Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Is SFTP GDPR-conform? [Hoe maak je SFTP GDPR-conform]
Is SFTP GDPR-conform? [Hoe maak je SFTP GDPR-conform]

Is SFTP GDPR-conform? [Hoe maak je SFTP GDPR-conform]

by Vince Lau updated september 3, 2022 AVG-naleving
Reading Time: 9 minutes

Moet uw SFTP-protocol voldoen aan de GDPR? Hier zijn de GDPR-vereisten waarmee uw bedrijf naleving kan aantonen.

Is SFTP GDPR-compliant? Nee, SFTP op zichzelf is niet GDPR-compliant. Om SFTP compliant te maken, zijn aanvullende protocollen, testen, compliance-applicaties en andere beveiligingsmaatregelen nodig om persoonsgegevens te beschermen. Sommige leveranciers bieden echter SFTP-oplossingen die eenvoudig volledig GDPR-compliant te maken zijn.

Wat is GDPR en welke rol speelt SFTP bij naleving?

GDPR is een EU-nalevingskader dat is ingesteld om consumenten te beschermen en hen controle te geven over hun persoonlijke informatie. Deze regelgeving is van toepassing op IT en hardware die op welke manier dan ook gebruikersinformatie verwerkt, en biedt gebruikers de mogelijkheid om toestemming te weigeren of hun persoonlijke informatie te laten verwijderen uit bedrijfsdatabases.

Deze regels zijn dus ook van toepassing op bestandsoverdrachttechnologieën zoals File Transfer Protocol. Artikel 32 specificeert dat bedrijven die persoonlijke consumenteninformatie opslaan, verzenden en gebruiken, passende technische en organisatorische maatregelen moeten nemen om deze te beschermen, afgewogen tegen redelijke bedrijfsbelangen en risicobeoordeling. Dit omvat technologieën zoals encryptie en pseudonimisering.

Daardoor is standaard FTP niet compliant. Omdat de meeste nalevingskaders in de VS en EU encryptie vereisen, gebruiken de meeste bedrijven Secure FTP (SFTP) voor bestandsoverdracht. Bedrijven die SFTP gebruiken voor hun bedrijfsvoering (bestandsoverdracht en serveropslag met persoonlijke consumenteninformatie) zijn al op de goede weg, maar moeten extra stappen nemen om volledige naleving te garanderen.

SFTP is echter niet volledig compliant. Hoewel het encryptie biedt, zijn er diverse manieren waarop een SFTP-server niet aan de vereisten kan voldoen:

  1. Encryptie is mogelijk niet voldoende. Hoewel SFTP SSH-technologie bevat (en dus een vorm van encryptie), zijn niet alle SFTP-oplossingen up-to-date of geschikt voor de GDPR-vereisten.
  2. De SFTP-server kan afhankelijk zijn van niet-geteste of niet-geautoriseerde scripts. Workflows geschreven in diverse programmeertalen kunnen, indien niet goed beveiligd, leiden tot onrechtmatige openbaarmaking van gebruikersgegevens en een schending van de naleving.
  3. SFTP-servers worden niet altijd geleverd met de juiste documentatie en auditing. GDPR vereist bewijs dat specifieke acties zijn ondernomen, namelijk dat toestemming is gegeven voor bepaalde soorten gegevensgebruik of dat verzoeken tot gegevensverwijdering zijn opgevolgd.

Naleving van GDPR vereist bij SFTP een diepgaand begrip en implementatie van beveiligingsmaatregelen die voldoen aan de rechten van de betrokkene onder GDPR.

GDPR-compliant bestandsoverdracht

GDPR-compliant bestandsoverdracht omvat een set praktijken en protocollen die organisaties moeten volgen om te waarborgen dat zij de Algemene Verordening Gegevensbescherming (GDPR) van de Europese Unie niet overtreden. Methoden zijn onder meer het versleutelen en ontsleutelen van gegevens, gegevensopslag en -overdracht, en gegevensvernietiging. Dit waarborgt de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.

