Het is veilig om te zeggen dat u altijd bijleert in uw rol als databasebeheerder. Er komt natuurlijk veel op je bord als het gaat om het monitoren van SQL-servers, maar nu heb je ook de General Data Protection Regulation (GDPR) om je zorgen over te maken.
Alles leren over AVG-compliance is cruciaal voor uw bedrijf en zijn databases. De AVG zit boordevol juridische teksten en maakt één ding duidelijk:dat u als DBA verantwoordelijk bent voor de toegang tot en de bescherming van alle informatie, zowel on-premise in uw eigen datacenter als binnen uw cloudservices. Laten we het eens nader bekijken.
Wat is AVG?
De AVG is een Europese privacywet die op 25 mei 2018 in werking is getreden. Het fundamentele doel ervan is de bescherming van de privacyrechten van individuen en het vaststellen van wereldwijde privacyvereisten met betrekking tot de manier waarop persoonsgegevens worden beheerd en beschermd.
Hoewel het een wet is die bedoeld is om burgers van de Europese Unie te beschermen, moet elk bedrijf dat een EU-burger in hun database heeft, voldoen aan de AVG-vereisten. Persoonlijke gegevens omvatten geboortedata, creditcardgegevens, e-mailadressen, IP-adressen, foto's, nationale identificatienummers en meer.
Als DBA moet u er niet alleen voor zorgen dat persoonlijke gegevens worden beschermd tegen onrechtmatige toegang, maar ook dat een gebruiker toegang heeft tot zijn of haar persoonlijke gegevens en er een kopie van kan krijgen.
Het niet naleven van de AVG-regelgeving heeft zware gevolgen; organisaties krijgen een boete tot 4% van hun wereldwijde omzet of tot 20 miljoen pond, waardoor het van vitaal belang is voor bedrijven om onmiddellijk actie te ondernemen en volledig te voldoen aan de tijd dat de AVG-vereisten volledig van kracht zijn.
Dus, wat biedt de toekomst voor het monitoren van SQL-servers?
Nu de deadline van 25 mei is verstreken, heeft u hopelijk een risicobeoordeling gemaakt. Heeft de informatie die u opslaat bijvoorbeeld betrekking op bedrijven en personen uit de EU, of zal dit in de toekomst gebeuren?
Als het antwoord ja is, moet u een aantal vragen overwegen, waaronder waar u persoonlijke informatie opslaat, waarvoor de informatie wordt gebruikt, of u gebruikers duidelijk maakt dat u de informatie opslaat, hoe lang u deze bewaart , wie er toegang toe heeft, enz.
In het ideale geval zou u eenvoudig alle gegevens op uw SQL-server kunnen doorzoeken om te zoeken naar kolomnamen zoals "SSN" of "Birthdate", maar kolommen zijn vaak gelabeld met obscure, cryptische namen. Dat betekent dat u mogelijk tijd moet besteden aan het handmatig onderzoeken van elke afzonderlijke tafel. Bepalen wie toegang heeft tot gegevens kan ook moeilijk te bepalen zijn.
Als u een algemene beoordeling wilt van de AVG-gereedheid van uw organisatie, kan deze enquête helpen.
Door de (berg aan) informatie bladeren
Helaas vereist het leren van alles wat er te weten valt over GDPR-compliance urenlang lezen en onderzoek. Er zijn 99 artikelen en 11 hoofdstukken op de AVG-informatiewebsite, het kan dagen duren om het geheel te onderzoeken.
Dat gezegd hebbende, zijn hier enkele artikelen die het meest van toepassing zijn op u als DBA met betrekking tot SQL-serverbewaking:
Artikel 25
Artikel 25 heeft betrekking op gegevensbescherming door ontwerp en standaard, d.w.z. controleren wie toegang heeft tot persoonsgegevens en hoe de informatie wordt opgeslagen, verwerkt en geopend.
- Dataprivacy by design betekent dat passende organisatorische en technische maatregelen om de beveiliging en privacy van persoonsgegevens te waarborgen, zijn ingebed in de volledige levenscyclus van de producten, services, applicaties en zakelijke en technische van een organisatie procedures. Technische maatregelen kunnen bestaan uit, maar zijn niet beperkt tot, pseudonimisering en gegevensminimalisatie.
- Gegevensprivacy betekent standaard dat (a) alleen noodzakelijke persoonlijke gegevens worden verzameld, opgeslagen of verwerkt en (b) persoonlijke gegevens niet toegankelijk zijn voor een onbepaald aantal mensen.
Artikel 25 specificeert ook dat een goedgekeurde certificering, zoals gespecificeerd in artikel 42, kan worden gebruikt om naleving van de privacy by design en privacy by default vereisten aan te tonen.
Artikel 30
Dit artikel gaat in op de juiste controle van alle records en persoonlijke gegevens. De vereisten van artikel 30 zijn waarschijnlijk van toepassing op de meeste bedrijven vanwege de brede toepasbaarheid van het artikel. Bedrijven die zich voorbereiden om te voldoen aan artikel 30, moeten kijken hoe gegevens door elk van hun bedrijfsprocessen worden verplaatst, niet alleen waar de gegevens zich bevinden. Met andere woorden, "volg de gegevens."
Artikel 30 vereist dat bedrijven "registraties van verwerkingsactiviteiten" produceren, waardoor regelgevers kunnen zien of bedrijven zich aan de AVG houden.
Artikel 32
Artikel 32 dekt de eis dat gegevens worden versleuteld. Het vereist dat DBA's technische en organisatorische maatregelen implementeren die een niveau van gegevensbeveiliging garanderen dat geschikt is voor het risiconiveau dat gepaard gaat met de verwerking van persoonsgegevens.
Maatregelen voor gegevensbeveiliging moeten minimaal het volgende mogelijk maken:
- Pseudonimiseren of versleutelen van persoonlijke gegevens.
- Doorlopende vertrouwelijkheid, integriteit, beschikbaarheid, toegang en veerkracht van verwerkingssystemen en services.
- Herstellen van de beschikbaarheid van en toegang tot persoonsgegevens, in het geval van een fysieke of technische inbreuk op de beveiliging.
- Het testen en evalueren van de effectiviteit van technische en organisatorische maatregelen.
Artikel 35
Dit artikel schetst de juiste documentatie van alle methoden voor gegevensbescherming en hun noodzaak en impact. Alle organisaties moeten hun risico analyseren en aantonen dat ze voldoen aan de AVG.
Daarin staat dat een Data Protection Impact Assessment (DPIA) moet worden uitgevoerd als de verwerking van gegevens een hoog risico met zich meebrengt. Een DPIA is een oefening die een bedrijf in staat stelt om het risico te onderzoeken dat gepaard kan gaan met de verwerking van gegevens en een manier om hun procedures te herzien met het oog op de naleving van de AVG.
Het artikel roept toezichthoudende autoriteiten ook op om hun eigen lijsten met gegevensverwerkingsactiviteiten op te stellen en te publiceren waarvoor DPIA's nodig zijn.
Voorbereiden op naleving van de AVG is geen gemakkelijke taak. Als u dit nog niet heeft gedaan, profiteer dan van alle beschikbare informatie en onderzoeken om u te helpen zo snel mogelijk aan de wet te voldoen.
Onderneem verdere actie om uw SQL Server-bewaking te verbeteren. Begin met het toekomstbestendig maken van uw databases met onze gratis gids.