Datalekken, het is hoog tijd om uw zaak veilig te stellen
7 maart 2017 09:23
We horen en lezen het steeds vaker. Steeds weer nieuwe informatie over datalekken en cybercriminaliteit. Toch lijkt het voor veel mkb’ers nog steeds de ver-van-ons-bedshow. Niet alleen bij grote webwinkels en organisaties, maar ook in het mkb zijn cybercriminelen op zoek naar waardevolle informatie om die door te verkopen of om een organisatie mee af te persen.
Daarnaast zien we steeds vaker berichtgeving over gestolen laptops, onbeschermd thuiswerken, een kwijtgeraakte USB-stick of open systemen waardoor bedrijfs- en persoonsgegevens op straat komen te liggen. Aansprakelijkheid en boetes liggen op de loer. Zeker met de nieuwe Europese regelgeving die er aan zit te komen. Uit een rapport van antivirusproducent McAfee is gebleken dat meer dan 80% van de Nederlandse medewerkers in een phishing mail zou trappen. Als het fout gaat moet het lek worden gevonden en gedicht. De organisatie of onderneming komt stil te staan. Daarnaast is het vertrouwen in het bedrijf geschaad. De gevolgen stapelen zich op. Zware procedures volgen en wettelijke boetes worden opgelegd. Daarnaast kunnen klanten de onderneming aansprakelijk stellen.
Meldplicht datalekken
Aad van Boven van SecureMe2 is gespecialiseerd in het voorkomen van problemen van datalekken en cybercriminaliteit. “Je kunt niet 100% voorkomen dat je slachtoffer wordt van cybercriminelen en veroorzaker bent van datalekken. Cybercriminaliteit is een wapenwedloop. Er kan nooit een garantie worden afgegeven. Belangrijk is wel dat je kunt aantonen dat je er alles aan hebt gedaan om het te voorkomen. Kun je dat niet dan volgt mogelijk een forse boete en betekent dat minder winst of in het ergste geval het einde van je bedrijf. Sinds 1 januari 2016 is er een meldplicht bij datalekken. Bedrijven, overheden en andere organisaties moeten direct melding doen bij de Autoriteit Persoonsgegevens en vaak ook bij de betrokkenen waarvan de gegevens zijn gelekt. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Ook de onrechtmatige verwerking van gegevens valt hieronder.”
“De Privacyregelgeving wordt steeds strenger. Ook het mkb moet zich goed indekken tegen de gevolgen van datalekken en cybercriminaliteit”
Wat moet je melden?
“Het gaat om inbreuk op de beveiliging oftewel datalekken als bedoeld in artikel 13 WBP. Denk hierbij aan een kwijtgeraakte USB-stick, een gestolen of vergeten laptop, een inbraak door een hacker, malware-besmetting en calamiteiten zoals een brand in een datacentrum. Maar ook de verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden valt onder verwijtbare zaken.”
Nog strakkere regelgeving
Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming actief ingevoerd en gehandhaafd. De Verordening wordt van toepassing in alle EU-lidstaten. “Vanaf die datum geldt dus nog maar één wet in de hele Europese Unie, in plaats op zich staande wetten. Organisaties krijgen dan een documentatieplicht. Je moet dan aantonen (Privacy Boekhouding) dat de juiste aantoonbare en effectieve organisatorische en technische maatregelen zijn genomen om aan de eisen te voldoen. En de bewijslast ligt vanaf dat moment bij de ondernemer. Je hebt het voor de wet niet goed geregeld als je niet kunt bewijzen dat je in-control bent. Accountability en auditability zal in 2018 van groot belang worden.
SAM, FAMKE, VERA en PIM
Aad van Boven is helder: “Het informeren en trainen van medewerkers en het ook het waarschuwen van klanten over de risico’s van cybercriminaliteit is een pre, maar het inzetten van systemen om de gegevens te beschermen is noodzakelijk. Als je kunt bewijzen dat je voldoende voorzorgsmaatregelen hebt genomen valt je minder te verwijten. Wij bieden oplossingen zoals SAM (Scan - Analyse – Manage). Dit systeem zorgt ervoor dat al het uitgaande netwerkverkeer van een onderneming wordt gecheckt. Afhankelijk van het gekozen abonnement kan de dienstverlening uitgebreid worden met rapportages, koppelingen naar SIEM-systemen en/of de inzet van FAMKE. FAMKE is de juridische oplossing. Hiermee helpen we ondernemers bij het juridisch aanmelden en opvolgen van incidenten. Advocaten van First Lawyers zullen dan volgens een omschreven proces en rapportage helpen bij analyse op het datalek, vastlegging en melding.”
VERA is een technische oplossing die ook in ‘het kastje’ bij de router gaat draaien en de gezondheid van het interne netwerk in de gaten houdt. Door middel van dagelijkse scans op alle voorkomende IP-adressen in het netwerk en deze te onderzoeken op bekende kwetsbaarheden. Dit levert inzicht en een advies op zodat een ondernemer zich goed wapenen tegen kwaadaardige aanvallen. SAM blijft natuurlijk 24x7 in de gaten houden of er mogelijk toch fout verkeer ontstaat.
De boekhouding van PIM
Aad van Boven: “Er werden in het verleden al boetes opgelegd door de Autoriteit Persoonsgegevens op basis van de Wet Bescherming Persoonsgevens zoals de € 4.500, – boete voor het niet melden. Per 1 januari 2016 zijn de boetes en sancties behoorlijk verzwaard: Er volgt maximaal € 820.000, -boete bij opzet of ernstige verwijtbare nalatigheid. Beter is het om de risico’s preventief in kaart te brengen en de nodige maatregelen te nemen en dat vast te leggen. De regelgeving in 2018 vereist dat elke onderneming die persoonsgegevens verwerkt een privacy boekhouding moet bijhouden. Hierin moet veel informatie aan elkaar gekoppeld worden. Organisatie-entiteiten, systemen, verwerkingen, verwerkers, incidenten etc. Met PIM levert SecureMe2 deze boekhouding (in de cloud). Hiermee kan een ondernemer eenvoudig met minimale inspanning en tegen lage kosten voldoen aan de wet en hier een aantoonbaar effectieve passende organisatorische maatregel treffen. Met relatief simpele oplossingen weten wij die bescherming te bieden die nodig zijn schade te voorkomen. Wij maken grote gevaren beheersbaar tegen acceptabele kosten.” «
Tekst en fotografie: René Zoetemelk
Reacties op dit artikel
Reactie plaatsen? Log in met uw account.