Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Archief Gegevensbescherming

    POPIA zorgt voor privacyconbleem: hoe archiveer je e-mail?

    De nieuwe Zuid-Afrikaanse privacywet vereist gegevensarchieven die manipulatie voorkomen en tegelijkertijd correcties mogelijk maken.

    by Karen Lynch
    gettyimages-1296539038.png

    Hoofdpunten

    • Volgens de nieuwe POPIA-wet moeten bedrijven de persoonlijke gegevens van Zuid-Afrikaanse burgers beschermen tegen ongeoorloofde toegang en geknoei.
    • De wet biedt personen ook de mogelijkheid te vragen om correctie en verwijdering van gegevens die bedrijven over hen hebben verzameld.
    • Maar fraudebestendige beveiligingen kunnen het moeilijk maken om aan wijzigingsverzoeken te voldoen, tenzij bedrijven de juiste opzet gebruiken voor systemen als e-mailarchieven.

    Zuid-Afrikaanse bedrijven hebben zich klaargestoomd voor de pas verstreken deadline van 1 juli om te voldoen aan de nieuwe privacyregels in het kader van de nationale wet op de bescherming van persoonsgegevens (POPIA).[1] Maar soms gaan de versnellingen niet gelijk op, vooral als het gaat om de enorme hoeveelheden persoonsgegevens die in e-mailaccounts en archieven worden bewaard. De wettelijke verplichting om persoonsgegevens te beschermen kan bijvoorbeeld in de weg staan aan de verplichting om dergelijke gegevens op verzoek te corrigeren of te wissen.

    Bedrijven moeten zich drie vragen stellen om te beoordelen of hun e-mailarchief aan de POPIA zal voldoen:

    • Is mijn e-mailarchief bestand tegen manipulatie ("onveranderlijk" in privacytermen)?
    • Kan ik hiermee reageren op verzoeken van personen om correcties en schrappingen (bekend als "subject access requests")?
    • Kan het allebei?

    Bedrijven die vertrouwen op de dominante e-mailplatforms voor compliant archivering kunnen meestal wel "ja" antwoorden op de eerste of tweede vraag, maar niet op de derde, volgens Brian Pinnock, Mimecast's Director of Sales Engineering MEA. En dat is het soort tekortkoming dat het risico inhoudt dat POPIA wordt overtreden, dat er financiƫle boetes worden opgelegd, dat er collectieve rechtszaken worden aangespannen en dat de reputatie van een bedrijf schade wordt toegebracht.

    In eerdere blogs heeft Pinnock een spoedcursus POPIA 101 gegeven, heeft hij zich beziggehouden met POPIA-myth-busting en heeft hij een deep dive gedaan naar gegevensbeveiliging en ransomware om Zuid-Afrikaanse bedrijven te helpen zich voor te bereiden op de nieuwe gegevensprivacywet. Hier analyseert hij het dilemma waarmee bedrijven worden geconfronteerd wanneer ze proberen de onveranderlijkheid van gegevens te combineren met POPIA-compliance.

    Onveranderlijkheid van gegevens vs. conformiteit

    Privacyvoorschriften hebben tot doel de integriteit, vertrouwelijkheid en onveranderlijkheid van gevoelige gegevens, zoals persoonsgegevens, te beschermen. De vuistregel is dat gearchiveerde gegevens op geen enkele manier worden gewijzigd.

    Conformiteit met POPIA vereist niet alleen een dergelijke bescherming, maar geeft personen ook het recht om correcties en verwijderingen te vragen. Het probleem is dat de archiveringsconfiguraties die op de dominante e-mailplatforms worden aangeboden, mogelijk niet in staat zijn om zowel de onveranderlijkheid als de naleving van de voorschriften te waarborgen.

    Sommige van deze archieven zijn gebaseerd op retention locks of litigation holds, die een bepaalde periode gelden. Pas na het verstrijken van de bewaartermijn kan een wijziging worden aangebracht, waardoor minder snel op verzoeken wordt gereageerd dan de wet voorschrijft, aldus Pinnock. Als een blokkering wordt opgeheven om wijzigingen aan te brengen, kan een bedrijf ook geen controlespoor hebben om aan te tonen dat het zich aan de wet houdt. Of erger nog, logs kunnen ook worden verwijderd door malafide beheerders of eindgebruikers die zich bezighouden met corruptie.

    Een e-mailbeveiligingsprovider als Mimecast maakt het daarentegen mogelijk om wijzigingen in een e-mailarchief streng te controleren - vaak is de betrokkenheid van ten minste twee medewerkers vereist, zegt hij. Om de integriteit te bewaren en corruptie te voorkomen, geeft een fraudebestendig controlespoor aan het beveiligingsteam van het bedrijf aan welke gegevens in het archief zijn gewijzigd en door wie.

