25-07-2017

Bent u al wel klaar voor de nieuwe GDPR wetgeving?

De Europese General Data Protection Regulation (GDPR) of, in het Nederland, de Algemene Verordening Gegevensbescherming (AVG) biedt consumenten vanaf 2018 een veel betere bescherming van hun eigen data. Een terechte stap, EU-breed. Maar ook een stap met veel en complexe consequenties voor bijna alle bedrijven en instellingen. Kunt u het GDPR-beest binnen uw organisatie beteugelen? Een CIO studie van Egress toont aan dat 87% van de CIOs bezorgd zijn dat hun organisatie niet goed is voorbereid op de nieuwe EU regulering. ISAAC legt uit hoe de inzet van Data Virtualisatie deze aanpak enorm kan vereenvoudigen.

GDPR en Data Virtualisatie

Over GDPR

GDPR gaat over 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'. Het biedt uniforme databeveiliging voor alle inwoners van de EU en moet up-to-date en strenge privacy- en databescherming bieden in onze steeds meer data-gedreven wereld. De GDPR wetgeving is reeds in 2016 op Europees niveau in werking getreden. GDPR is bindend en van toepassing voor alle personen en bedrijven binnen de EU. Bedrijven krijgen uitstel tot 25 mei 2018 om hun bedrijfsvoering in overeenstemming te brengen met de GDPR. Na deze datum kan iedereen aanspraak maken op de bepalingen in deze wet en worden boetes opgelegd bij overtreding.

 

Expliciete toestemming & audit trails

Onder de GDPR dienen bedrijven altijd expliciete toestemming te vragen om toegang te krijgen tot data van personen, om deze data op te slaan, of om derde partijen toegang te geven tot deze data. Consumenten dienen daarnaast altijd inzage te kunnen krijgen in de eigen persoonsdata die een organisatie beheert. En let op: er is het recht om ‘vergeten te kunnen worden’ (inclusief data uit back-ups!). Data moet ook overdraagbaar zijn, in een standaard formaat, zodat deze eenvoudig elders kan worden ingelezen. Bovenal is het ‘wie kan waarbij’-principe belangrijk. U moet expliciet keuzes maken over de noodzaak tot datatoegang door uw medewerkers. Dit alles heeft veel gevolgen voor het gebruik van data door applicaties, zoals het inrichten van role based access control (RBAC) en het vastleggen van de complete audit trail rond data, zodat altijd helder is wie er wanneer bij welke data kan, of is geweest. Het simpelweg hanteren van individuele logins op uw IT-infrastructuur is niet meer voldoende. De inrichting voor GDPR grijpt dieper in op uw systeemlandschap.

 

Boetes en reputatieschade

Het niet goed regelen van deze zaken betekent risico op hoge boetes. Naast een bedrag dat kan oplopen tot 20 miljoen euro of 4% van de wereldwijde (!) omzet (per gebeurtenis), betekenen dit soort zaken negatieve publiciteit en een slecht, vertekend beeld bij toekomstige klanten: reputatieschade, terwijl merken steeds meer van hun reputatie afhankelijk zijn. Door de grote hoeveelheden data in de wereld en processen van nu, en de ontwikkelingen in het gebruik hiervan, zullen gebeurtenissen als het uitlekken van gegevens of zelfs misbruik hiervan, groots worden uitgemeten in de pers. Geen organisatie kan het zich permitteren om deze zaken niet goed op orde te hebben.

 

Front-ends met rechtstreekse datatoegang

Voor veel organisaties betekent GDPR in de praktijk dat er technisch gezien allerlei zaken moeten worden geregeld om compliant te zijn. Er zijn binnen moderne organisaties steeds meer in- en externe front-ends (portals, websites, apps, VR/AR, et cetera) die gebruik maken van consumentendata om alle business toepassingen het hoofd te kunnen bieden. Deze data is vaak opgeslagen in verscheidene databases, core systemen, grids en verstopt achter APIs. Alle front-ends halen deze data op, via directe SQL verbindingen of andere rechtstreekse communicatie over het interne netwerk of het internet. In sommige gevallen is er een Enterprise Service Bus (ESB) geplaatst die zorgt voor uniformiteit in de vele onderlinge verbindingen tussen databases en applicaties.

Het grote aantal onderlinge verbindingen, met of zonder ESB, betekent dat het technisch gezien erg lastig kan zijn om op die verschillende data-toegangspunten een controle- en audit trail-laag toe te voegen. Een complete API laag ontwerpen en implementeren op de verschillende services kan een oplossing zijn voor gecontroleerde toegang en, met een aantal uitbreidingen, ook voor de benodigde rapportages. APIs vragen echter een stevige investering en een tijdrovend ontwerpproces en die is, puur voor het doel van GDPR, lastig terug te verdienen. Data Virtualisatie biedt deze resultaten op een veel minder ingrijpende manier.

 

Data Virtualisatie biedt toegang, controle en inzicht

Data Virtualisatie (DV) kan bij een landschap met verschillende systemen met klantdata een uitkomst bieden. De techniek achter DV is al jaren beschikbaar en daardoor bewezen, ook onder hoge load en bij miljoenen klantrecords. Bij DV wordt data uit verschillende bronnen opgehaald en in een ‘virtuele laag’, in real-time gepresenteerd. Deze virtuele laag is daarna gecontroleerd toegankelijk voor de front-end en back-office applicaties, om de juiste data op te halen en te presenteren. DV biedt gecentraliseerde security policies voor alle databronnen. Daarbij kan zelfs eenvoudig specifieke toegang tot bepaalde kolommen uit tabellen worden gereguleerd.

Waar een ESB vooral losse gebeurtenissen en berichten kan transporteren tussen systemen, kan op basis van DV op veel meer manieren doorontwikkeld worden. Queries schrijven of migreren? Reporting? BI? Via DV is het allemaal aan te sluiten met GDPR-compliancy als extra voordeel.

Een DV laag biedt uit zichzelf mogelijkheden voor RBAC en biedt standaard volledige audit trails. De implementatie is eenvoudiger en sneller dan het bieden van verschillende APIs en brengt daardoor een kleinere investering met zich mee. De toegangstechnieken kunnen identiek blijven en kunnen nog steeds via bijvoorbeeld SQL worden geregeld. De belangrijkste stap die goed moet worden doordacht in een DV-implementatie is het mappen van data uit de bronsystemen met de doelapplicaties. Hier komt echter geen kostbare software-ontwikkeling bij kijken, maar alleen de configuratie van DV.

 

GDPR dashboard voor real-time informatie

Met gecontroleerde toegang en compliant audit trails biedt DV een complete feature set om de GDPR eisen het hoofd te bieden. Daarnaast kan er ook een dashboard op de data worden geconfigureerd en daarmee direct inzage worden gegeven in het gebruik van de data. Denk hierbij aan zaken als:

  • Data creatie (wanneer)
  • Data toegang (wie)
  • Data toegang geweigerd (reden)
  • Gedetailleerde analyse van dataverzoeken

Een dergelijk dashboard biedt business owners en verantwoordelijken voor dataverwerking inzichten die normaalgesproken alleen middels een diepe log-analyse van applicaties te vinden zijn, als ze al boven water te krijgen zijn. Het dashboard kan als een GDPR-cockpit de basis zijn van een GDPR-compliant organisatie.

Meer informatie over Data Virtualisatie, plus het complete whitepaper, zijn te verkrijgen via welkom@isaac.nl en 040-2908979.