Bedrijven profiteren van het gebruik van GDPR-compliant bestandsoverdracht omdat dit helpt te voldoen aan wettelijke verplichtingen en financiële, juridische en reputatierisico’s van niet-naleving voorkomt. Regelgevende boetes, verlies van klantgegevens en schade aan de klantbeleving zijn allemaal mogelijke financiële gevolgen van een schending van de GDPR. Daarnaast kunnen bedrijven aansprakelijk zijn voor schade als gevolg van een overtreding, zoals financiële verliezen en reputatieschade, die moeilijk te herstellen zijn.

De financiële, juridische en reputatierisico’s van het niet gebruiken van GDPR-compliant bestandsoverdracht kunnen ernstig zijn. Boetes voor niet-naleving variëren van 10 miljoen euro tot 4% van de wereldwijde jaaromzet van een bedrijf. Bovendien kan elke overtreding van de GDPR leiden tot juridische stappen. Tot slot kunnen bedrijven die niet voldoen onherstelbare reputatieschade oplopen en te maken krijgen met publieke kritiek en boycots.

Wat zijn enkele beste practices voor SFTP- en GDPR-naleving?

Welke stappen kan een bedrijf nemen om het gebruik van SFTP compliant te maken? Ze kunnen zich richten op de inzet van technologie die aan de vereisten voldoet, waaronder:

  1. Oplossingen die de juiste encryptiestandaarden gebruiken voor opslag en overdracht van gegevens. Artikelen 5 en 6 van de GDPR vereisen dat informatie wordt beschermd met technologie die bescherming en privacy kan waarborgen. Daarnaast vereisen deze artikelen dat elke verwerking van gegevens de privacy van de gegevens waarborgt, ongeacht wat ermee gebeurt. Dit betekent doorgaans het gebruik van technologieën zoals SFTP met AES-256 en TLS 1.2 of hoger.
  2. Inclusief audit logs. Er is geen specifieke eis voor auditing, maar er is wel een vereiste dat bepaalde vormen van interactie worden vastgelegd—met name toestemming. Audit logs kunnen helpen om een bewijsvoering te leveren aan compliance-auditors dat u aan de vereisten voldoet. Let op: logging onder GDPR verschilt van andere compliance-standaarden. Hoewel niet alle loggingmethoden privé-informatie vastleggen, doen veel dat wel, en deze logs moeten onder dezelfde beveiligingsmaatregelen vallen als andere informatie (inclusief encryptie en autorisatiebeveiliging).
  3. Maak gebruik van een oplossing die datavisibiliteit en toegankelijkheid biedt. Een van de vereisten van de GDPR, zoals uiteengezet in artikel 39, is dat een organisatie een Functionaris voor gegevensprivacy (DPO) moet hebben, wiens verantwoordelijkheden onder meer het monitoren van naleving, contact met toezichthouders en het zorgen dat medewerkers en andere belanghebbenden hun verantwoordelijkheden onder GDPR begrijpen omvatten. Een functioneel CISO-dashboard kan het kantoor van de Functionaris voor gegevensprivacy helpen om gaten in de naleving te identificeren en sneller te reageren op incidenten.

Hoewel deze punten breed lijken, is de beste aanpak voor GDPR om ervan uit te gaan dat alle verzamelde consumentengegevens beschermd moeten worden, dat privacy en verzoeken tot verwijdering van gegevens worden gerespecteerd en dat er een duidelijke managementfunctie is voor nalevingsstandaarden.

Wat zijn de sancties voor niet-naleving?

Een verkeerd geconfigureerde SFTP-server kan leiden tot niet-naleving en zware sancties. Deze worden doorgaans bepaald op basis van de ernst van de niet-naleving, het aantal getroffen gebruikers en de stappen die de organisatie heeft genomen om de situatie te herstellen.

Niet alle overtredingen leiden direct tot boetes. Toezichthouders kunnen eerst een van de volgende maatregelen nemen voordat boetes worden opgelegd:

  1. Het geven van waarschuwingen
  2. Het instellen van een tijdelijk of permanent verwerkingsverbod
  3. Het opleggen van herstelmaatregelen of het verwijderen van gegevens
  4. Het opschorten van overdrachten naar andere landen

In het geval van boetes verdeelt de GDPR sancties in twee niveaus:

  1. Maximaal 10 miljoen euro of 2% van de jaarlijkse wereldwijde omzet (afhankelijk van welk bedrag hoger is) voor het overtreden van specifieke GDPR-vereisten. Dit omvat schendingen van verplichtingen onder de artikelen 8 (toestemming van kinderen), 11 (verwerking waarvoor geen identificatie vereist is), 25 (dat gegevens relevant zijn voor de taak), 39 (taken van de Functionaris voor gegevensprivacy), 42 (certificering en naleving) en 43 (samenwerking met gecertificeerde instanties).
  2. Maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet (afhankelijk van welk bedrag hoger is) voor het overtreden van vereisten in de artikelen 5, 6, 7, 9 en bij opzettelijke schending van artikelen uit de lagere categorie. De belangrijkste sancties hier zijn gekoppeld aan schendingen van gegevensverwerkingsprincipes, correcte verwerking van gegevens voor zakelijke doeleinden, schending van toestemming, rechten van betrokkenen of overdracht naar landen buiten de EU.

De GDPR legt aanzienlijke sancties op, en een SFTP-server die niet correct is ingericht om de beveiliging en privacy van consumenten te waarborgen, is eerder een risico dan een voordeel en kan uw organisatie een aanzienlijk deel van de omzet kosten.

10-stappen checklist voor GDPR-naleving

Een checklist kan organisaties helpen om GDPR-naleving aan te tonen door een volledig overzicht te bieden van de noodzakelijke stappen die een organisatie moet nemen om aan de regelgeving te voldoen. Dit kan zaken omvatten zoals het opstellen van een GDPR-beleid, het organiseren van trainingen voor personeel en opdrachtnemers die toegang hebben tot persoonsgegevens, het bijwerken van bestaande contracten om GDPR-naleving te waarborgen en het opstellen van duidelijke procedures voor gegevensoverdracht en -opslag. Door de checklist te raadplegen, kunnen organisaties eenvoudig controleren of zij de benodigde stappen nemen om compliant te blijven met de GDPR en hun inzet voor beste practices op het gebied van gegevensbescherming aantonen. Hier is een voorbeeld van een checklist die organisaties kunnen gebruiken bij het opzetten van een GDPR-nalevingsprogramma:

  1. Wijs een Functionaris voor gegevensprivacy aan: Benoem een Functionaris voor gegevensprivacy (DPO) om de GDPR-vereisten te begrijpen en te beoordelen en ervoor te zorgen dat uw organisatie aan de regelgeving voldoet. De DPO is verantwoordelijk voor het veilig en legaal verzamelen, gebruiken en opslaan van gegevens.

    2. Voorbeeld: Bij een klein bedrijf is de Chief Operating Officer verantwoordelijk als Functionaris voor gegevensprivacy.

  2. Stel een team samen dat zich richt op GDPR: Stel een team samen dat verantwoordelijk is voor het beoordelen, voorbereiden en implementeren van de noodzakelijke GDPR-vereisten.

    3. Voorbeeld: Bij hetzelfde kleine bedrijf wordt het IT-team samen met juridische adviseurs gevraagd om samen de vereiste GDPR-vereisten te beoordelen, voor te bereiden en te implementeren.

  3. Voer een data-audit uit: Voer een data-audit uit om te identificeren welke persoonsgegevens worden bewaard, hoe deze worden verwerkt en hoe lang ze worden bewaard.

    4. Voorbeeld: Het team bij het kleine bedrijf maakt een spreadsheet om alle typen persoonsgegevens die ze opslaan, de doeleinden, de verwerking en de bewaartermijn in kaart te brengen.

  4. Werk uw privacybeleid bij: Zorg ervoor dat het privacybeleid van uw organisatie duidelijk beschrijft hoe persoonsgegevens worden gebruikt, opgeslagen en geraadpleegd.

    5. Voorbeeld: Het kleine bedrijf werkt het privacybeleid bij met specifieke informatie over welke gegevens ze verzamelen, hoe ze deze gebruiken, hoe lang ze deze bewaren en wie toegang heeft tot de gegevens.

  5. Maak een datalekkenmeldingsplan: Ontwikkel een plan voor het informeren van belanghebbenden bij een datalek.

    6. Voorbeeld: Het kleine bedrijf maakt een plan om klanten, medewerkers en andere belanghebbenden te informeren bij een mogelijk datalek.

  6. Neem beveiligingsmaatregelen om gegevens te beschermen: Implementeer maatregelen om gegevens te beschermen tegen ongeautoriseerde toegang, zoals encryptie, authenticatiemaatregelen en toegangsrechten.

    7. Voorbeeld: Het kleine bedrijf implementeert een tweefactorauthenticatieproces voor toegang tot de klantendatabase en een encryptieproces voor gegevensopslag.

  7. Leid uw medewerkers op: Zorg ervoor dat uw team voldoende is opgeleid over de GDPR en hun verantwoordelijkheden bij het omgaan met persoonsgegevens begrijpt.

    8. Voorbeeld: De IT- en juridische teams van het kleine bedrijf organiseren een trainingssessie om de GDPR-vereisten te bespreken en uit te leggen hoe deze van toepassing zijn op het bedrijf en de processen voor gegevensverzameling en -opslag.

  8. Informeer uw klanten: Zorg ervoor dat klanten op de hoogte zijn van hun rechten en hoe zij toegang kunnen krijgen tot hun gegevens, deze kunnen verwijderen of het gebruik ervan kunnen beperken.

    9. Voorbeeld: Het kleine bedrijf maakt een webpagina met uitleg over de GDPR-vereisten en hoe klanten toegang kunnen krijgen tot hun gegevens, deze kunnen verwijderen of het gebruik ervan kunnen beperken.

  9. Monitor naleving: Ontwikkel een proces om uw naleving van de GDPR te monitoren en evalueer dit regelmatig om blijvende naleving te waarborgen.

    10. Voorbeeld: Het kleine bedrijf ontwikkelt een systeem voor het regelmatig beoordelen van de gegevensbeschermingsprocessen en het controleren of deze nog steeds voldoen aan de GDPR.

  10. Beoordeel regelmatig: Beoordeel uw GDPR-processen regelmatig om blijvende naleving te waarborgen.

    11. Voorbeeld: Het kleine bedrijf houdt regelmatig vergaderingen met het IT- en juridische team om de GDPR-vereisten te bespreken, naleving te beoordelen en waar nodig updates door te voeren om blijvende naleving te garanderen.

Organisaties gebruiken Kiteworks SFTP voor GDPR-naleving

Organisaties wereldwijd gebruiken Kiteworks SFTP om persoonlijk identificeerbare informatie (PII) van EU-inwoners veilig en in overeenstemming met de GDPR over te dragen.

Als onderdeel van het Kiteworks Private Content Network beschikt Kiteworks SFTP over een hardened virtual appliance, schaalbare servers en gecentraliseerd beheer dat elke gebruiker en geautomatiseerde actie bijhoudt. Bestandsoverdrachten worden beschermd met AES-256 encryptie voor gegevens in rust en TLS 1.2+ voor gegevens onderweg, waardoor het een van de veiligste overdrachtsopties op de markt is.

Alle bestandsactiviteiten, inclusief wie toegang had tot een bestand, wie het naar wie heeft verzonden en wanneer, worden gelogd zodat organisaties naleving kunnen aantonen, afwijkende activiteiten sneller kunnen detecteren en een bewijsvoering kunnen behouden voor forensisch onderzoek. Het platform ondersteunt ook on-premises en private cloud-inzet, waarbij bestandsoverdracht, opslag en toegang plaatsvinden op een toegewijde Kiteworks-omgeving, conform vereisten voor datasoevereiniteit.

Naast GDPR ondersteunt Kiteworks SFTP diverse andere regelgevende standaarden, waaronder de Payment Card Industry Data Security Standard (PCI DSS), International Organization for Standardization (ISO 27001, 27017 en 27018), de Health Insurance Portability and Accountability Act (HIPAA), Cyber Essentials Plus, FedRAMP en meer. Kiteworks SFTP kent bovendien geen limiet op bestandsgrootte of -type, biedt naadloze automatisering, selfservice/gemak en centrale administratie.

Kiteworks biedt organisaties en hun Functionarissen voor gegevensprivacy (DPO’s) volledige zichtbaarheid en controle over de PII van hun klanten, waardoor naleving met de GDPR mogelijk wordt.

Wilt u meer weten over hoe Kiteworks SFTP u kan helpen bij GDPR-naleving? Plan dan vandaag nog een aangepaste demo.

