De gevolgen van cybercrime onderschat

15 december 2016 13:30

Heeft u er wel eens over nagedacht dat uw bedrijf slachtoffer kan worden van cybercrime? Wat als er ingebroken wordt op uw servers, of als uw bestanden zijn ‘gegijzeld’ door ‘ransomeware’ of wanneer uw servers worden platgelegd door een DDoS-aanval?

De gevolgen kunnen rampzalig zijn en u kunt geconfronteerd worden met hoge kosten. Sinds 1 januari 2016 bent u namelijk verplicht om melding te doen van een datalek bij de Autoriteit Persoonsgegevens (AP) als dat lek leidt tot ‘ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.’ Of als een ‘aanzienlijke kans bestaat dat dit gebeurt.’ Als u geen melding doet, riskeert u een boete die kan oplopen tot € 820.000,- Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. De regels hierover zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp).

Onderzoek lek

Om de omvang van het datalek te bepalen, moet u onderzoek doen of laten doen. Het doel is dan te bepalen tot welke persoonsgegevens onbevoegde toegang is verkregen en of de gegevens bijvoorbeeld zijn verkocht. Als ransomware bijvoorbeeld uw bestanden heeft ‘gegijzeld’, moet er toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Vaak zijn ook gekoppelde gegevensdragers besmet. Er kan dan ook toegang zijn verkregen tot veel meer persoonsgegevens dan op het eerste gezicht aannemelijk lijkt, zodat u nader onderzoek moet (laten) doen. U kunt ervoor kiezen geen onderzoek te doen, maar dan moet u er vanuit gaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn. Dat heeft weer gevolgen voor de melding bij de AP. 
U moet dan melden, immers is het criterium dat het lek moet (kunnen) leiden tot ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens (artikel 34a, eerste lid, Wpb).

Melding en aangifte

Niet in alle gevallen zal het voor uw bedrijf aantrekkelijk zijn om aangifte te doen of melding te maken van een ‘hack’. De AP kan namelijk uw gegevens openbaar maken en daardoor kunnen klanten weglopen. Soms bent u ook verplicht om uw relaties te informeren over het lek (artikel 34a, tweede lid, Wpb). Daar bovenop loopt u het risico op een boete. De vraag is dan wat te doen.

Kosten besparen door niet te melden?

U denkt misschien kosten te besparen door een datalek niet te melden. Maar daardoor loopt u het risico aansprakelijk te worden gesteld door personen van wie de persoonsgegevens bij het datalek zijn betrokken. Dat kan makkelijker succesvol gebeuren als er door u in strijd is gehandeld met wettelijke bepalingen. Daarnaast is een boete soms te voorkomen door te melden en wordt alleen een bindende aanwijzing opgelegd.

Wie is aansprakelijk?

Wat kunt u doen als uw bedrijf slachtoffer is geworden van cybercrime? U kunt aangifte bij de politie doen van computervredebreuk (artikel 138ab Wetboek van Strafrecht) of andere vormen van ‘computercriminaliteit’ (artikelen 350a,-350d WvSr). Dit naast de melding die u bij de AP maakt. Bij die aangifte (of op een later moment) kunt u een zogenaamde ‘vordering benadeelde partij’ voegen. Dat is een soort schadevergoedingsverzoek. In het geval de politie dan iemand arresteert en deze wordt veroordeeld door de rechter voor bijvoorbeeld computervredebreuk in uw systeem, doet de rechter ook direct een uitspraak over een schadevergoeding. Naast kosten voor bijvoorbeeld rechtsbijstand, kunt u bijvoorbeeld kosten voor uw ICT-beheerder opvoeren in verband met het eerdergenoemde onderzoek. Of kosten die u hebt gemaakt om relaties in kennis te stellen van een datalek. Die kosten kunnen via een strafproces (deels) voor vergoeding in aanmerking komen. Dat gaat sneller en goedkoper dan via een civiele rechter. Bovendien zal de overheid de schadevergoeding voor u gaan innen.

Advocaat cybercrime

Rechtsbijstand van een cybercrime-advocaat kan u daarbij goed van pas komen. Ik kan u alle voor- en nadelen uitleggen van een melding en/of een aangifte. Ik kan met u bespreken wat voor uw bedrijf de juiste keuze is en of het mogelijk is om een vordering benadeelde partij in te dienen.

Advies

Wilt u meer informatie of wilt u advies? Bel dan met Robert-Jan van Eenennaam, advocaat cybercrime van Sennef de Koning van Eenennaam advocaten. Wij hebben vestigingen in Rotterdam en in Den Haag en zijn bereikbaar onder nummer 070 – 315 10 10. Mijn directe e-mail is r.j.vaneenennaam@ske-advocaten.nl.Een eerste adviesgesprek is gratis. «

Interessant artikel? Deel het: