Cybersecurity & privacy: tips om miljoenenboetes te voorkomen

Onze afhankelijkheid van digitale systemen wordt groter en complexer. “Maar we gaan nog altijd slordig om met onze digitale veiligheid, vooral op de werkvloer”, zegt Teun Vink, Security Officer bij zakelijk internetservice provider BIT (links op de foto). “Als het aankomt op cybersecurity, schuiven we de verantwoordelijkheden graag richting de IT-afdeling. Er heerst een soort passiviteit en een houding van ‘IT zorgt wel dat ik veilig ben’.”

De werknemer als zwakste schakel

Meer dan de helft van de medewerkers ziet zichzelf dan ook als de zwakste schakel binnen de beveiliging van een werkcomputer, blijkt uit onderzoek van BIT en Markteffect. Opvallend is dat werknemers privé een stuk voorzichtiger met hun bestanden en gegevens omgaan.

“Ook dat heeft te maken met het feit dat ze er op vertrouwen dat de IT- afdeling het wel regelt”, zegt Vink. 92% van de werknemers heeft het volste vertrouwen in de beveiliging die de werkgever heeft geïnstalleerd, ze gaan er vanuit dat ze zelf niets meer hoeven te doen aan de veiligheid van bedrijfsgevoelige data en informatie.

Algemene Verordening Gegevensbescherming

De wet is er duidelijk over. Vanaf mei 2018 gaat in de hele Europese Unie de Algemene Verordening Gegevensbescherming (AVG) in. Vanaf dat moment kan niemand zich meer slordigheden permitteren of verschuilen achter de IT-afdeling. Met de nieuwe wet moet er meer controle komen over de data-economie en worden de privacyrechten van consumenten beter beschermd. Er wordt meer nadruk gelegd op de verantwoordelijkheden van de organisaties zelf.

Privacy

Bedrijven die data verzamelen en verwerken moeten daarom aan nieuwe regelgeving voldoen. Zo moeten ze hun klanten beter informeren over wat er met hun gegevens gebeurt en zijn ze verplicht om datalekken te melden.

”Wordt er een onderzoek ingesteld, dan moet je bewijzen dat je er alles aan hebt gedaan om het lek te voorkomen”, legt Bastiaan Bakker, Directeur Business Development bij Motiv ICT Security (rechts op de foto) uit. “Er is sprake van een omgekeerde bewijslast. Acht de Autoriteit Persoonsgegevens je schuldig, dan krijg je een aantekening en een flinke boete die oploopt tot een aantal procent van de jaaromzet van je onderneming. Dat kan dus gaan om miljoenen. Daarnaast moet je het probleem fixen en loop je flinke reputatieschade op.”

Cybersecurity

Phishing, onwetendheid of slordigheid: er zijn talloze risico’s die een bedreiging kunnen vormen voor de onderneming. “Volledige beveiliging is ontzettend moeilijk, er bestaat geen ‘magic bullet’ die voor iedereen werkt. De kunst is om de risico’s en impact te verkleinen. Krijg de basis op orde. Zorg dat systemen up to date zijn, hanteer een strikt software- en wachtwoordbeleid en wis altijd de accounts van vertrokken medewerkers.”

Dat laatste is volgens Vink één van de grootste missers onder werkgevers: “Personeel vertrekt en er wordt niet nagedacht over waar de werknemer allemaal bij kan. Wat voor autorisaties heeft die persoon? Heeft hij de sleutels ingeleverd? Is hij gesynchroniseerd met de cloud? Het is zaak om dit allemaal na te gaan en tijdig ‘alle deuren te sluiten’.”

Dunne scheidinglijn werk en privé

Nu we online overal bij kunnen, zijn de grenzen tussen zakelijk en privé een stuk minder duidelijk dan vroeger. Vink: “Werknemers kunnen op afstand bij bedrijfsgevoelige documenten en de zakelijke mail komt binnen op de privételefoon: hoe weet je als baas zeker dat een werknemer een zakelijke mail met gevoelige informatie niet open en bloot in de kroeg leest?”

Of wat dacht je van onoplettendheid. In het tweede kwartaal van 2017 kreeg de Autoriteit Persoonsgegevens ruim 2300 nieuwe meldingen van datalekken. In 45% was er sprake van eigen slordigheid: mensen hadden zelf een email of brief met gevoelige informatie naar de verkeerde ontvanger gestuurd. In 6% van de gevallen was het lek een gevolg van phishing.

Bewustwording

Wil je voorkomen dat het bedrijf te maken krijgt met datalekken en torenhoge boetes door zaken als onoplettendheid of phising, dan is het belangrijk om bewustwording te creëren. “Ga het gesprek met je personeel aan, train ze op het herkennen van een phishingmail en maak ze bewust van de gevolgen van een datalek”, zegt Vink. “Zijn mensen zich bewust van de risico’s, dan maak je het bedrijf al een stuk weerbaarder.”

Volgens Vink moeten werkgevers wel oppassen dat beveiliging geen blok aan het been wordt. “Het is funest om een regime op te stellen dat volledig is gefocust op de beveiliging van systemen, maar geen rekening houdt met de werkbaarheid. Weinig is zo demotiverend als het neergooien van een set regels. Laat medewerkers zelf meedenken. Betrek je ze, dan voelen ze zich verantwoordelijk.”

IT-contracten uitbesteden

In de voorbereiding op mei 2018 raadt Bakker ook aan om alle IT-contracten eens goed door te lichten: “De meeste ondernemers hebben IT uitbesteed. Check de contracten en gemaakte afspraken goed. Maakt een dataverwerker een fout dan is niet hij, maar de ondernemer aansprakelijk.”

De nieuwe wet moet er voor zorgen dat bedrijven en overheden bewuster omgaan met privacygevoelige informatie. “De ene dataverwerker zal maximale beveiliging verlenen, een andere provider doet niets. Bedenk dus goed aan wie jij de data toevertrouwt en maak een bewuste keuze, die niet alleen is gebaseerd op de kosten. De belangrijkste vraag bij het uitbesteden van IT is: doet deze dienstverlener er alles aan om een datalek te voorkomen?”

Datalekfilter

Daarnaast is het volgens Bakker raadzaam om je te verdiepen in de technische mogelijkheden. “Bijna alle bedrijven hebben tegenwoordig wel een spamfilter of anti-virus software, maar overweeg eens een datalekfilter. Zo’n filter scant bijvoorbeeld alle verzonden mailtjes op privacygevoelige eigenschappen als een burgerservicenummer of bankrekeningnummer. Volgens onderzoeksbureau Gartner heeft 85% van de bedrijven in 2020 zo’n filter.”

Bewaar tot slot alle handelingen rondom privacygevoelige informatie en data in een logboek. Bakker: “Je kan beter zeggen ‘daar is het misgegaan’, dan volledig in het duister tasten.”