Archief Gegevensbescherming

    Privacy- en veiligheidsbeleid UK in beweging

    Er is nieuwe regelgeving op het gebied van gegevensbescherming en -beveiliging op komst - iets waar beveiligingsprofessionals in het Verenigd Koninkrijk met gemengde gevoelens tegenaan kijken.

    by Karen Lynch
    GettyImages-1201811885-1200px.jpg

    Hoofdpunten

    • De Britse regering is bezig met het herschrijven van haar privacywetgeving en veiligheidsregels voor het internet van dingen.
    • Britse bedrijven zijn over het algemeen sceptisch dat nieuwe regelgeving betere beveiliging betekent.
    • Ondertussen neemt het nalevingsrisico toe door de onzekerheid over de regelgeving.

    Cyberbeveiliging en gegevensprivacy maakten deel uit van de pracht en praal toen het Britse parlement in mei een nieuwe zitting startte. In de toespraak van de koningin, waarin de wetgevingsagenda voor het komende jaar wordt vastgesteld, werd een nieuwe Data Reform Bill beloofd die betrekking heeft op de privacy van gegevens en een Product Security and Telecommunications Infrastructure Bill die betrekking heeft op het internet van dingen (IoT). Beide zullen de komende maanden worden uitgewerkt en besproken, samen met andere veiligheidsmaatregelen ter uitvoering van de nationale cyberstrategie, die in december werd gepubliceerd.

    De initiatieven van de regering komen op een moment dat driekwart van de Britse beveiligingsprofessionals [kl1] verwacht dat hun organisaties dit jaar negatieve zakelijke gevolgen zullen ondervinden van een cyberaanval via e-mail, zo blijkt uit het onderzoek State of Email Security 2022 van Mimecast.

    Uit de enquête bleek echter ook dat Britse cyberbeveiligers er relatief weinig vertrouwen in hebben dat regelgevende maatregelen zoals minimumbeveiligingsnormen zullen helpen. Minder dan een kwart [kl2] van de ondervraagden zei dat een dergelijke maatregel het risico van cyberaanvallen op hun organisatie aanzienlijk zou verminderen, en ongeveer een derde zei dat ze een matige verbetering zouden verwachten. De meeste deelnemers aan de enquête in het VK gaven aan dat regelgeving de kosten van de bescherming van hun organisaties zou verhogen en tegelijkertijd hun vrijheid om hun eigen beste handelwijze te bepalen zou beperken.

    Britse privacyregelgeving: Een bewegend doelwit

    De details van de voorgestelde Data Reform Bill zijn nog niet beschikbaar, maar in een achtergronddocument van de regering dat bij de toespraak van de koningin is gevoegd, wordt aangegeven dat het wetsvoorstel de nalevingslast voor Britse bedrijven wil verminderen door "een flexibelere, resultaatgerichte aanpak van gegevensbescherming te ontwerpen die helpt een cultuur van gegevensbescherming te creëren, in plaats van 'afvinkexercities'."[1]

    De nieuwe wet zou in de plaats komen van de huidige Britse wet inzake gegevensbescherming en de algemene verordening gegevensbescherming (GDPR, gemodelleerd naar de GDPR van de EU van ), die in de achtergrondinformatie worden gekenschetst als zeer complexe, prescriptieve wetten die buitensporig veel papierwerk met zich meebrengen. Volgens de huidige wetgeving moeten bedrijven de persoonsgegevens van klanten, werknemers en anderen beschermen tegen inbreuken op hun gegevens en het verzamelen, bewaren, gebruiken en delen ervan beperken. Particulieren hebben het recht om bedrijven te vragen hun informatie te corrigeren of te wissen.

    De regering schat dat met de flexibelere regelgevingsaanpak van het nieuwe wetsvoorstel dezelfde doelstellingen inzake de bescherming van de persoonlijke levenssfeer van de consument kunnen worden bereikt, terwijl het bedrijfsleven over een periode van 10 jaar meer dan 1 miljard pond (1,25 miljard US$) aan nalevingskosten bespaart, en nog eens 27,8 miljard euro (34,7 miljard US$) per jaar aan productiviteits- en concurrentievoordelen. Sommige Britse bedrijven vrezen echter dat als de nieuwe wet te veel afwijkt van het GDPR-model van de EU, de noodzaak om zowel aan de Britse als aan de EU-regelgeving inzake privacy te voldoen, de naleving ingewikkelder en duurder kan maken voor bedrijven die in heel Europa zaken doen.

    Beveiliging reguleren voor IoT, apps en meer

    Een eind vorig jaar vrijgegeven ontwerpwet inzake productbeveiliging en telecommunicatie-infrastructuur,[2] zou fabrikanten, importeurs en distributeurs van slimme apparaten verplichten aan minimale beveiligingsnormen te voldoen.