    E-mailarchivering conform de voorschriften

    Compliance-tools voor andere noodzakelijke functies, zoals e-discovery, zijn ook verkrijgbaar bij een reeks e-mailplatforms en beveiligingsproviders, met verschillende niveaus van geavanceerdheid. kan e-mails taggen wanneer ze binnenkomen, waardoor automatisch wordt vastgesteld welke e-mails gevoelige gegevens bevatten. Deze functie maakt ongestructureerde e-mailgegevens doorzoekbaar en op een later tijdstip leverbaar, in welke vorm dan ook, of het nu gaat om een verzoek om toegang tot een onderwerp of een privacyrisicobeoordeling.

    Beveiligde berichtenuitwisseling is ook nuttig bij het beantwoorden van verzoeken om toegang van personen. Als u een persoon per e-mail bewijs stuurt dat u zijn gegevens hebt verwijderd, samen met audit trails, biedt beveiligd berichtenverkeer uw bedrijf een eigen bewijs van aflevering.

    POPIA Vooruitzichten

    De tijd zal leren hoe snel en streng de toezichthouders de POPIA zullen handhaven. Het is mogelijk dat de Europese toezichthouders bij de handhaving van de Algemene verordening gegevensbescherming (GDPR) dezelfde patronen zullen volgen in het Zuid-Afrikaanse gegevensprivacylandschap. Organisaties die in de schijnwerpers staan, zullen bijvoorbeeld in de eerste dagen wellicht meer handhaving aantrekken, ook al wordt van alle bedrijven verwacht dat zij nalevingsmaatregelen nemen die redelijk zijn voor hun specifieke omvang en sector.

    Hoewel de POPIA vergelijkbaar is met de GDPR en andere privacywetten, verschilt zij op een aantal punten, waaronder

    • Het bestrijkt meer categorieĆ«n persoonsgegevens dan de meeste andere (bv. niet alleen kredietkaartnummers maar ook religieuze gezindten).
    • Het omvat zowel de privacyrechten van ondernemingen als die van individuen.
    • In het algemeen worden zwaardere straffen opgelegd (tot 10 miljoen ZAR, of 700.000 USD, indien de gegevensbescherming als nalatig wordt beschouwd).
    • Gevangenisstraffen zijn opgenomen in POPIA, dat in 2013 werd opgesteld, hoewel de wereldwijde beleidsconsensus die bepaling kan hebben ingehaald, zegt Pinnock.

    Het komende jaar worden van de Zuid-Afrikaanse regelgevende instanties meer richtsnoeren inzake naleving en handhaving verwacht naarmate bedrijven en particulieren schendingen beginnen te melden. Intussen wordt ervan uitgegaan dat de regelgevende instanties te weinig middelen hebben voor de POPIA-taak die hen wacht, terwijl veel bedrijven worden omschreven als onvoorbereid om aan de eisen te voldoen.

    Bedrijfsvooruitzichten

    Ook de zakelijke impact van POPIA zal mettertijd duidelijker worden. Elders in de wereld meldde de marktonderzoeksgroep Gartner vorig jaar dat bedrijven die onder de GDPR en andere privacywetten vallen, gemiddeld bijna 1 500 dollar per subject access request uitgaven. Veel bedrijven maakten gebruik van tijdrovende handmatige processen die meestal ten minste een volledige werkweek per verzoek in beslag namen. "Automatisering zal nodig zijn om afdelingsschaal te ondersteunen en aan regelgeving te voldoen," schreef Gartner.[2]

    Onderzoek van het privacyplatform DataGrail keek naar verzoeken op grond van de California Consumer Privacy Act (CCPA). Daar ontvingen bedrijven gemiddeld 137 verzoeken per miljoen identiteiten. Bijna de helft van de consumenten vroeg om een opt-out voor de verkoop van hun gegevens aan derden, in plaats van om toegang tot of verwijdering van hun gegevens. Toch verzocht ongeveer een derde om verwijdering.[3]

    De kern van de zaak

    De Zuid-Afrikaanse POPIA-wet wordt van kracht en geeft personen meer rechten inzake gegevensbescherming. De manier waarop bedrijven omgaan met de grote hoeveelheid persoonlijke informatie in hun e-mailaccounts en archieven zal bepalend zijn voor de naleving. Zonder de juiste instelling kunnen uw gegevensbeschermingsmaatregelen op gespannen voet komen te staan met het nieuwe recht van personen om wijzigingen te eisen in de informatie die u over hen hebt.

     

    [1] "Wet bescherming persoonsgegevens," Staatscourant

    [2] "4 Legal Tech Trends voor 2020," Gartner

    [3] "Consumenten ondernemen actie op het gebied van privacy," DataGrail

    gettyimages-1157048373.png
    Up Next
    Archief Gegevensbescherming |
    Gegevensencryptie: Hoe bescherm je gegevens tijdens het transport, tijdens het gebruik en in ruste?

    Verwante Artikelen

    Archief Gegevensbescherming
    Bedrijven lopen steeds meer risico op rechtszaken over gegevensprivacy
    Archief Gegevensbescherming
    Voldoen aan de volgende golf van VS-regelgeving inzake gegevensbescherming
    Archief Gegevensbescherming
    Radicati Recognizes Mimecast for Information Archiving

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven