Breng je cyberrisico’s in kaart

Je bent ondernemer en je systeem wordt gehackt. De gegevens van al je klanten met e-mailadressen en rekeningnummers waren niet versleuteld en liggen dus op straat. Sinds 1 januari 2016 geldt de Meldplicht Datalekken en ben je verplicht om het lek te melden bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) én bij al je getroffen klanten. Als je dit nalaat kun je forse boetes verwachten. En hoeveel klanten zal dit je gaan kosten?

MKB onderschat cybercrime
Cybercrime is hard op weg om de grootste bedreiging te worden voor bedrijven en organisaties. Niet alleen multinationals lopen hoge risico’s, ook steeds meer MKB-bedrijven worden slachtoffer. Juist deze ondernemers onderschatten massaal het risico van digitale dreigingen zoals een cyberaanval, diefstal of uitval van ICT-systemen. Zeven van de tien ondernemers denken dat hun bedrijf geen cyberrisico loopt.

Wat is een datalek?
De overheid reageert op de toenemende cyberrisico’s met nieuwe wet-en regelgeving zoals de Meldplicht Datalekken die sinds 1 januari geldt. Bij een datalek kun je denken aan het verlies van een USB-stick met persoonsgegevens, het onbedoeld delen van persoonsgegevens door een van je medewerkers of een hack waarbij persoonsgegevens buit gemaakt worden.

Ook het (per ongeluk) verwijderen van persoonsgegevens of verlies daarvan door schade (zoals brand) waarbij geen back-up beschikbaar is, vallen binnen de categorie datalekken. Als ondernemer ben je ook verantwoordelijk als het lek elders plaatsvindt. Denk aan de salarisadministratie die je uitbesteed hebt aan een administratiekantoor. Als daar een hack plaatsvindt ben jíj als ondernemer verantwoordelijk.

Meldplicht binnen 72 uur
Een lek moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Je bent ook verplicht om de betrokken personen in te lichten over het datalek wanneer het lek nadelige gevolgen voor hen heeft. Denk bijvoorbeeld aan de schade die aangericht wordt wanneer een database verloren gaat met daarin persoonlijke gegevens van duizenden gebruikers van een datingsite. Wordt je systeem gehackt maar waren de gegevens versleuteld dan hoef je geen melding te maken.

Fikse schade voor je bedrijf
Maak je geen tijdige melding dan loopt je bedrijf fikse schade op. Het gaat je geld kosten in de vorm van boetes, denk aan een boete van 10% van je omzet met een maximum van € 820.000,-. Maar de meeste kosten zitten veelal in de gevolgen en de nasleep van het cyberincident. Zaken als dataherstel en bedrijfsstagnatie eisen hun tol.

Spelregels veranderd
Met de intrede van de Meldplicht Datalekken zijn bovendien de spelregels zijn veranderd. Voorheen kon je als ondernemer je problemen intern oplossen. Nu je verplicht bent om je klanten in te informeren over een datalek komt een cyberriskincident op straat te liggen. De reputatieschade die hier het gevolg van is, kan wel eens de nekslag betekenen voor je bedrijf. Een cyberincident kan de bedrijfscontinuïteit dus ernstig bedreigen en in de ergste gevallen leiden tot een faillissement.

Preventiemaatregelen
Met preventiemaatregelen kun je die (gevolg)schade enorm verkleinen. Denk bij preventiemaatregelen aan het versleutelen van gegevens en toegangsbeveiliging van je systemen, het maken van veilige backups en het opleiden van personeel dat persoonsgegevens moet verwerken. Ook verzekeringstechnisch zijn er mogelijkheden. Je kunt je verzekeren tegen reputatieschade en kosten zoals dataherstel, boetes en netwerkonderbreking. Ook je aansprakelijkheid voor schending van privacy door bijvoorbeeld een beveiligingslek kun je afdekken.
 
Meer weten over het afdekken van cyberrisico’s binnen jouw bedrijf?
Neem dan contact met me op!
Michel Bergman