General Data Protection Regulation: wat is de impact op jouw bedrijf?
De Europese GDPR (General Data Protection Regulation (Algemene Verordening Gegevensbescherming) is de meest opvallende privacy wetgeving van de afgelopen 20 jaar. Het vervangt de uit 1995 stammende EU Data Protection Directive, en maakt daarmee de data en privacy bescherming hetzelfde voor heel Europa.

Wat houdt de GDPR in?
Het is een geheel van regels dat geïntroduceerd werd door de EU om te zorgen dat de gegevens van personen beschermd blijven. Er worden regels en voorwaarden opgelegd met betrekking tot verwerking van persoonsgegevens en het vrije verkeer van die gegevens. Op 25 mei 2018 gaat de GDPR voor in heel Europa (bij bedrijven met meer dan 250 medewerkers en meer dan 5000 records per jaar) en daarbij moeten bedrijven voldoen aan deze standaard. Doen ze dit niet, dan zijn zij in overtreding van de GDPR en daarbij eigenlijk een gevaar voor zichzelf. Gelukkig worden deze regels door de EU afgedwongen en bedrijven moeten daaraan gehoorzamen, ook Google. Google heeft altijd al “meegeholpen” aan de dataprotectie. Ze voldoen hieraan, mede dankzij de hulp, feedback en informatie van de gebruikers. De officiële regelgeving rondom de GDPR is hier te vinden.
GDPR en Google Cloud
Welke maatregelen treft Google in het kader van de GDPR rondom Google Cloud?
Google doet regelmatig third-party audits en heeft ook verschillende certificaten in handen voor zowel G-Suite en GCP (Google Cloud Platform). Ook wordt Google ieder jaar getest door ISO en halen daarbij al enkele jaren het certificaat. Ook heeft Google ervoor gezorgd dat bijvoorbeeld ISO 27017 (Cloud Security) en ISO 27018 (bescherming van privé informatie in openbare “clouds”) in het leven zijn geroepen.
Google committeert zichzelf aan zowel het EU Privacy shield als de Model Contract Clauses. Beide worden genoemd in de GDPR en hiermee voldoet Google aan de regelgeving rondom de internationale opslag van data op servers.
Om ervoor te zorgen dat jouw organisatie, die Google Workspace gebruikt, compliant is met de GDPR op het gebied van Google Workspace, zorg dan dat je de volgende stappen voltooid.
- Accepteer in jouw Google Cloud Console:
- Data Processing Amendment to Google Workspace and/or Complementary Product (e.g. Cloud Identity) Agreement
- EU Model Contract Clauses for Google Workspace
- Google Workspace HIPAA Business Associate Amendment
- EU Model Contract Clauses for Cloud Identity
Klik hier voor een link naar het Control Panel om deze contracten te accepteren.
Meer informatie over de GDPR en hoe Google daarmee omgaat vind je hier.
Google Workspace
Door verschillende opties (criteria) aan te geven weet Google DLP precies wat er moet worden gefilterd, en hoe deze acties moeten worden aangepakt. Voor Nederland kan het BSN nummer er worden uitgefilterd maar ook de IBAN, SWIFT en CreditCard nummer behoren tot de mogelijkheden. Bekijk hier een voorbeeld.
2 step verification
Functie: Multi factor authentication
Opties: Dwing af dat alle gebruikers, binnen een bepaalde tijd, 2 step verification instellen of voor een bepaalde gebruikersgroep.
Advies: Dwing af dat alle gebruikers, binnen een bepaalde tijd, 2 step verification instellen.
Waar: Link and setup 2SV
Suspicious Login Monitoring
Functie: Reporting rondom suspicious login
Opties: Enable een automatische e-mail naar Super Administrators zodra er een verdachte login plaatsvindt van een gebruiker. Bijvoorbeeld tegelijkertijd werken in Nederland als wel in India.
Advies: Enable deze rapportage
Waar: Link
Mobile device management
Functie: Afdwingen van bepaalde instellingen op de mobiele apparaten van gebruikers
Opties: Eindeloos veel, echter het afdwingen van een toegangscode en encryptie zijn wel de meest belangrijke om datalekken te voorkomen. Let op, het afdwingen van deze functies vereist wel de (automatische installatie) van een applicatie. Deze actie heeft dus (grote) gebruikers impact.
Advies: Enable dit beheer, echter neem wel eerst contact met NextNovate op voor best practices
Waar: Link
Compliance rules Gmail
Niet beschikbaar binnen Google Workspace basic, gedeeltelijk beschikbaar binnen Google Workspace Business en volledig beschikbaar binnen Google Workspace Enterprise.
Functie: Rules of template
Opties: Scannen op vooraf gedefinieerde items (zoals BSN, IBAN & Creditcard), overige regex en losse namen.
Advies: Stel een rule in die documenten met de volgende kenmerken flagged “BSN, IBAN, Creditcard en het woord “paspoort” en laat deze e-mails als eerste actie naar een centraal mail adres gaan.
Waar: Link and search for compliance
Compliance rules Drive
Alleen beschikbaar binnen Google Workspace Enterprise
Functie: Rules
Opties: Scannen op vooraf gedefinieerde items (zoals BSN, IBAN & Creditcard), overige regex en losse namen.
Advies: Stel een rule in die documenten met de volgende kenmerken flagged “BSN, IBAN, Creditcard en het woord “paspoort”.
Waar: Link en klik op audit voor de resultaten. Klik op Manage voor de rules
Bettercloud
Maak je gebruik van Bettercloud? (een extra laag qua tooling bovenop Google Workspace). Het is ook mogelijk met Better Cloud regels op te stellen voor DLP, echter is dit meer gefocused op de Amerikaanse markt. Denk hierbij aan US postcodes en Creditcards (visa, mastercard) in vergelijking met Google DLP zijn de instellingen minder uitgebreid.
App Audit
Welke 3rd parties kunnen bij data van jouw organisatie? Je kunt de lijst hier bekeken.
Drive Audit
Welke bestanden zijn er gedeeld met mensen buiten het domein? Bettercloud geeft hier advies over hoe je deze kan uitvoeren. Je kunt hiervan een policy aanmaken of de lijst éénmalig aanmaken via de audit interface Controleer of alle andere “applicaties” voldoen aan de eisen, of dat er iets moet worden veranderd in de instellingen. Bekijk en overleg welke data er precies moet worden beschermd, zoals bijvoorbeeld persoonlijke gegevens van je werknemers en klanten.