Nu de meldplicht datalekken van kracht is, hebben organisaties nog meer reden hun cybersecuritystrategie op orde te hebben. Cybersecurity is nog een ondergeschoven kindje; risico’s worden onderschat en daarom moet het onderwerp hoger op de agenda in de boardroom. Branchevereniging Nederland ICT spreekt met alle partijen die met digitale veiligheid te maken hebben en wil deze met elkaar verbinden. Hun adviseur cybersecurity Liesbeth Holterman weet dat op boardlevel nog wel wat te bereiken is. Daar wil men geen incidenten vanwege de reputatieschade. “Wij zeggen dan: neem maatregelen vooraf.”
Bewustwording cybersecurity
Holterman ziet dat de boardroom veel positiever denkt over gevolgen van een cyberincident dan ICT-mensen. Het mkb realiseert zich vaak niet waar de dreigingen liggen. Een cyberaanval kan direct het businessmodel van het bedrijf kapen waardoor de inkomsten verdampen. De bewustwording dat cybersecurity belangrijk is voor de continuïteit van het bedrijf moet nog komen. We moeten er niet bang voor zijn, maar er wel over nadenken, aldus Holterman.
Betere communicatie
De boardroom is zich vaak wel bewust van gevaren, maar ook onbekwaam, weet Holterman. Betere communicatie tussen board en ICT is daarom verstandig. De board houdt zich bezig met risico’s, schade en reputatie en de ICT met het tactisch operationeel niveau. Om van elkaar te kunnen leren, moeten bedrijven open zijn over wat gaande is. Een fysieke inbraak deel je wel, maar een digitale inbraak zie je niet. De prikkel om te investeren in cybersecurity is bij anderen dan minder. Vaak zijn verbeteringen simpel, bijvoorbeeld een veilige VPN-verbinding op werklaptops of investeren in onbeperkte data, zodat werknemers elders niet op de wifi hoeven.
Het nieuwe goud
Nederland ICT had in de aanloop naar de meldplicht datalekken veel contact met de Autoriteit Persoonsgegevens (AP) die toezicht houdt op de wettelijke naleving van bescherming van persoonsgegevens. De Wet bescherming persoonsgegevens zegt dat bedrijven hun beveiligingsniveau moeten aanpassen aan de omgeving waarin zij opereren en het soort gegevens dat zij verwerken. Met de meldplicht datalekken loopt Nederlandse wetgeving voor op een Europese verordening die in 2018 ingaat. Udo Oelen, hoofd toezicht private sector bij de AP, noemt data het ‘nieuwe goud’ dat je goed en adequaat moet beveiligen. “Los van de wettelijke verplichting zouden organisaties al goed met data moeten omgaan om imagoschade te voorkomen.”
Hoge boetes
Dit jaar ontving de AP 1600 datalekmeldingen. Dat is minder dan verwacht, want er zijn 130 duizend bedrijven met persoonsgegevens. Oelen ziet een aantal grote bedrijven met regelmaat zaken melden, maar een aantal organisaties ook af en toe. Hij vraagt zich af of het mkb wel weet dat zij datalekken moeten melden en of zij zich voldoende bewust zijn van het belang van beveiliging. Volgens Oelen is de beveiliging van medische gegevens vaak onvoldoende. Die gaan zonder beveiligde verbindingen over internet, terwijl dat vrij eenvoudig te verhelpen is.
Na een melding onderzoekt de AP of beveiligingsmaatregelen wel voldoende waren en of de getroffen mensen wel zijn geïnformeerd. De AP kan boetes uitdelen tot 820 duizend euro en straks met de Europese regels tot 20 miljoen of 4 procent van de wereldwijde jaaromzet. Voorlopig is de AP daarmee nog terughoudend. “Maar er komt een moment dat het speelkwartier voorbij is.”