsgrootte. Encryptie is, gezien de aanhoudende ontwikkeling van cybercrime, vandaag de dag belangrijker dan ooit. Wanneer je altijd alles versleutelt, hoef je je nooit zorgen te maken over wat je bent vergeten te versleutelen. Het kan en zal altijd voorkomen dat een laptop met klantendata wordt achtergelaten in een taxi, zoek raakt op een vliegveld of tijdens een zakenreis wordt gestolen. Een regelrechte nachtmerrie voor iedereen die zorgvuldig met klantendata omgaat. Niet aangenaam voor je klanten, en “GDPR wise” ook niet. Door middel van encryptie ben je er voor 99,9% zeker van dat een andere niets met jouw data kan, ook al hebben ze jouw computer wel. Met een uitspraak als “Niets aan de hand, want ik heb een sterk wachtwoord” kom je niet weg: je moet vanuit juridisch oogpunt kunnen aantonen dat de laptop versleuteld was. Met de juiste encryptiemethodieken kan niemand met jouw data uit de voeten, en vanuit GDPR-oogpunt kan men dan ook niet spreken over een data breach.

Encryptie is niet gelijk aan GDPR-proof of -compliant

Encryptie wil overigens niet zeggen dat je GDPR-proof bent. GDPR is groot voor iedereen, en de verordening is opgesteld om organisaties meer dan voorzichtig met klantendata om te doen gaan. Er zijn nu legio bedrijven die schreeuwen “Koop deze encryptie in verband met GDPR!”, maar deze benadering past niet altijd. Encryptie moet niet een tick in de box zijn om zo aan de wet te voldoen. Beschouw het niet als kostenpost maar als toegevoegde waarde voor het dagelijkse zakendoen.

Met encryptie geef je een duidelijk signaal af dat je er alles aan doet om te voorkomen dat data in verkeerde handen vallen. Niet alleen goed voor de confidentialiteit, maar ook goed voor integriteit en authenticiteit. Daarnaast bepaal je met encryptie wie er binnen de organisatie documenten mogen inzien én aanpassen ... Encryption is your friend!

Encryptie maakt bedrijven niet GDPR-compliant, maar als je het niet gebruikt en medewerkers zijn in staat informatie “mee naar buiten nemen”, dan is er geen enkel argument dat kan zeggen dat je GPRD-compliant bent zonder encryptie.

Je kunt namelijk nooit garanderen dat je je laptop niet kwijtraakt en vroeg of later moet je je bij de regulator verantwoorden. Onlangs beweerde een bedrijf dat er geen enkele wet bestaat die het kon opleggen encryptie te gebruiken en daardoor van mening was niet gestraft te kunnen worden. De regulator was een andere mening toegedaan: het hoeft ook niet, maar als je het wél had gedaan had je je klanten beter beschermd dan nu het geval is. Je had meer kunnen en moeten doen, en deze nalatigheid zullen we in ons oordeel laten meewegen. Waren ze maar op encryptie overgestapt …

Het was één van de opties en zo was de data breach in dit geval een minder groot probleem voor zijn klanten geworden.

Show that you care

Wanneer je een persoonlijk geheim met iemand deelt, ga je er vanuit dat iemand daar voorzichtig mee omgaat en dat niet op Facebook zet. Dat is dan nog op persoonlijk niveau, maar hoeveel meer “zorg” verwacht een klant in een zakelijke omgeving? Je bent het je klant of contactpersoon die confidentialiteit, integriteit en authenticiteit verwacht, gewoon verschuldigd. Encryptie is één van de beveiligingsoplossingen that shows you care.

(Bovenstaande bijdrage kwam tot stand in samenwerking met Sophos Benelux)

Meer info: 00-31/162.480.240 of http://www.sophos.com.