Een op de drie mkb-bedrijven onbekend met privacyregels: onderzoek onderstreept risico's

Uit het onderzoek, uitgevoerd door bedrijfsconsultant Van Spaendonck, blijkt dat maar liefst 35 procent van de mkb-bedrijven niet op de hoogte is van de geldende regels voor het opslaan en delen van gegevens van zowel sollicitanten als personeel. Van Spaendonck benadrukt dat goede voorlichting en de inzet van online HR- en salarisapplicaties de risico's van onveilig gebruik van persoonsgegevens aanzienlijk kunnen verminderen.

Onveilige opslag van personeelsdossiers

Uit het onderzoek blijkt dat een zorgwekkende 55 procent van de respondenten gegevens van nieuwe medewerkers onveilig via e-mail verstuurt naar accountants- of administratiekantoren. Deze e-mails bevatten vaak persoonsgegevens, waaronder burgerservicenummers. Echter, tenzij e-mails versleuteld zijn, zijn ze niet veilig. Bedrijven lopen daardoor het risico dat deze e-mails met gevoelige informatie in verkeerde handen vallen, met mogelijke identiteitsfraude als gevolg. De Autoriteit Persoonsgegevens heeft op haar website duidelijk gemaakt dat het verzenden van persoonsgegevens via onbeveiligde e-mail niet meer is toegestaan.

Het onderzoek wijst verder uit dat 53 procent van de respondenten nog steeds (deels) fysieke personeelsdossiers gebruikt. Bij 11 procent van deze bedrijven worden deze dossiers niet eens op een afgesloten locatie bewaard, wat een potentieel risico vormt voor ongeautoriseerde toegang tot gevoelige informatie. Voor bedrijven met (gedeeltelijk) digitale dossiers blijkt dat ruim 60 procent van hen de gegevens bewaart op harde schijven of platforms zoals Google Drive. Deze opslagmethoden zijn minder veilig en vergroten de risico's van onbevoegde toegang of diefstal.

Onwetendheid over regels

Verontrustend is ook het feit dat bijna 48 procent van de respondenten niet op de hoogte is van de wettelijke bewaartermijnen voor personeelsgegevens. Dit leidt tot het onnodig lang bewaren van gegevens, wat in combinatie met gebrekkige databeveiliging resulteert in een verhoogd risico op het lekken van gegevens naar kwaadwillende partijen.

Het gebrekkige veiligheidsniveau bij het verzenden en bewaren van personeelsinformatie is deels te wijten aan onbekendheid met de relevante wet- en regelgeving. Opmerkelijk is dat 35 procent van de respondenten niet bekend is met de regels voor privacybewust en informatieveilig werken, terwijl 39 procent weinig tot geen aandacht besteedt aan privacy en informatiebeveiliging voor medewerkers. In 61 procent van deze gevallen is het zelfs onduidelijk wat er precies van het bedrijf verwacht wordt.

MKB vaker slachtoffer van cybercriminaliteit

Uit recent onderzoek onder klanten van ABN AMRO blijkt bovendien dat cybercriminaliteit een steeds groter probleem vormt voor het midden- en kleinbedrijf. Meer dan driekwart van de bedrijven heeft ervaring met cyberaanvallen, waarbij de toename onder mkb'ers met een jaaromzet van minder dan 10 miljoen opvallend snel gaat. In het afgelopen jaar was slechts 39 procent van de ondervraagde bedrijven doelwit van cybercriminelen, maar dit percentage is bijna verdubbeld naar 80 procent.

Deze cijfers tonen aan dat cyberaanvallen nu dieper zijn doorgedrongen in het mkb-segment dan in het grootbedrijf. Bij het grootbedrijf heeft 75 procent van de ondervraagden te maken gehad met cybercriminaliteit, terwijl dit percentage voor zzp'ers op 69 procent ligt.

Phishing meestvoorkomende cyberaanval

Binnen de verschillende vormen van cyberaanvallen komt 'phishing' het vaakst voor. Maar liefst 66 procent van de respondenten heeft hier ervaring mee. Bij deze aanvallen proberen cybercriminelen via e-mails, sms- of WhatsApp-berichten en telefoontjes mensen te verleiden handelingen uit te voeren die later schadelijk blijken te zijn. Ondanks dat phishing niet afhankelijk is van geavanceerde technologie, vertrouwt het op psychologische manipulatie en blijkt het een effectieve aanvalsmethode.

Cybercriminelen grijpen tegenwoordig ook naar nieuwe tools zoals artificial intelligence (AI), ofwel kunstmatige intelligentie. Met behulp van AI kunnen zij overtuigende phishing-mails schrijven. En met de gekloonde stem van een ceo aan de telefoon kunnen zij hun doelwit het laatste zetje geven om een grote overschrijving te doen naar een frauduleuze bankrekening.