Hét grote voordeel van de AVG voor databeveiliging is volgens Bitdefenders security-analist Liviu Arsene dat elke organisatie zijn data  beter is gaan indexeren en segmenteren. Kritieke gegevens moeten volgens de AVG afdoende zijn beveiligd, wat ertoe heeft geleid dat organisaties in kaart hebben moeten brengen welke gegevens ze bezitten, waar deze zich bevinden en hoe toegang daartoe is geregeld.

"Het korte antwoord op de vraag of AVG beveiliging heeft verbeterd is 'ja'. De best practices zijn verbeterd: voorheen schuilden veel NAW-gegevens en wachtwoordhashes in enorme databases, maar nu wordt data gescheiden op basis van hoe kritiek het is", aldus Arsene.  Ook forensische IT-deskundige Gina Doekhie van Fox-IT sluit zich daarbij aan: "Inventariseren van wat waar staat is superbelangrijk. In welke systemen staat data en welke maatregelen zijn daarop genomen? Waar staan je kroonjuwelen?"

Securitylat hoger

De Europese wetgeving heeft de lat volgens Arsene verhoogd en dat levert niet noodzakelijkerwijs betere security op - de AVG laat hoe je het doet uiteraard over aan de organisatie zodat de wet courant blijft - maar wel dat organisaties bewuster zijn over informatiebeveiliging. Als er een datadiefstal heeft plaatsgevonden, kunnen ze in ieder geval de potentiële impact zien en klanten informeren. "Met de AVG weet je in ieder geval wat je hebt."

Informatiebeveiliging heeft post-AVG een belangrijkere rol in een organisatie dan daarvoor het geval was. "Bijna elke hack is een potentiële datalek", zegt Doekhie. "De vraag is of je überhaupt kunt onderzoeken wat er is gebeurd, heb je voldoende loggegevens?" Volgens de forensische IT-deskundige gaat dat bewustzijn over de waarde van logging groeien en is dat begonnen met de AVG. Ze noemt bijvoorbeeld de logfunctionaliteit van e-mailplatforms die op berichtniveau aangeven of een bestand is aangesproken, zodat je na een phishing-aanval waarbij toegang is verkregen tot een e-mailaccount kunt zien tot welke specifieke mailtjes toegang is verkregen. "Een ander voorbeeld is van de database. Als er een hacker toegang heeft gekregen tot een systeem waar een database aanwezig is kan je door middel van loggegevens mogelijk uitsluiten dat die database niet gelekt is."

Een nadeel qua beveiliging is dat forensisch onderzoek soms iets lastiger is geworden, meet Arsene. Neem bijvoorbeeld de WHOIS-database, die beveiligers gebruiken om malafide url's te indexeren als je één verdachte url terugvoert naar een specifieke partij en je weet welke domeinen deze nog meer bezit. Die feature wordt na een aantal miskleunen van internetbeheerder ICANN hopelijk AVG-proof gemaakt met verschillende toegangsniveaus, zodat de informatie in principe niet voor iedereen meer toegankelijk is, maar bepaalde organisaties nog wel fijnmaziger inzicht hebben.

Nieuwe tools en infra

Dit betekent allemaal wel dat er een nieuwe infrastructuur ingericht moet worden (hopelijk moest worden) om persoonlijke gegevens ook daadwerkelijk te kunnen segmenteren en andere monitoring in te zetten. Diverse organisaties met dedicated IT gaan al de goede kant op, maar bij bedrijven die IT outsourcen moeten duidelijke afspraken gemaakt worden met SLA's, vertelt Doekhie. Ze zegt dat dit inmiddels beter aan het worden is.

Maar de investeringen in zulke databeveiliging werden vooral vóór mei 2018 gezien als een pijnlijke verzwaring van kosten en resources. "Het is net als iedere technologische verandering", zegt Arsene. "Het verhoogt in eerste instantie de operationele kosten, maar die vervlakken in de loop der tijd als het eenmaal is geïmplementeerd." Hij zag dat vooral in de maanden voordat de AVG officieel van kracht werd er een worsteling was van bedrijven om zich klaar te maken voor de juridische omslag, maar in het afgelopen jaar is er vooral opgelucht adem gehaald.

Weinig paniekknoppen ingedrukt

Arsene ziet nog een positief effect in de zin dat Europese burgers zich comfortabeler voelen met de informatie die richting bedrijven gaat, nu ze zich bewuster zijn over de mogelijkheden om die data te verwijderen. "Mensen zijn blij dat diensten meer zijn afgestemd op hun voorkeuren, dat er een paniekknop is die ze kunnen indrukken." De vraag is alleen hoeveel daar daadwerkelijk gebruik van wordt gemaakt.

De autoriteit persoonsgegevens heeft sinds de invoering van de AVG zo'n 20.000 meldingen gehad van vermeende schending. Bij bedrijven die we het afgelopen jaar hebben gesproken, zijn er gestaag vergeetverzoeken ingediend en gehonoreerd, maar we kennen geen voorbeelden van organisaties die overspoeld werden met AVG-rechtsverzoeken, ondanks de angst dat dit het effect zou zijn.

Arsene over het uitblijven van mensen die de 'paniekknop' daadwerkelijk indrukken: "Misschien is het een vergelijkbaar effect van als je met je kind langs een speelgoedwinkel loopt. Die wil dan graag speelgoed ontvangen en als je vervolgens na een paar minuten zeuren toegeeft, is hij het na vijf minuten weer vergeten."