Veelgestelde vragen

GDPR-naleving betekent het voldoen aan de regels die zijn vastgelegd in de Algemene Verordening Gegevensbescherming (GDPR), een uitgebreide privacywetgeving in de Europese Unie (EU). De GDPR geeft richtlijnen voor hoe persoonlijke gegevens van EU-burgers en -inwoners moeten worden verzameld, verwerkt, opgeslagen en gedeeld door organisaties, ongeacht of deze organisaties in de EU zijn gevestigd of elders. Om GDPR-compliant te zijn, moeten organisaties stappen ondernemen om de persoonsgegevens van EU-burgers en -inwoners te beschermen en hun privacyrechten te respecteren.

De GDPR is gebaseerd op een aantal principes voor hoe persoonsgegevens moeten worden verwerkt. Deze principes zijn bedoeld om ervoor te zorgen dat organisaties persoonsgegevens van EU-burgers en -inwoners eerlijk, transparant en veilig behandelen.

De drie belangrijkste principes van GDPR-naleving zijn:

  • Rechtmatigheid, eerlijkheid en transparantie: Organisaties moeten persoonsgegevens op een rechtmatige, eerlijke en transparante manier verwerken. Dit houdt in dat individuen duidelijke en beknopte informatie moeten krijgen over hoe hun gegevens worden verwerkt.
  • Doelbinding: Persoonsgegevens mogen alleen worden verzameld en verwerkt voor specifieke, expliciete en legitieme doeleinden. Organisaties mogen persoonsgegevens niet verwerken op een manier die niet verenigbaar is met deze doeleinden.
  • Dataminimalisatie: Organisaties mogen alleen de persoonsgegevens verzamelen en verwerken die noodzakelijk zijn voor de doeleinden waarvoor ze worden verwerkt. Ze moeten er ook voor zorgen dat de gegevens juist en actueel zijn.

Organisaties kunnen GDPR-naleving waarborgen door verschillende stappen te nemen om de persoonsgegevens van EU-burgers en -inwoners te beschermen en hun privacyrechten te respecteren. Deze stappen kunnen onder meer bestaan uit het implementeren van beleid en procedures voor gegevensbescherming, het aanstellen van een Functionaris voor gegevensprivacy (DPO) en het uitvoeren van regelmatige Data Protection Impact Assessments.

Stappen die organisaties kunnen nemen om GDPR-naleving te waarborgen zijn onder andere:

  • Het herzien en bijwerken van beleid en procedures voor gegevensbescherming om ervoor te zorgen dat deze aansluiten op de GDPR-vereisten
  • Het implementeren van passende technische en organisatorische maatregelen, zoals encryptie, toegangscontroles en pseudonimisering, om de veiligheid van persoonsgegevens te waarborgen
  • Ervoor zorgen dat individuen toegang hebben tot hun persoonsgegevens en hun rechten onder de GDPR kunnen uitoefenen, zoals het recht op verwijdering en het recht om bezwaar te maken
  • Het uitvoeren van regelmatige audits van gegevensverwerkingsactiviteiten om naleving van de GDPR-vereisten te controleren en verbeterpunten te identificeren
  • Ervoor zorgen dat externe verwerkers, zoals cloudserviceproviders, GDPR-compliant zijn en passende waarborgen hebben om persoonsgegevens te beschermen
  • Het ontwikkelen van een incident response plan om datalekken en ongeautoriseerde toegang tot persoonsgegevens te beheersen
  • Het bijhouden van documentatie en registraties van gegevensverwerkingsactiviteiten om naleving van de GDPR-vereisten aan te tonen

Een Data Protection Impact Assessment (DPIA) is een proces om de privacyrisico’s te identificeren en te beoordelen die samenhangen met een bepaalde gegevensverwerkingsactiviteit. Een DPIA is verplicht onder de GDPR voor bepaalde soorten verwerkingen die waarschijnlijk een hoog risico inhouden voor de privacyrechten van EU-burgers en -inwoners.

Ja, Amerikaanse bedrijven moeten voldoen aan de GDPR als zij persoonsgegevens van EU-burgers en -inwoners verwerken. Elk bedrijf, ongeacht waar het is gevestigd, moet voldoen aan de GDPR als het persoonsgegevens van EU-burgers en -inwoners verwerkt, bewaart of deelt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks