Op 25 mei 2018 ging de General Data Protection Regulation (GDPR) van kracht in Europa. In dit blog een overzicht van belangrijke terminologie en vereisten, evenals de impact op datastorage en -beveiliging.
GDPR definities en terminologie
Voordat we ingaan op wat de regelgeving inhoudt, staan we eerst even stil bij enkele belangrijke definities. Dit blog moet trouwens niet als juridisch advies gezien worden, maar simpelweg als onze interpretatie van de regelgeving.
Controller. De natuurlijke of rechtspersoon die het doel en middelen bepaalt van het verwerken van persoonlijke data. M.a.w. elk bedrijf dat binnen de Europese Unie opereert of EU klanten heeft.
Processor. De natuurlijke of rechtspersoon die data verwerkt namens een Controller. Bijvoorbeeld je cloudleverancier van data-opslag.
Personal data. Alle informatie met betrekking tot een natuurlijk persoon.
Data subject. De persoon die te identificeren is met de personal data. Dit is persoon die iets te zeggen heeft over wat jij doet met hun persoonlijke data die je opslaat op jouw servers of in jouw cloudomgeving. GDPR geeft deze personen het recht om bij je op te vragen wat je over ze weet. Daarop moet je tijdig antwoorden op straffe van forse boetes.Right to be forgotten. Data subjects hebben recht om hun personal data te verwijderen en deze door jou niet langer te laten verwerken. Op dit moment is nog onduidelijk of men hiermee ook het recht krijgt om gegevens uit backups te verwijderen. Immers, soms is dit praktisch niet mogelijk zonder de gehele backup te vernietigen, of is dit tegen andere regels die juist gebieden die gegevens te bewaren.
Personal data breach. Veiligheidsovertreding die leidt tot een accidentele of onwettige vernietiging, verlies, verandering, openbaarmaking of toegang tot persoonlijke data die wordt verstuurd, is opgeslagen of anderszins wordt verwerkt. Zo'n data breach moet binnen 72 uur bekend worden gemaakt bij de relevante autoriteiten.
Service contract. Een dienstverleningsovereenkomst tussen Controller en Processor.Data Protection Officer (DPO). Een nieuwe functie in jouw organisatie voor de persoon die verantwoordelijk is voor alle zaken met betrekking tot de bescherming van persoonlijke data. Zoals het er nu naar uit ziet kan een DPO al noodzakelijk zijn wanneer de data van slechts 5000 natuurlijke personen wordt verwerkt.
GDPR vereisten
GDPR vereist dat elke organisatie binnen de EU (of buitenlandse organisatie met EU klanten) alle persoonlijke data opslaat en bewerkt binnen de grenzen van de EU. Uitzondering hierop zijn: (i) wanneer de data subject expliciet toestemming heeft gegeven om deze buiten de EU op te slaan; (ii) wanneer de data wordt opgeslagen in Noorwegen, Liechtenstein of IJsland, omdat die landen zich aan implementatie van GDPR hebben gecommitteerd; en (iii) Buiten de EU mits met de relevante partijen contractueel wordt overeengekomen dat het beschermingsniveau minimaal gelijk is aan GDPR.
Persoonlijke data kan alleen behouden worden zolang nodig is voor het oorspronkelijke doel en moet beschermd worden in overeenstemming met de nieuwe regels. Zowel controller als processor moeten afdoende technische en organisatorische maatregelen geïmplementeerd hebben om een beveiligingsniveau te garanderen dat in verhouding staat tot het risico, inclusief dataencryptie en anoniemisering.
Een adequaat rapportagesysteem waarmee de controller persoonlijke data kan identificeren op servers, evenals bevestiging van opslaglocatie, encryptie en verwijdering. Een externe auditor moet die rapporten op eenvoudige wijze kunnen verifiëren.
Consequenties voor cloud storage vendoren
GDPR vereist nieuwe beveiligingsmaatregelen en contractuele overeenkomsten voor organisaties (controllers) die gebruik maken van cloud service providers (processors). Deze nieuwe vereisten kunnen als volgt samengevat worden:
Cloud service providers dienen voldoende garanties te geven dat hun diensten voldoen aan de technische en organisatorische eisen van de nieuwe regelgeving;
In service contracten tussen controller en processor is het gebruik van onderaannemers verboden zonder goedkeuring van de controller;
Wanneer het service contract is beëindigd, moet alle data uit de cloud worden verwijderd en de processor dient daar afdoende bewijs voor te leveren;
Controllers moeten data breaches melden aan de bevoegde autoriteiten.
Is jouw backup- en storage GDPR-compliant?
Dat zijn dus heel wat nieuwe regels waaraan je dataopslag moet voldoen. Een checklist:
Rapportage. Kun je rapporteren (en aantonen) welke persoonlijke data is opgeslagen en welke is verwijderd?
Opslaglocatie. Kun je bepalen op welke locatie (on-premise of EU datacenter) de data wordt opgeslagen?
Encryptie. Ben je in staat de persoonlijke data versleuteld op te slaan?
Data zoeken in backups. Kun je de relevante persoonlijke data vinden binnen je backups?
Persoonlijke data aanpassen. Kun je persoonlijke data aanpassen wanneer je daarom wordt gevraagd door data subjects?
Data export. Kun je data exporteren naar gangbare formaten in overeenstemming met de GDPR data portability vereisten?
Data recovery. Ben je in staat om data (snel) te herstellen wanneer deze verdwijnt gedurende een data breach?
Data protection. Ben je in staat je data te beschermen tegen (bijvoorbeeld) ransomware aanvallen? Voorkomen is niet alleen beter, maar ook goedkoper dan genezen van een datalekmelding.
Data certificering. Kun je onaantastbaar bewijs leveren voor de integriteit van je data, bijvoorbeeld voor audit en compliance doeleinden?
In jouw situatie niet voldoende vinkjes op deze checklist?
Kijk dan eens naar de oplossingen van Acronis. Een officiële verklaring van GDPR-compliance (voor Acronis zelf als controller, maar ook als processor voor andere bedrijven in EU) is in de maak en zal worden vergezeld van nieuwe tools die klanten instaat stellen om data aan te merken, te loggen, op te slaan en te verwijderen in overeenstemming met de nieuwe regelgeving.