Australië 
Canada 
Denemarken 
Frankrijk 
Duitsland 
Griekenland 
Ierland 
Nederland 
Nieuw-Zeeland 
Noorwegen 
Spanje en Portugal 
Verenigd Koninkrijk 
Verenigde Staten 27 januari 2023
Door Eric Schmitt – Chief Global Information Security Officer en Brenda G. Corey – SVP Compliance & Regulatory
In een wereld waarin privacy en bescherming steeds belangrijker worden, moeten bedrijven een evenwicht vinden tussen hun bewustzijn van risico's en naleving van snel veranderende regelgeving.
Vanuit het oogpunt van gegevensbescherming is er de afgelopen 24 maanden steeds meer nadruk komen te liggen op het waarborgen dat gegevens alleen worden bewaard voor de periode dat ze nodig zijn, of zoals vereist door de wet. Nu er in twee Amerikaanse staten (Californië CPRA,Virginia) wetten inzake transparantie en gegevensrechten van kracht zijn en in 2023 in drie andere Amerikaanse staten (Colorado,Connecticut,Utah) van kracht zullen worden, is het nu tijd voor bedrijven om hun infrastructuur te beoordelen, gebieden te isoleren die door kwaadwillenden kunnen worden misbruikt, en werknemers voor te lichten over de beste praktijken voor de bescherming van gevoelige gegevens.
Bewaring van documenten
Een belangrijk aandachtspunt is volledige naleving van een schema voor het bewaren van documenten. Het schema voor het bewaren van documenten is van cruciaal belang om ervoor te zorgen dat we gegevens alleen bewaren voor de benodigde periode, risico's verminderen door de opgeslagen gegevens te verminderen en voldoen aan nieuwe wetgeving. Bedrijven over de hele wereld zijn hier momenteel mee bezig en herzien hun bestaande beleid om naleving te garanderen. Het is belangrijk om ervoor te zorgen dat aan de verplichtingen inzake het bewaren van documenten wordt voldaan voor meerdere belanghebbenden – wettelijke instanties, klanten en verzekeringsmaatschappijen – en zowel in specifieke rechtsgebieden als op mondiaal niveau.
Cyberweerbaarheid
Op technologisch gebied is het belangrijk dat teams die zich bezighouden met cyberbeveiliging, back-ups en noodherstel samenwerken en een meer uniform programma aanbieden onder de noemer 'cyberweerbaarheid'. Dit niveau van samenwerking helpt ervoor te zorgen dat continuïteitsplannen, zowel op zakelijk als technologisch gebied, rekening houden met de implementatie van beschermingsmaatregelen in geval van een cyberdreiging, waardoor een organisatie snel kan reageren op nieuwe dreigingen. Bedrijven moeten ervoor zorgen dat hun continuïteitsprogramma ook cybergerelateerde kwesties omvat.
Bedreigingen opsporen
Gewapend met de missie om 'jezelf te breken voordat iemand anders dat doet', proberen cybersecurityteams de cyberomgevingen van een organisatie aan te vallen op dezelfde manier als een kwaadwillende actor dat zou doen – een proces dat 'threat hunting' wordt genoemd. Dit biedt niet alleen inzicht in de zwakke plekken waar aanvallen kunnen plaatsvinden, maar maakt het ook mogelijk om sneller te reageren, zodat back-upgegevens kunnen worden beschermd en niet alles verloren gaat in het geval van een dreiging. Threat hunting moet een aanvulling zijn op een robuust programma voor kwetsbaarheids- en penetratietesten, en mag dit niet vervangen. Threat hunting heeft twee grote voordelen: uw verdedigers leren aanvallen te identificeren terwijl ze samenwerken met de threat hunters, en het bedrijf kan helpen bij het identificeren van gebieden waar mogelijk aanvullende controles moeten worden toegepast.
Een verdedigingslinie opzetten
Je moet weten wat je hebt voordat je het kunt beschermen. Door alle bedrijfsactiviteiten en de soorten gegevens die daarbinnen stromen in kaart te brengen – inclusief welke leveranciers die informatie delen – krijg je een duidelijk beeld van hoe en waar gegevens worden beveiligd. Met behulp van de MITRE 'crown jewel exercises' kunnen kwetsbaarheden rond te beschermen gegevens worden blootgelegd, zodat de verdediging daarop kan worden afgestemd.
Het opleiden van collega's is een ander aspect van optimale gegevensprivacy en -bescherming. Als het gaat om cyberbeveiligingsrisico's, zijn uw medewerkers uw eerste en laatste verdedigingslinie. De vraag hoe medewerkers beter kunnen worden opgeleid om inkomende bedreigingen, zoals phishing-e-mails en andere kwaadaardige activiteiten, te herkennen – en hoe dit gedrag op een positieve manier kan worden versterkt – moet altijd voorop staan. Er moeten regelmatig trainingen over phishing-e-mails worden gegeven voor de hele organisatie. Collega's in teams die voortdurend met gevoelige gegevens werken, moeten mogelijk vaker worden getoetst om datalekken te voorkomen.
In de schadeverzekeringssector zorgen privacyfunctionarissen ervoor dat verzoeken om gegevensrechten snel en efficiënt worden afgehandeld voor individuele claimanten. In overeenstemming met de privacywetgeving kan kunstmatige intelligentie worden ingezet om individuen betere diensten te verlenen, zoals in het geval van geautomatiseerde claimbeoordelingen.
Privacy door ontwerp
Gegevensprivacy en -beveiliging kunnen een onderscheidende factor zijn voor een bedrijf en zijn klanten wanneer deze zijn 'ingebakken' in de investerings- en bedrijfsstrategie. Wanneer een bedrijf nieuwe processen en programma's ontwikkelt, waaronder de informatiestroom binnen het systeem, is het essentieel dat teams aan de voorkant weten hoe ze privacy by design moeten aanpakken. Regelgevende instanties zetten zich steeds meer in om de voetafdruk van gegevens te verkleinen; bedrijven moeten hun due diligence doen door diepgaande vragen te stellen over hun gegevensbeveiligingsprogramma's en hun investeringen in dreigingsinformatie af te wegen.
