Cybercrime en datalekken; wat nu?

Definities

Cybercriminaliteit (ook wel cybercrime of computercriminaliteit) is een vorm van criminaliteit met ICT als middel en doelwit. Hierbij kan gedacht worden aan hacken van computers om in het bezit te komen van (gevoelige) data.

Er is sprake van datalekken wanneer persoonsgegevens van uw cliënt, werknemers of bedrijf in handen vallen van derden, die niet de beschikking over deze gegevens had mogen krijgen. Veelal gaat het hier om uitgelekte computerbestanden als gevolg van beveiligingsproblemen en onzorgvuldig omgaan met informatiedragers. Bijvoorbeeld door het kwijtraken van een mobiele telefoon of USB-stick, de diefstal van een laptop of een inbraak door een hacker.

Wet Meldplicht Datalekken

Op 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden. Deze melding houdt in dat organisaties (zowel bedrijven als overheden) ten alle tijden een melding moeten maken bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Daarnaast kan het zijn dat er melding gemaakt moet worden bij de betrokkenen. De betrokkenen kunnen personen of organisaties zijn, waarvan privacy gevoelige informatie in handen van derden is gekomen.

De  afweging die u moet maken om al dan niet melding te maken bij de Autoriteit Persoonsgegevens en/of het informeren van betrokkenen wordt in het kort toegelicht in onderstaande schema:

Wie datalekken of persoonsgegevens verwerkt zonder zich aan de wet te houden, loopt kans op boetes die kunnen oplopen tot € 820.000 of 10% van de jaaromzet opgelegd door de Autoriteit Persoonsgegevens. Voor meer informatie over dit onderwerp verwijzen wij u naar de websites van de Overheid en Autoriteit Persoonsgegevens http://wetten.overheid.nl/BWBR0037346/2015-12-16 en https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken

Preventie

Ondanks dat er sinds 2006 in Nederland de Wet Computercriminaliteit van kracht is, hebben er maar weinig arrestaties plaatsgevonden. Dit komt met name doordat hackers vanuit bijvoorbeeld Nederland een Spaanse computer kunnen hacken om vervolgens bij een Amerikaans bedrijf binnen te dringen. Het aanpakken van deze grensoverschrijdende criminaliteit is ontzettend lastig.

Het is belangrijk binnen uw organisatie in kaart te brengen waar de risico’s op een datalek liggen. Het organiseren van preventieve maatregelen en het instrueren van uw medewerkers is van essentieel belang om u te wapen tegen cybercriminaliteit en het voorkomen van datalekken. Enkele tips op het gebied van preventie:

• Komen informatiedragers met gevoelige gegevens buiten uw pand, bijv. op een USB-stick of laptop? Zorg voor het versleutelen van deze informatiedragers.
• Verstuur geen persoonsgegevens via WhatsApp, gratis e-mailaccounts of gratis opslag in de Cloud.
• Voer een risicoanalyse uit op de processen waar gegevensuitwisseling van cliënten plaatsvindt en neem waar nodig organisatorische en technische beveiligingsmaatregelen.
• De meeste lekken ontstaan door menselijke fouten. Zorg voor gebruiksvriendelijke procedures en maak medewerkers bewust van de bedreigingen.
• Maak inzichtelijk wie bevoegd is welke gegevens te bekijken/verwerken.
• Stel een protocol ‘melding datalekken’ op en bepaal de verantwoordelijkheden hierbij.
• Houd een lijst bij van incidenten, ook als ze niet gemeld zijn bij de Autoriteit Persoonsgegevens. U kunt leren van de incidenten en u kunt aantonen dat u zicht hebt op de fouten binnen uw organisatie.
• Het is van belang dat iedere werknemer weet wat hij of zij moet doen en bij wie hij of zij zich moet melden bij een incident.

Cyber risk verzekering

De cyber risk verzekering biedt dekking voor het financiële nadeel dat u als bedrijf loopt door of via computer- en/of ICT-systemen. De materiële- en letselschade, bijvoorbeeld door een brand, zijn verzekerd op traditionele verzekeringen zoals goederen/inventaris-, bedrijfsschade- en bedrijfsaansprakelijkheidsverzekeringen.

De cyber risk verzekering kan grofweg worden opgedeeld in drie dekkingen:

• Dekking voor bijkomende kosten, zoals professionele ondersteuning bij het ontdekken van een incident, onderzoekskosten, kosten van verweer, kosten om reputatieschade te voorkomen.
• Eigen schade als gevolg van een incident, hier valt te denken aan dataherstel, bedrijfsstilstand, schade door en advies bij afpersing,  PR- en communicatiekosten.
• Schade aan derden (aansprakelijkheid) als gevolg van een incident, dit omvat het nalaten van “voldoende” beveiligingsmaatregelen, schending privacy- of geheimhoudingsplicht, ongewild besmetten van systemen van derden, kosten van verweer.

De cyber risk verzekering is een jonge verzekering waardoor de dekking en kleine lettertjes bij verzekeraars vrij uiteen lopen (er is nog geen sprake van uniformiteit in de polissen). Veldhuis Advies doet zaken met diverse cyberrisk verzekeraars en zorgt samen met professionele bedrijven op het gebied van cyber preventie voor een passende verzekering.

Voor meer informatie over cyberriskverzekeringen in de praktijk klik dan hier. Voor achtergronden bij de cyberaanval van medio mei 2017 en tips klik hier.

Heeft u vragen, neem contact met ons op via tel. (0578) 699 789 of via [email protected]. Wij helpen u graag verder.

Veldhuis Advies

Bij Veldhuis Advies ondernemen we met geluk en gezondheid als missie. Onze ambitie is om iedereen een beetje gelukkiger te maken, bijvoorbeeld door financieel inzicht en overzicht te geven en een stukje zekerheid te bieden. Dit doen we met ruim 75 professionele medewerkers die eerlijk advies geven en graag willen helpen. Door die klantgerichtheid mogen we ons dagelijks inzetten voor zo'n 20.000 particuliere en 5.800 zakelijke relaties.