Wat houdt de GDPR in?

Het is een geheel van regels dat geïntroduceerd werd door de EU om te zorgen dat de gegevens van personen beschermd blijven. Er worden regels en voorwaarden opgelegd met betrekking tot verwerking van persoonsgegevens en het vrije verkeer van die gegevens. Op 25 mei 2018 gaat de GDPR voor in heel Europa (bij bedrijven met meer dan 250 medewerkers en meer dan 5000 records per jaar) en daarbij moeten bedrijven voldoen aan deze standaard. Doen ze dit niet, dan zijn zij in overtreding van de GDPR en daarbij eigenlijk een gevaar voor zichzelf. Gelukkig worden deze regels door de EU afgedwongen en bedrijven moeten daaraan gehoorzamen, ook Google. Google heeft altijd al “meegeholpen” aan de dataprotectie. Ze voldoen hieraan, mede dankzij de hulp, feedback en informatie van de gebruikers. De officiële regelgeving rondom de GDPR is hier te vinden.

_{GDPR en Google Cloud}

Welke maatregelen treft Google in het kader van de GDPR rondom Google Cloud?

Google doet regelmatig third-party audits en heeft ook verschillende certificaten in handen voor zowel G-Suite en GCP (Google Cloud Platform). Ook wordt Google ieder jaar getest door ISO en halen daarbij al enkele jaren het certificaat. Ook heeft Google ervoor gezorgd dat bijvoorbeeld ISO 27017 (Cloud Security) en ISO 27018 (bescherming van privé informatie in openbare “clouds”) in het leven zijn geroepen.

Google committeert zichzelf aan zowel het EU Privacy shield als de Model Contract Clauses. Beide worden genoemd in de GDPR en hiermee voldoet Google aan de regelgeving rondom de internationale opslag van data op servers.

Om ervoor te zorgen dat jouw organisatie, die Google Workspace gebruikt, compliant is met de GDPR op het gebied van Google Workspace, zorg dan dat je de volgende stappen voltooid.

• Accepteer in jouw Google Cloud Console:
• Data Processing Amendment to Google Workspace and/or Complementary Product (e.g. Cloud Identity) Agreement
• EU Model Contract Clauses for Google Workspace
• Google Workspace HIPAA Business Associate Amendment
• EU Model Contract Clauses for Cloud Identity

Klik hier voor een link naar het Control Panel om deze contracten te accepteren.

Meer informatie over de GDPR en hoe Google daarmee omgaat vind je hier.

Google Workspace

Door verschillende opties (criteria) aan te geven weet Google DLP precies wat er moet worden gefilterd, en hoe deze acties moeten worden aangepakt. Voor Nederland kan het BSN nummer er worden uitgefilterd maar ook de IBAN, SWIFT en CreditCard nummer behoren tot de mogelijkheden. Bekijk hier een voorbeeld.

2 step verification

Functie: Multi factor authentication
Opties: Dwing af dat alle gebruikers, binnen een bepaalde tijd, 2 step verification instellen of voor een bepaalde gebruikersgroep.
Advies: Dwing af dat alle gebruikers, binnen een bepaalde tijd, 2 step verification instellen.
Waar: Link and setup 2SV

Suspicious Login Monitoring

Functie: Reporting rondom suspicious login
Opties: Enable een automatische e-mail naar Super Administrators zodra er een verdachte login plaatsvindt van een gebruiker. Bijvoorbeeld tegelijkertijd werken in Nederland als wel in India.
Advies: Enable deze rapportage
Waar: Link

Mobile device management

Functie: Afdwingen van bepaalde instellingen op de mobiele apparaten van gebruikers
Opties: Eindeloos veel, echter het afdwingen van een toegangscode en encryptie zijn wel de meest belangrijke om datalekken te voorkomen. Let op, het afdwingen van deze functies vereist wel de (automatische installatie) van een applicatie. Deze actie heeft dus (grote) gebruikers impact.
Advies: Enable dit beheer, echter neem wel eerst contact met NextNovate op voor best practices
Waar: Link

Compliance rules Gmail

Niet beschikbaar binnen Google Workspace basic, gedeeltelijk beschikbaar binnen Google Workspace Business en volledig beschikbaar binnen Google Workspace Enterprise.

Functie: Rules of template
Opties: Scannen op vooraf gedefinieerde items (zoals BSN, IBAN & Creditcard), overige regex en losse namen.
Advies: Stel een rule in die documenten met de volgende kenmerken flagged “BSN, IBAN, Creditcard en het woord “paspoort” en laat deze e-mails als eerste actie naar een centraal mail adres gaan.
Waar: Link and search for compliance

Compliance rules Drive

Alleen beschikbaar binnen Google Workspace Enterprise

Functie: Rules
Opties: Scannen op vooraf gedefinieerde items (zoals BSN, IBAN & Creditcard), overige regex en losse namen.
Advies: Stel een rule in die documenten met de volgende kenmerken flagged “BSN, IBAN, Creditcard en het woord “paspoort”.
Waar: Link en klik op audit voor de resultaten. Klik op Manage voor de rules

Bettercloud

Maak je gebruik van Bettercloud? (een extra laag qua tooling bovenop Google Workspace). Het is ook mogelijk met Better Cloud regels op te stellen voor DLP, echter is dit meer gefocused op de Amerikaanse markt. Denk hierbij aan US postcodes en Creditcards (visa, mastercard) in vergelijking met Google DLP zijn de instellingen minder uitgebreid.

App Audit

Welke 3rd parties kunnen bij data van jouw organisatie? Je kunt de lijst hier bekeken.

Drive Audit

Welke bestanden zijn er gedeeld met mensen buiten het domein? Bettercloud geeft hier advies over hoe je deze kan uitvoeren. Je kunt hiervan een policy aanmaken of de lijst éénmalig aanmaken via de audit interface Controleer of alle andere “applicaties” voldoen aan de eisen, of dat er iets moet worden veranderd in de instellingen. Bekijk en overleg welke data er precies moet worden beschermd, zoals bijvoorbeeld persoonlijke gegevens van je werknemers en klanten.