Als leverancier van Unified Endpoint Management (UEM) zouden we u kunnen vertellen dat u alleen al met onze oplossingen perfect bent uitgerust voor de vereisten van de GDPR. Maar dat zou maar de halve waarheid zijn.
De aanvankelijke opwinding wordt gevolgd door fikse boetes
Vorig jaar spookte de General Data Protection Regulation (GDPR) als een spook door de media, omdat de regelgeving op 25 mei van kracht werd. Hoewel de opwinding enigszins lijkt te zijn weggeëbd, zijn de GDPR-sancties nu in sommige gevallen een pijnlijke realiteit: eind 2018 eisten Duitse gegevensbeschermingsautoriteiten een bedrag van 5.000 euro van het postorderbedrijf Kolibri Image, terwijl de Franse gegevensbeschermingsautoriteit CNIL Google begin 2019 een boete van 50 miljoen euro oplegde.
Iedereen kan dus zware boetes krijgen. Bedrijven van elke omvang doen er daarom goed aan om voortdurend na te denken over hoe ze omgaan met persoonlijke gegevens. Dit geldt vooral wanneer processen steeds verder digitaliseren en werknemers mobiele apparaten gebruiken voor zowel zakelijke als privédoeleinden als onderdeel van BYOD-initiatieven. Het beheer van mobiele apparaten (MDM) is hierbij ongetwijfeld een onmisbaar hulpmiddel, maar kan onder bepaalde omstandigheden ook een probleem worden.
Bedrijfsgegevens horen thuis in containers
Artikel 5 van de GDPR maakt al duidelijk dat gegevens alleen mogen worden verzameld voor duidelijk omschreven doeleinden en alleen mogen worden verwerkt tot een zo klein mogelijke omvang. Dit betekent dat persoonlijke informatie van werknemers en klanten niet ongecontroleerd op mobiele apparaten terecht mag komen of toegankelijk mag zijn voor applicaties die erop draaien. Bijzonder zorgwekkend in deze context zijn messengers die toegang hebben tot contactgegevens van mobiele telefoons en deze mogelijk synchroniseren met servers in onveilige derde landen.
Om dit te voorkomen hoeven bedrijven hun werknemers echter niet volledig de toegang tot gevoelige bedrijfsgegevens te ontzeggen. Het is logischer om zakelijke informatie op smartphones en tablets strikt te scheiden van privétoepassingen. Zeer versleutelde beveiligingscontainers, zoals die van AppTec Secure PIM, zijn ideaal voor dit doel. Hierdoor kunnen gebruikers toegang blijven houden tot e-mails, agenda’s of documenten – privé-apps zoals WhatsApp of Facebook worden net zo effectief geblokkeerd als onbevoegde gebruikers. En als een mobiel apparaat wordt gestolen of op een andere manier zoekraakt, kunnen beheerders alle containergegevens op afstand resetten.
Hier moet je op letten met EMM
Hoe goed dit ook klinkt, een goed werkend enterprise mobility management systeem alleen ontslaat je als bedrijf niet van alle verplichtingen die zijn vastgelegd in de GDPR om processen te documenteren en te ontwerpen in overeenstemming met de regelgeving voor gegevensbescherming. Laten we het onderwerp van gegevensbescherming van werknemers als voorbeeld nemen. In Duitsland specificeert artikel 26 van de federale wet op de gegevensbescherming (BDSG) het volgende principe: als hun gegevens verder verwerkt moeten worden dan de gevallen waarin de wet voorziet, moeten werknemers toestemming geven.
Paradoxaal genoeg kun je deze vereiste doorbreken met precies dat EMM-product waarmee je de GDPR eigenlijk wilt afdwingen. Het is bijvoorbeeld denkbaar dat een beheeroplossing GPS-locatiegegevens verzamelt om apparaten te lokaliseren als ze zoekraken. En het is precies deze informatie die een persoonlijk bewegingsprofiel van de respectieve eindgebruiker vormt. Corresponderende functies moeten daarom worden overeengekomen met de ondernemingsraad en alleen worden geactiveerd als de betrokkenen op de hoogte zijn. Wat u ook beslist – AppTec’s Unified Endpoint Management past zich aan uw gebouwen aan: De console presenteert GPS-informatie op een OR-conforme manier (dual control principe). De oplossing kan ook zo worden geconfigureerd dat gebruikers GPS-tracking zelf kunnen uitschakelen.
Je mag ook een mogelijke gegevensoverdracht naar derde landen niet verwaarlozen als je EMM-oplossing als cloud wordt geïmplementeerd. AppTec beantwoordt deze vraag met vertrouwen: onze servers bevinden zich momenteel in het datacenter van PlusServer GmbH in Duitsland en vallen daarom onder de GDPR-voorschriften voor gegevensbescherming. Je kunt de in Zwitserland ontwikkelde software ook on-premise draaien. Welk model je ook kiest: De bedrijfsgegevens worden nooit op onze servers opgeslagen, maar blijven uitsluitend in het bezit van de klant, jij dus.
AppTec Blog / Auteur: Sahin Tugcular
Onderwerp: GDPR, AppTec Container, SecurePIM
Vertaald met DeepL.com (gratis versie)