Cybercrime en datalekken; wat nu?

Filter

Cybercrime en datalekken; wat nu?

high

Cybercriminaliteit en datalekken zijn onderwerpen die met grote regelmaat in het nieuws verschijnen. In het weekend van 13 mei 2017 was het flink raak. Computersystemen in ruim 150 landen werden gegijzeld door zogeheten ransomware. Een dergelijke gijzeling door ransomware van uw computersysteem kunt u ongedaan maken door een betaling te doen aan de crimineel die uw systeem heeft gegijzeld. Het overmaken van een dergelijke betaling wordt ten zeerste afgeraden. U houdt de criminele activiteit in stand en het is maar de vraag of u na de betaling de beschikking heeft over uw systeem en voor hoe lang.

In deze blog geven wij u meer duidelijkheid over de definities, wetgeving, preventie en verzekeringsmogelijkheden.

Definities

Cybercriminaliteit (ook wel cybercrime of computercriminaliteit) is een vorm van criminaliteit met ICT als middel en doelwit. Hierbij kan gedacht worden aan hacken van computers om in het bezit te komen van (gevoelige) data.

Er is sprake van datalekken wanneer persoonsgegevens van uw cliënt, werknemers of bedrijf in handen vallen van derden, die niet de beschikking over deze gegevens had mogen krijgen. Veelal gaat het hier om uitgelekte computerbestanden als gevolg van beveiligingsproblemen en onzorgvuldig omgaan met informatiedragers. Bijvoorbeeld door het kwijtraken van een mobiele telefoon of USB-stick, de diefstal van een laptop of een inbraak door een hacker.

Wet Meldplicht Datalekken

Op 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden. Deze melding houdt in dat organisaties (zowel bedrijven als overheden) ten alle tijden een melding moeten maken bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Daarnaast kan het zijn dat er melding gemaakt moet worden bij de betrokkenen. De betrokkenen kunnen personen of organisaties zijn, waarvan privacy gevoelige informatie in handen van derden is gekomen.

De  afweging die u moet maken om al dan niet melding te maken bij de Autoriteit Persoonsgegevens en/of het informeren van betrokkenen wordt in het kort toegelicht in onderstaande schema:

Wie datalekken of persoonsgegevens verwerkt zonder zich aan de wet te houden, loopt kans op boetes die kunnen oplopen tot € 820.000 of 10% van de jaaromzet opgelegd door de Autoriteit Persoonsgegevens. Voor meer informatie over dit onderwerp verwijzen wij u naar de websites van de Overheid en Autoriteit Persoonsgegevens http://wetten.overheid.nl/BWBR0037346/2015-12-16 en https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken

Preventie

Ondanks dat er sinds 2006 in Nederland de Wet Computercriminaliteit van kracht is, hebben er maar weinig arrestaties plaatsgevonden. Dit komt met name doordat hackers vanuit bijvoorbeeld Nederland een Spaanse computer kunnen hacken om vervolgens bij een Amerikaans bedrijf binnen te dringen. Het aanpakken van deze grensoverschrijdende criminaliteit is ontzettend lastig.

Het is belangrijk binnen uw organisatie in kaart te brengen waar de risico’s op een datalek liggen. Het organiseren van preventieve maatregelen en het instrueren van uw medewerkers is van essentieel belang om u te wapen tegen cybercriminaliteit en het voorkomen van datalekken. Enkele tips op het gebied van preventie:

  • Komen informatiedragers met gevoelige gegevens buiten uw pand, bijv. op een USB-stick of laptop? Zorg voor het versleutelen van deze informatiedragers.
  • Verstuur geen persoonsgegevens via WhatsApp, gratis e-mailaccounts of gratis opslag in de Cloud.
  • Voer een risicoanalyse uit op de processen waar gegevensuitwisseling van cliënten plaatsvindt en neem waar nodig organisatorische en technische beveiligingsmaatregelen.
  • De meeste lekken ontstaan door menselijke fouten. Zorg voor gebruiksvriendelijke procedures en maak medewerkers bewust van de bedreigingen.
  • Maak inzichtelijk wie bevoegd is welke gegevens te bekijken/verwerken.
  • Stel een protocol ‘melding datalekken’ op en bepaal de verantwoordelijkheden hierbij.
  • Houd een lijst bij van incidenten, ook als ze niet gemeld zijn bij de Autoriteit Persoonsgegevens. U kunt leren van de incidenten en u kunt aantonen dat u zicht hebt op de fouten binnen uw organisatie.
  • Het is van belang dat iedere werknemer weet wat hij of zij moet doen en bij wie hij of zij zich moet melden bij een incident.

Cyber risk verzekering

De cyber risk verzekering biedt dekking voor het financiële nadeel dat u als bedrijf loopt door of via computer- en/of ICT-systemen. De materiële- en letselschade, bijvoorbeeld door een brand, zijn verzekerd op traditionele verzekeringen zoals goederen/inventaris-, bedrijfsschade- en bedrijfsaansprakelijkheidsverzekeringen.

De cyber risk verzekering kan grofweg worden opgedeeld in drie dekkingen:

  • Dekking voor bijkomende kosten, zoals professionele ondersteuning bij het ontdekken van een incident, onderzoekskosten, kosten van verweer, kosten om reputatieschade te voorkomen.
  • Eigen schade als gevolg van een incident, hier valt te denken aan dataherstel, bedrijfsstilstand, schade door en advies bij afpersing,  PR- en communicatiekosten.
  • Schade aan derden (aansprakelijkheid) als gevolg van een incident, dit omvat het nalaten van “voldoende” beveiligingsmaatregelen, schending privacy- of geheimhoudingsplicht, ongewild besmetten van systemen van derden, kosten van verweer.

De cyber risk verzekering is een jonge verzekering waardoor de dekking en kleine lettertjes bij verzekeraars vrij uiteen lopen (er is nog geen sprake van uniformiteit in de polissen). Veldhuis Advies doet zaken met diverse cyberrisk verzekeraars en zorgt samen met professionele bedrijven op het gebied van cyber preventie voor een passende verzekering.

Voor meer informatie over cyberriskverzekeringen in de praktijk klik dan hier. Voor achtergronden bij de cyberaanval van medio mei 2017 en tips klik hier.

Heeft u vragen, neem contact met ons op via tel. (0578) 699 789 of via bedrijven@veldhuisadvies.nl. Wij helpen u graag verder.

René Schwering
Acceptant grootzakelijke relaties
Dit artikel is geschreven door:

Vragen? Neem vrijblijvend contact met mij op:

Neem contact op


Direct contact

Wilt u meer informatie of een afspraak maken? Bel dan op werkdagen tussen 08.30 en 17.30 uur met Veldhuis Advies of maak gebruik van het contactformulier.

(0578) 699 760 info@veldhuisadvies.nl

Klik hier om een schade te melden.

  • velden met een ster (*) zijn verplicht om in te vullen