De meeste organisaties maken gebruik van tientallen clouddiensten. Microsoft 365 voor e-mail, Salesforce voor CRM, Slack voor berichtenverkeer, een aantal HR-tools, enkele marketingplatforms. Elk daarvan bevat gegevens — waarvan sommige bijzondere persoonsgegevens zijn.
Maar vraag een doorsnee IT-manager: "Welke diensten bevatten bijzondere persoonsgegevens? Wie heeft er toegang toe? Vanaf welke apparaten?" — en het antwoord is meestal stilte of onzekerheid.
De kloof tussen wat u denkt te weten en wat u daadwerkelijk weet, is waar inbreuken plaatsvinden.
Het onzichtbare probleem
Gegevens blijven niet op één plek. Ze stromen:
- Een HR-systeem stuurt personeelsdossiers naar een salarisverwerker
- Een CRM-systeem synchroniseert klantgegevens met een e-mailmarketingplatform
- Een back-upservice kopieert alles naar een cloudopslagbucket
- Een aannemer opent het systeem vanaf zijn persoonlijke laptop
Elk van deze stromen is een potentieel zwak punt. Als u ze niet kunt zien, kunt u niet beoordelen of ze voldoende beveiligd zijn.
Wat een datamap u biedt
Een datamap geeft antwoord op vijf vragen:
- Welke diensten gebruiken we? — uw IT-landschap
- Welke gegevens bevat elke dienst? — gevoeligheid en classificatie
- Wie heeft toegang tot elke dienst? — gebruikers en rollen
- Vanaf welke apparaten? — beheerde laptops, BYOD-telefoons, gedeelde werkstations
- Waar stromen gegevens tussen diensten? — overdrachten, back-ups, integraties
Met deze antwoorden kunt u vaststellen waar uw risico's zich concentreren. Misschien bevinden uw meest gevoelige gegevens zich in een dienst zonder multi-factor authenticatie. Misschien hebben BYOD-apparaten toegang tot bijzondere persoonsgegevens zonder schijfversleuteling. Misschien voldoet uw back-upstrategie niet aan de 3-2-1-regel.
Het gaat niet alleen om de AVG
Ja, artikel 30 van de AVG vereist een verwerkingsregister (ROPA). En ja, een datamap vormt de basis van een ROPA. Maar de echte waarde zit niet in de compliance-administratie — het is operationeel inzicht.
Wanneer u uw gegevenslandschap kunt overzien, kunt u:
- Prioriteit geven aan beveiligingsuitgaven voor de diensten die er het meest toe doen
- Sneller reageren op incidenten omdat u weet welke gegevens zijn getroffen
- Vendor lock-in beoordelen voordat het een crisis wordt
- Zinvolle toegangsbeoordelingen uitvoeren in plaats van spreadsheets klakkeloos goed te keuren
- De dekking van back-ups documenteren en controleren of deze voldoet aan uw beleid
Aan de slag
U hoeft niet alles in één keer in kaart te brengen. Begin met:
- Maak een lijst van uw top 10 diensten — degene die uw team dagelijks gebruikt
- Identificeer de gevoelige diensten — welke bevatten persoonsgegevens, financiële gegevens of inloggegevens?
- Breng in kaart wie er toegang toe heeft — zelfs een ruwe lijst met rollen is beter dan niets
- Noteer de voor de hand liggende overdrachten — back-ups, integraties, exporten
Dit kost een uur. Het resultaat is een basis waarop u kunt voortbouwen — en een overzicht van uw gegevensrisico’s dat u voorheen niet had.
Tools zoals Readmodel® helpen
Readmodel® automatiseert de vervelende taken: het biedt meer dan 200 vooraf geconfigureerde servicesjablonen, berekent automatisch risicoscores, controleert de naleving van de back-upstrategie, beoordeelt de apparaatbeveiliging en genereert door AI aangestuurde analyserapporten. Het verwerkingsregister en de nalevingsrapporten zijn gratis als bijproduct van de inventarisatie die u toch al zou willen uitvoeren.
Het gaat niet om naleving. Het gaat erom te weten waar uw gegevens zich bevinden — voordat iemand anders ze eerst vindt.