Sinds de invoering van de AVG is het duidelijk dat in control zijn niet langer een kreet is waaraan alleen grote ondernemingen moeten voldoen. Iedereen die over data met persoonsgegevens beschikt, moet deze beschermen én kunnen aantonen dat de juiste maatregelen zijn getroffen. Mark Slagmolen van ProLion, bespreekt de rol van DataAnalyzer in dit proces.
Mark spreekt als Regional Manager Benelux, Frankrijk en Nordics met ITchannelPRO over de aandacht voor compliance, nu datawetgeving steeds verder wordt uitgebreid. “Met de kennis van nu zien we dat AVG het opstapje was naar meer”, zegt Mark. “Inmiddels weten we ook dat NIS2 eraan komt. Financials hebben te maken met DORA, en zo is er nog veel meer EU-wetgeving in de maak. Voor al die wetgeving geldt dat eigenaren van data steeds meer en betere maatregelen moeten treffen. Alleen als ze dat doen zijn ze in control.”
ProLion ziet dat gebruikers van hun diensten en partners steeds vaker vragen stellen die zijn te herleiden tot dat in control zijn. “Dat begrijp ik maar al te goed”, geeft Mark aan. “Wie steken laat vallen, loopt grote kans daarvoor een hoge prijs te moeten betalen. De boetes die in het kader van de AVG zijn opgelegd zijn één ding, maar het feit dat bestuurders hoofdelijk aansprakelijk gesteld kunnen worden onder NIS2 is toch wel een ander verhaal. Wij merken echt dat NIS2 in bestuurskamers op de agenda staat.”
DataAnalyzer
Op dat punt aangekomen slaat Mark de brug naar DataAnalyzer van ProLion. “DataAnalyzer is op het eerste gezicht een dienst die afwijkt van wat de markt van ProLion kent. Het is niet zoals CryptoSpike iets waarmee je malware of ransomware buiten de deur houdt”, legt hij uit. “DataAnalyzer stelt de gebruiker in staat via een overzichtelijke interface volledig en realtime overzicht te hebben van de toegangsrechten van individuele accounts tot bestanden en folders.”
Toegangsrechten
Waarom het zo belangrijk is dit overzicht te hebben, is daags voor het interview met Mark nog eens duidelijk geworden. In de Britse pers is veel ophef over ziekenhuispersoneel dat in de medische dossiers van leden van het koninklijk huis heeft gekeken. Dat lang niet al het personeel dat mocht, mag duidelijk zijn.
“Deze case, waarvan hebben we in Nederland ook diverse voorbeelden hebben, laat zien waarom het nodig is exact te weten wie welke toegangsrechten heeft”, zegt Mark. “We zien het ook op andere plekken gebeuren. Medewerkers die onbedoeld toegang hebben tot strategisch of juridisch belangrijke informatie kunnen dit verspreiden en zo veel schade veroorzaken. Het kan overigens ook erger, met medewerkers die uit frustratie bewust op zoek gaan naar data om die te lekken. De kans daarop kun je reduceren door strak te sturen op toegangsrechten.”
Rapportages
DataAnalyzer monitort continu welke accounts toegang hebben tot welke documenten en mappen, en van welke toegangsrechten gebruik wordt gemaakt. Het is een volledig geautomatiseerd proces dat rapportages genereert, en deze rapportages zijn om twee redenen belangrijk. Ten eerste kan op basis hiervan worden bijgestuurd, maar ten tweede kunnen directies zo aantonen maatregelen te hebben getroffen om in control te zijn.
AVG en NIS2
DataAnalyzer helpt volgens Mark dus ook om in het kader van AVG en NIS2 in control te zijn en blijven. De ideale situatie is dat iedere medewerker bij indiensttreding in één keer de juiste toegangsrechten krijgt, en dat die daarna niet veranderen. De realiteit is echter compleet anders. Medewerkers krijgen bijvoorbeeld een andere functie, of werkzaamheden worden overgeheveld naar een andere afdeling. IT-beheer krijgt deze transfers in de regel niet tijdig door. Zo kan het gebeuren dat medewerkers, en zelfs hele afdelingen, toegang behouden tot mappen waar ze echt niets meer te zoeken hebben.
Mark sluit af met de constatering dat het beschermen van data verder gaat dan schadelijke bestanden buiten het netwerk houden en regelmatig back-ups maken. “Naarmate het aantal wetten toeneemt, zoals we eerder bespraken, wordt de scope van het begrip ‘beschermen’ veel breder. Als ondernemer en IT-dienstverlener, wordt je plan van aanpak om aan de wetten te blijven voldoen dus ook steeds uitgebreider en complexer. Het implementeren en toepassen van DataAnalyzer van ProLion is echter simpel, en helpt je in control te blijven.”
Meer weten over ProLion en DataAnalyzer? Zoek contact met Mark Slagmolen van ProLion via mark.slagmolen@prolion.com, of bel 0625 033 330.
(dit artikel verscheen eerder in ITchannelPRO magazine 2024 #01)