Cybercrime en meldplicht bij datalekken

Cybercrime en meldplicht bij datalekken

 

Cybercrime123Digitale ontwikkelingen gaan snel en het risico dat een cyberincident zich voordoet is groot. Zo stonden de kranten in de afgelopen jaren vol met cyberincidenten. Denk aan DDoS aanvallen die websites of netwerken platlegden (ING, DigiD, Ziggo, PlayStation), persoonlijke informatie en wachtwoorden die op straat kwamen te liggen (Vtech), het online zetten van namen, creditcard gegevens en IP-adressen (datingsite Ashley Madison) en bedrijven die gechanteerd werden op straffe van het openbaar maken van informatie (Sony en de film ‘The Interview’) om zomaar wat voorbeelden te noemen.

Cyberincidenten kunnen ontstaan door een moedwillige aanval van buitenaf (bijvoorbeeld een virus, DDoS-aanval of hack), een al dan niet opzettelijke menselijke fout  (bijvoorbeeld verlies van een USB-stick) of technisch falen van eigen of externe IT-systemen, servers, hard- en software.

Deze incidenten kunnen leiden tot een verlies van of beschadiging aan data, (on)toegankelijkheid van systemen, aansprakelijkheid, bedrijfsschade, afpersing en boetes. Kortom, de financiële gevolgen als gevolg van een cyberincident zijn vaak groot. Geschat wordt dat cybercrime de Nederlandse economie jaarlijks zo’n EUR 8,8 miljard kost.

 

Invoering meldplicht datalekken

De Wet bescherming persoonsgegevens (Wbp) is per 1 januari 2016 op een aantal punten gewijzigd. De meest besproken wijziging ziet toe op de invoering van de zogenaamde meldplicht bij datalekken. Daarnaast biedt de wet de mogelijkheid om bestuurlijke boetes op te leggen bij overtreding van de meldplicht datalekken.

De Autoriteit Persoonsgegevens heeft beleidsregels voor de meldplicht datalekken opgesteld. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. De meldplicht geldt alleen als de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of een aanzienlijke kans daarop. Van een meldplicht zal eerder sprake zijn bij een gerichte hack dan bij verlies van een USB-stick. In het laatste geval is het heel goed mogelijk dat de gegevens nooit door een derde worden bekeken. Zijn de gelekte gegevens evenwel van gevoelige aard, dan zal dat vrijwel altijd aanleiding zijn om te melden.

De melding dient te worden gedaan aan de Autoriteit Persoonsgegevens via het meldloket datalekken. Daarbij dient niet alleen te worden gemeld om wat voor inbreuk het gaat en welke (mogelijke) gevolgen die heeft, maar ook welke maatregelen zijn en/of worden genomen om de gevolgen te verhelpen. Indien de inbreuk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon waar de gegevens betrekking op hebben, dan moet ook de betrokkene in kennis worden gesteld van het lek. Indien gelekte gegevens (afdoende) versleuteld zijn, hoeft geen melding te worden gemaakt aan de betrokkene, maar wel aan de Autoriteit persoonsgegevens.

Sinds de invoering van de meldplicht datalekken per 1 januari 2016 zijn er bij de Autoriteit Persoonsgegevens ongeveer zevenhonderd meldingen binnengekomen.

 

Boetes bij overtreding meldplicht datalekken plus extra kosten

De Wet bescherming persoonsgegevens kent sinds de wijziging ook de mogelijkheid om bestuurlijke boetes op te leggen bij overtreding van de meldplicht datalekken. Deze boetes kunnen onder andere opgelegd worden voor:

  • het niet melden van een datalek terwijl dit wel moet;
  • het niet op orde hebben van de beveiliging;
  • het verwerken van persoonsgegevens zonder toestemming;
  • export van persoonsgegevens naar landen buiten de EU zonder dat goed geregeld te hebben.

De boete kan wel oplopen tot € 820.000,00 of 10% van de jaaromzet per overtreding.

Daarnaast kunt u ook te maken krijgen met andere kosten. Denk hierbij aan kosten voor:

  • het vaststellen van de oorzaak van een inbreuk of verlies van gegevens;
  • het opnieuw configureren van netwerken, het herstel van de beveiliging van gegevens en systemen;
  • verweer tegen aanspraken van derden;
  • bedrijfsstilstand door een netwerkonderbreking van het computersysteem;
  • het op de hoogte stellen van betrokkenen;
  • het herstellen van reputatieschade;
  • betaling van losgeld in geval van afpersing.

 

Cybercrime verzekeren?

Na een cyberincident is er meestal geen materiële schade, terwijl er toch gegevens verdwenen of beschadigd zijn. Traditionele verzekeringen zoals brand-, aansprakelijkheid- en diefstalverzekeringen bieden doorgaans geen of slechts een beperkte dekking waardoor een cybercrimeverzekering van toegevoegde waarde kan zijn.

Wij raden u aan om eerst zelf de risico’s te beoordelen en zoveel mogelijk preventieve maatregelen te nemen. Hierbij kunt u denken aan:

  • de fysieke veiligheid van de hardware binnen het bedrijf;
  • het up-to-date houden van het antivirusprogramma en de firewall;
  • het regelmatig controleren of er poorten openstaan die een kwetsbaarheid kunnen vormen;
  • het regelmatig controleren op virussen, spyware en andere soorten malware;
  • de toegangsbeveiliging van alle computers binnen het netwerk;
  • beveiliging van het draadloos netwerk;
  • het regelmatig maken van back-ups en het bewaren van de back-ups op een veilige plaats;
  • een (extra) back-up die buiten het bedrijf wordt opgeslagen;
  • het bijbrengen van beveiligingsbewustzijn bij alle medewerkers;
  • het beschermen van dataverkeer dat lokaal door medewerkers wordt gebruikt;
  • het monitoren en analyseren van data(patronen);
  • het opstellen van een crisisplan;
  • het oefenen van een crisis.

Er zijn diverse verzekeraars die een cybercrimeverzekering aanbieden . De dekkingselementen bestaan over het algemeen uit:

  • aansprakelijkheid;
  • kosten voor verdediging en verweer;
  • forensische en juridische onderzoekskosten;
  • kosten voor crisismanagement;
  • kosten voor reconstructie van data;
  • kosten voor notificatie;
  • bestuurlijke boetes in verband met de verwerking van persoonsgegevens;
  • bedrijfsstilstand door een netwerkonderbreking van het computersysteem;

Wilt u meer informatie over een cybercrimeverzekering of in contact worden gebracht met een externe consultant op het gebied van cybersecurity? Raadpleeg dan uw accountant of neem contact met ons op, wij helpen u graag verder.