Bescherming persoonsgegevens moet permanent op agenda komen

De wet meldplicht datalekken is ingegaan per 1 januari 2016. Zowel reputatierisico- alsmede bestuurdersaansprakelijkheid zijn hierbij belangrijke risicofactoren die zowel organisaties als hun bestuurders direct kunnen raken. Volgens Niek Post van Kröller Boom blijft de belangrijkste essentie daarom voor organisaties het ‘in control’ komen van het risico rondom cybercrime/datalekken, maar daarbij ook het goed managen van de directe en indirecte gevolgen van een eventuele inbreuk op systemen en data.

“Als we vroeger aan een CFO vroegen waar de belangrijkste bedrijfsinformatie te vinden was, wees hij naar de kluis. Daarin lagen alle belangrijke documenten en slechts een aantal mensen hadden daar toegang tot. Als we de vraag tegenwoordig stellen, weten maar weinig bestuurders hoe dit voor de belangrijkste informatie in hun organisatie geregeld is. De nieuwe wet gaat over persoonsgegevens, dus data over klanten en medewerkers. Bestuurders moeten weten hoe de opslag en beveiliging van deze gegevens geregeld is en wat de waarde ervan is.”
 
Aan het woord is Niek Post, Commercieel Directeur, die zich bij Kröller Boom, verzekeringsmakelaar voor de middelgrote- en grootzakelijke markt, bezighoudt met onder meer het in belang toenemende thema cybercrime.
 
De risico’s
De hoeveelheid data verdubbelt bijna iedere anderhalf jaar, stelt Post. Dit wordt alleen nog maar meer. “Nu data in steeds meer bedrijven onderdeel wordt van hun core business, verwacht men dat zij uiterst zorgvuldig met deze informatie omgaan. Hun continuïteit en reputatie staan op het spel. In de Verenigde Staten zijn al veel voorbeelden van organisaties waar het mis is gegaan; ziekenhuizen waar dossiers op straat zijn komen te liggen en een supermarktketen waarvan de creditcardgegevens gehackt zijn. Het kost deze organisaties veel geld en moeite om deze problemen vervolgens op te lossen. Als dit je overkomt als bedrijf, moet je juristen inhuren, forensische IT-specialisten, talloze nieuwe beheersmaatregelen nemen, communiceren met de gedupeerden, et cetera. De impact is erg groot. Ook kunnen bestuurders persoonlijk aansprakelijk gesteld worden. Als je gedwongen bent een melding te doen voor jouw organisatie, kun je er beter zeker van zijn dat je er alles aan hebt gedaan om het te voorkomen.”
 
Het grootste risico is volgens Post denken dat het allemaal wel voor elkaar is. “De ICT-manager zal zeggen dat het goed geregeld is, en dit ook oprecht geloven. En dan blijkt het toch mis te gaan. Het management kan dit niet aan alleen ICT overlaten, maar moet het op de agenda zetten en het daar permanent laten staan. De wet is een versneller; ingevoerd om bestuurders hier meer gas op te laten geven; daarom is bestuurdersaansprakelijkheid er onderdeel van gemaakt. Het is een corporate vraagstuk, geen ICT-vraagstuk.” Wanneer Post moet bepalen waar de grootste bedreiging voor datalekken vandaan komt noemt hij interne medewerkers, geen cybercriminelen. Niet dat die laatste groep geen gevaar vormt, maar bijvoorbeeld medewerkers die ontslagen worden, hebben toch regelmatig rancune tegen hun voormalige werkgever en vormen daarmee een groot gevaar. “Vaak maken zij dan nog even snel een data-dump voordat ze het pand verlaten. Hier maatregelen tegen nemen is een quick win; zodra je weet dat een medewerker weg moet, dan kun je hem/haar het beste direct toegang tot alle klanten- en bedrijfsdata ontzeggen. Dit lijkt wel hard, maar als je het niet doet, loop je onnodig een groot risico.”
 
Maatregelen en randvoorwaarden
Hoe kunnen organisaties in control komen van het risico rondom cybercrime en datalekken? De eerste maatregel is volgens Post een aantal kernvragen kort beantwoorden op een A4. Hoe is ICT ingericht? Hoe zit het met overeenkomsten met partners: hoe gaan zij met gedeelde data om? Wat als een hacker onze klantgegevens steelt? Wat is de impact? Wat kost het? Is het bedrijfskritisch of mag het gebeuren? En voor hoe lang?
 
Vervolgens kunnen organisaties een aantal quick wins realiseren door de volgende vragen te beantwoorden:
– Hoe gaan we om met ICT-beveiliging en opslag persoonsgegevens?
– Wat zijn de regels voor het gebruik van passwords?
– Weten we wat we moeten doen als het toch mis gaat?
– Wie is verantwoordelijk voor de beveiliging van persoonsgegevens?
 
Om het beheersingsplan te laten slagen zijn de volgende randvoorwaarden cruciaal:
1. Houd het simpel (maak er geen bijbel van, het moet op een A4 passen).
2. Het moet gedragen worden door de directie (dit is een businessthema, geen ICT-thema).
3. Het moet ingebed worden in de organisatie.
 
De cloud is een extra factor om rekening mee te houden bij het risico op datalekken. Steeds meer bedrijven hebben hun systemen – en opgeslagen data voor analyse-doeleinden – opgeslagen bij externe leveranciers. Ook al heb je de data ergens anders staan, de organisatie en haar bestuurders blijven aansprakelijk als eigenaar van de data. Contracten en afspraken met cloudleveranciers moeten daarom goed nagekeken worden. “Je moet wel goed weten hoe het allemaal geregeld is als bestuurder”, zegt Post. “Als het mis gaat kun je dan snel en adequaat reageren.”
 
Er bestaat een verzekering voor cyberrisico’s, maar die ontslaat je niet van het nemen van passende beheersingsmaatregelen, stelt Post. “Vergelijk het met een brandverzekering. Je neemt brandmaatregelen, maar het risico bestaat nog steeds, dus daar verzeker je je tegen. Maar je moet er wel mee aan de slag. Dat neemt niet weg dat het verzekeren van cybergerelateerde risico’s eveneens een belangrijk aandachtspunt is. De reguliere bedrijfsverzekeringen geven namelijk geen of slechts zeer beperkte dekking voor de kosten- en gevolgen van aan cybergerelateerde claims. Door middel van een zogenaamde gap analyse zijn deze gaten in de reguliere bedrijfspolissen snel in beeld gebracht.”
 
Wat als het toch mis gaat?
De wet meldplicht datalekken is sinds 1 januari 2016 van kracht. Deze wet houdt in dat wanneer er persoonsgegevens blootgesteld worden aan verlies of onrechtmatige verwerking door derden de organisatie hier binnen 72 uur melding van moet maken. “Als je er niks aan gedaan hebt, heb je wel wat uit te leggen”, aldus Post. “Dan komt ook aansprakelijkheid om de hoek kijken. De maximale boete bedraagt 810.000 euro. In 2017 komt ook de Europese wet voor datalekken waarbij de opgelegde boete op kan lopen tot 10 procent van de wereldwijde omzet.”
 
“Dit is een reis die begonnen is en continu doorgaat”, besluit de risico-expert. “Wanneer je precies een melding moet doen, kan nog wel een lastig vraagstuk zijn. Wanneer een hacker al je klantendata heeft gestolen is het geen vraag, maar ga je het ook melden als een medewerker zijn telefoon kwijt is geraakt? Dit is een kwestie van ervaring opdoen. Een ding is zeker; gezien de toenemende hoeveelheid data en de waarde hiervan gaat dit onderwerp niet meer weg. Wanneer je nu maatregelen neemt, maakt dat je niet alleen weerbaarder tegen de risico’s, het kan zelfs je reputatie versterken als het toch een keer mis gaat omdat je dan weet hoe je moet handelen.”
 
Niek Post is commercial director bij Kröller Boom, een verzekeringsmakelaar voor de middelgrote- en groot zakelijke markt. Ze richten zich specifiek op de thema’s corporate risk & human capital. Via het internationale netwerk Unison Brokers waar de firma bij is aangesloten, heeft Kröller Boom toegang tot ruim 100 landen. Het is een boutique waar 30 zeer ervaren professionals nauw samenwerken aan vraagstukken rond onder meer corporate risk, warranty & indemnity insurance, cybercrime & gap analysis, corporate wellness en pensioenconsultancy. 
_________________________________________________
Loop geen risico met datalekken
Weet u wat een datalek is en hoe u dit kunt voorkomen? Kent u de nieuwe eisen en toepassing van de Wet bescherming persoonsgevens (Wbp)? Per 1 januari 2016 zijn organisaties verplicht om datalekken te melden. Voorkom risico’s en hoge boetes. Meld u hier aan.

Gerelateerde artikelen