    In de eerste helft van vorig jaar waren er 1,5 miljard pogingen tot aanvallen op aansluitbare producten, meldde de regering. "Er zijn persoonsgegevens verloren gegaan en besmette apparaten zijn gebruikt om aanvallen uit te voeren op bedrijven, regeringen en kritieke infrastructuur", aldus de achtergrondinformatie bij de toespraak van de koningin. "Dit wetsvoorstel is een essentiële hefboom die deze organisaties zal helpen beschermen tegen dergelijke aanvallen." Het Britse National Cyber Security Centre heeft in mei ontwerpbeginselen voor de beveiliging van fabrikanten van apparatuur gepubliceerd en gezegd dat het later dit jaar met ontwerprichtsnoeren voor gebruikers van apparatuur zal komen.[3]

    Los daarvan is het Department for Digital, Culture, Media, and Sport (DCMS) in mei in het kader van zijn National Cyber Strategy begonnen met een openbare raadpleging over een vrijwillige code van beveiligingspraktijken voor exploitanten van app-winkels en app-ontwikkelaars. "Een code zou de overheid de mogelijkheid bieden om de vereisten in de toekomst te verplichten, mochten de risico's die voortvloeien uit kwaadaardige en onveilige apps niet worden beperkt door maatregelen van belanghebbenden, of mocht het risico- en bedreigingslandschap zich zodanig ontwikkelen dat dit nodig is", aldus het departement in zijn oproep om feedback te geven op het voorstel.[4]

    Eveneens in overeenstemming met de nationale strategie heeft het DCMS onlangs zijn Cyber Security Breaches Survey 2022 gepubliceerd, waarin wordt nagegaan in hoeverre de bestaande overheidsinitiatieven tot dusver succes hebben gehad. Uit de bevindingen over het door de overheid gesteunde Cyber Essentials-certificeringsprogramma, dat bedrijven certificeert die beste praktijken toepassen op gebieden zoals bescherming tegen malware, blijkt dat de bekendheid en het gebruik gering zijn.

    Toch blijkt uit de enquête dat cyberbeveiliging nu een hogere prioriteit dan ooit heeft bij de raden van bestuur en het senior management van bedrijven: 82% van hen beschouwt cyberbeveiliging in 2022 als een tamelijk hoge tot zeer hoge prioriteit, vergeleken met 77% in 2021. De onderliggende oorzaak van hun bezorgdheid: Bijna vier op de tien Britse bedrijven kregen in 2021 te maken met een cyberaanval, waarbij het meestal ging om e-mail phishing.[5]

    Omgaan met veranderende cyberregelgeving

    Volgens een door Mimecast gesponsord rapport van Osterman Research is het bouwen van een flexibel kader de sleutel tot het beheren van de naleving temidden van verschillende en veranderende voorschriften, zoals de regels inzake gegevensbescherming. Anders zouden bedrijven hoge kosten kunnen oplopen als gevolg van inflexibele privacycontroles naarmate de regelgeving verder evolueert. Andere aanbevolen stappen ter voorbereiding op de veranderende regels inzake gegevensprivacy zijn onder meer:

    • Budget voor de benodigde tijd en moeite. Dit zou een inhaalbeweging inhouden voor bedrijven die nog niet aan de bestaande regelgeving voldoen.
    • Verbreed de deelname van de organisatie aan het bereiken van naleving. "Elke werknemer heeft een rol te spelen," volgens Osterman.
    • Invoering van nieuwe oplossingen om de compliance te verbeteren. Voorbeelden zijn data archivering en discovery mogelijkheden.
    • Versterking van de bescherming tegen gegevensinbreuken. Gegevens kunnen niet privé zijn als zij niet beschermd zijn.
    • Versterking van de bescherming van derden. Partners en andere externe organisaties met toegang tot de gegevens van uw bedrijf zijn steeds vaker de oorzaak van datalekken.
    • Leid werknemers op. Dit kan de kans op fouten en opzettelijke gegevensdiefstal verkleinen.

    Een algehele strategie voor cyberresilience kan de naleving van diverse privacy- en beveiligingsvoorschriften verbeteren, zoals wordt onderstreept in het rapport State of Email Security . Bijna een derde [kl3] van de ondervraagde Britse beveiligingsprofessionals gaf aan dat een gebrek aan cyberparaatheid een negatieve impact had gehad op hun naleving van de regelgeving.

    De kern van de zaak

    De regelgeving op het gebied van cyberbeveiliging en privacy blijft zich in het Verenigd Koninkrijk ontwikkelen. Terwijl ze dat doen, zorgt de onzekerheid ervoor dat bedrijven met een aanzienlijk nalevingsrisico blijven zitten. Lees meer over de risico's waarmee bedrijven wereldwijd worden geconfronteerd en de stappen die zij nemen om deze te beperken in het Mimecast-rapport State of Email Security 2022 .


    [1] "The Queen's Speech 2022," Prime Minister's Office

    [2] "Product Security and Telecommunications Infrastructure (PSTI) Bill: Factsheets," Britse regering

    [3] "Laying the New Foundations for Enterprise Device Security," UK National Cyber Security Centre

    [4] "App Security and Privacy Interventions," Department for Digital, Culture, Media and Sport

    [5] "Cyber Security Breaches Survey 2022," Department for Digital, Culture, Media and Sport

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven