Gepubliceerd op 12 april 2018

Cyberaanvallen, aan de orde van de dag

Cyberaanvallen, aan de orde van de dag. De AVG voorkomt dat niet maar naleving is wel wapen tegen (bestuurders)-aansprakelijkheid en boetes!

De afgelopen maanden zijn er voortdurend wereldwijde aanvallen geweest van Cyber criminelen die de computersystemen van allerlei organisaties hebben platgelegd. De systemen worden gegijzeld met behulp van ransomware (met de toepasselijke naam “Wannacry”) om vervolgens tegen betaling van geld de systemen weer te laten draaien. Levensgevaarlijk omdat bijvoorbeeld operatiekamers afhankelijk zijn van digitale apparatuur. De attacks gaan overigens nog steeds door, ook in Nederland. Volgens ESET in Nieuwsuur van 15 mei 2017 staat bij 61% van de directie van de Nederlandse bedrijven cybersecurity nog steeds niet op de agenda. Ze zijn zich er nog steeds niet van bewust en doen er dus ook niets mee.

Onze maatschappij en economie zijn intussen echter wel in verregaande mate gedigitaliseerd en verbonden met het internet. Dat levert uiteraard grote economische en efficiency voordelen op maar ook enorme risico’s. Een gebrek in de cybersecurity – digitale veiligheid – van bedrijven en (overheids)organisaties leidt er niet alleen toe dat bedrijfsgeheimen, vertrouwelijke overheidsinformatie en persoonsgegevens door een hack worden gegijzeld of door een menselijk fout op straat komen te liggen. Grote storingen kunnen ook tot gevolg hebben dat de continuïteit van uw bedrijf in gevaar komt. Uw computers en systemen niet meer functioneren en uw mensen niet meer kunnen doorwerken en uw cliënten en partners schade lijden.

Dit wordt steeds lastiger om te voorkomen omdat cyber criminelen de hele dag niets ander doen dan creatieve manieren te vinden om toegang te krijgen tot uw systemen. Uw bedrijf is echter de hele dag bezig om het bedrijfsdoel te verwezenlijken. Cybersecurity is bijzaak, slechts een randvoorwaarde.

Kunt u die strijd dan wel winnen, is de grote vraag?

Aan technisch veilige ICT systemen en software zit namelijk ook een prijskaartje. En dan nog, zelfs de grote bedrijven lukt het kennelijk niet getuige de aanval van afgelopen vrijdag. Ook daar zitten mensen van vlees en bloed die toch vreemde e-mails openen of technisch niet up to date zijn in de varianten van ransomware en andere hacking methodes. Het hoeft er maar een te zijn in uw bedrijf die het niet weet, voor hackers om een weg naar binnen te vinden… Daarom is het zo belangrijk om ook preventief de menskant te blijven aanpakken zoals awareness creëren wat men vooral wel en niet moet doen online (en ook wel offline).

Met al die preventie zullen we mijns inziens nog steeds achter de feiten blijven aanlopen. Bij informatietechnologie hebben we immers te maken met de “Wet van Moore“. Alles verdubbeld dus steeds qua snelheid van verwerking van gegevens, en dus ook de kracht van cyberattacks. Dat in combinatie met cyber criminelen die de hele dag bezig zijn met nieuwe dingen te bedenken, blijft lastig. De meeste bedrijven hebben geen budget om een team van hackers in diens te hebben om de hele dag het ICT systeem te blijven testen tegen gaten in de beveiliging.

“Alleen bedrijven zoals KPN kunnen zich dat permitteren.”

De (nieuwe) wettelijke regels zullen daar ook niet zoveel aan veranderen. Wetten lopen nou eenmaal altijd achter de feiten aan en aanpassing van nationale privacywetten is al helemaal een langdurig proces. Vandaar dat Europa nu alle nationale privacy wetgeving vervangt door een direct werkende Europese Privacy wet; “de Algemene Verordening Persoonsgegevens”. De Nederlandse wet bescherming persoonsgegevens (WBP) zal per 25 mei 2018 helemaal vervangen worden door de AVG. De AVG gaat gepaard met de nadere aanbevelingen van de Werkgroep 29 (lidstaten) die deze richtlijnen maakt om te zorgen dat deze wet in de praktijk van alle lidstaten overal gelijkelijk wordt toegepast.

“De AVG regelt alles op het gebied van de bescherming van privacy van persoonsgegevens en roept een meldplicht datalekken van die gegevens in het leven.”

De AVG zal voor bedrijven met als core business het verwerken van persoonsgegevens, zoals direct marketingbedrijven, bedrijven zoals Google, Skype, LinkedIn etc. en ICT bedrijven vooral zwaardere plichten opleggen. Voor bedrijven zoals energiebedrijven, telecombedrijven, banken, zorginstellingen, providers vanluchtvaartdata en andere bedrijven in de ‘vitale sectoren’ gelden naast de AVG ook nog bijzondere nationale regulering met nog zwaardere eisen. Voor het merendeel van het bedrijfsleven geldt dus nu al de Wet bescherming persoonsgegevens en straks de AVG omdat zij allemaal in zekere mate persoonsgegevens verwerken.

Voor de digitale bescherming van bedrijfsgegevens waarin geen persoonsgegevens zijn te vinden geldt er wettelijk nog niets.

Wel is er een Nederlandse wet in de maak specifiek voor “gegevensverwerking en meldplicht cybersecurity” om de integriteit van de ICT systemen beter te garanderen. Dat zal nog wel even op zich laten wachten.

Het voldoen aan voornoemde wetgeving heet ook wel “compliance” en bestaat grotendeels uit preventie en het kunnen aantonen dat je de wettelijke AVG zorgplichten ook werkelijk naleeft. Natuurlijk om cyberattacks en datalekken en (stagnatie en derden)schade te voorkomen hoewel dat zal erg lastig blijken zoals hiervoor reeds gezegd.

Vooral ook om te voorkomen dat u fixe boetes krijgt opgelegd door de Autoriteit Persoonsgegevens (AP) omdat u niet kunt aantonen dat u alles heeft gedaan aan naleving van de AVG.

Compliance is verder belangrijk om de extra aansprakelijkheidsrisico’s voor het bestuur van ieder bedrijf of organisatie te voorkomen. Als het bestuur cybersecurity en privacy niet (goed genoeg) op de agenda heeft staan dan is het bestuur verantwoordelijk voor de nadelige eventuele fatale gevolgen door het ontbreken ervan. Binnen het bestuur moet altijd duidelijk zijn tot wiens portefeuille dit onderwerp behoort en dus ook wie het voortouw en de verantwoordelijkheid neemt.

Het is dus erg belangrijk om cybersecurity op de agenda van het bestuur, de directie, de raden van commissarissen en toezicht te plaatsen om persoonlijke aansprakelijkheid te voorkomen.

Bij kleinere bedrijven ligt die verantwoordelijkheid bij de directeur/eigenaar en zijn of haar MT. Meer informatie is hier bijvoorbeeld over te vinden in de door de Cyber Security Raad eerder uitgegeven ‘Cyber security guide for boardroom members’.

Het is dus van vitaal belang om zich als bestuur te laten voorlichten over wat de belangrijkste cybersecurity en privacy zorgplichten zijn voor het bedrijf en daar ook zo snel mogelijk concreet invulling aan te geven. Zorg dat uw bedrijf zich laat voorlichten over haar positie, taken en plichten binnen de cybersecurity, dat zij een plan de campagne opstelt, haar mensen laat scholen door middel van cybersecurity trainingen, cyber security consultants inhuurt om projectmatig aan de slag te gaan. Huur ook een gespecialiseerde privacy jurist in om de bestaande bedrijfscontracten en modellen te screenen op compliance aan de AVG en daar waar nodig te verbeteren. Verder is vanaf 25 mei 2018 de bewerkingsovereenkomst verplicht tussen bedrijven en hun (ICT) partners die de persoonsgegevens (of dat nou van uw personeel is of van uw klanten/gebruikers), in opdracht verwerken.

Ook uw personeelsreglementen met betrekking tot het gebruik van de ICT binnen uw bedrijf, moeten worden aangepast aan de nieuwe AVG.

Verder moeten de privacy verklaringen (privacy statements) op uw website, in uw bedrijfsdocumentatie en klankcontracten, opdrachtbevestigingen etc. moeten aangepast aan de AVG. Tot slot moet u ook uw verzekeringsdekking nalopen op schade die ontstaat door cybersecurity. De meeste reguliere bedrijfsverzekeringen dekken weinig tot geen cybersecurity schades.

Het is best theoretisch en abstracte materie, cybersecurity en privacy dus dat u daar als directie of bestuurder hulp bij inroept is niet zo gek en zelfs verstandig.

Heeft u er weinig tot niets nog mee gedaan of weet u er te weinig van dan kunt u het beste beginnen met een basistraining “Training privacy & cyberrisk management, de praktische oplossingen! In die training wordt het stappenplan van de AP (Nederlandse autoriteit Persoonsgegevens) ter naleving van de WBP en straks de AVG, helemaal nagelopen en uitgelegd. Tijdens die training wordt hierdoor waarschijnlijk al wel duidelijk waar uw bedrijf staat met de cybersecurity. Verder wordt wellicht al duidelijk welke positie uw bedrijf inneemt, is zij (mede)verantwoordelijke voor de persoonsgegevens of is zij enkel verwerker? Welke specifieke zorgplichten en taken hangen daar dan aan vast. U kunt hiertoe het AP stappenplan in gang gaan zetten en uitrollen. U weet dan ook welke specialistisch hulp u daar voor nodig heeft.

Na de basistraining kunt u stappen zetten om snel helder te krijgen wat er nog in uw organisatie nog aan de mens- en technische kant moet gebeuren om AVG proof te zijn op 25 mei 2018 (en dat ook nadien te blijven).

Bent u geïnteresseerd in deze training voor uw zelf, uw directie, bestuur, uw MT of uw toezichtsorgaan? Stuur dan een mail aan info@thelegalprivacycompany.com . Voor meer informatie over de inhoud van deze training, klik op deze link.