Vanaf mei 2018 zijn bedrijven aansprakelijk bij een datalek of cybercrime. Boetes hiervoor kunnen oplopen tot vier procent van de wereldwijde jaaromzet.

Automatische tools om te hacken of een framework om te scammen: de middelen van cybercriminelen worden steeds geavanceerder. Cybercrime heeft zich de afgelopen jaren flink geëvolueerd, vandaag de dag is het echt een slimme en professionele business’, vertelt Mark Tibbs, intelligence manager bij het Britse bedrijf Digital Shadows. ‘Het zijn professionele bedrijven met alles erop en eraan, van reclamespot tot klantenservice. Ook zien we steeds meer specialisme en zelfregulatie.’

Cybersecurity

Hoe geavanceerder de criminele middelen, hoe urgenter het wordt het bedrijf te wapenen tegen cybercrime en datalekken. Zeker met het oog op de komst van de GDPR, oftewel de Algemene Verordening Gegevensbescherming, in mei 2018. Vanaf dat moment riskeren bedrijven torenhoge boetes bij een datalek. ‘Dat kan oplopen tot vier procent van je wereldwijde jaaromzet’, zegt Jochem de Groot, directeur Corporate Affairs van Microsoft.

Met de nieuwe wet moet er meer controle komen over de data-economie en worden de privacyrechten van consumenten beter beschermd. Organisaties hebben straks een grotere verantwoordelijkheid over de manier waarop ze met data omgaan. Bedrijven moeten voldoen aan de nieuwe regelgeving, hun klanten beter informeren over wat er met hun gegevens gebeurt en het is straks verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Is er sprake van een datalek of cybercrime, dan is een bedrijf aansprakelijk.

Ongrijpbaar monster

Gezien de ontwikkeling van technologie is deze wet hard nodig’, zegt de Groot. ‘De oude wet stamt nog uit 1995, toen het internet nog in de kinderschoenen stond en mensen alleen een vaste telefoon hadden. De nieuwe wetgeving is nodig om met alle ontwikkelingen mee te kunnen groeien. Zeker gezien het feit dat we met steeds meer data te maken krijgen.’

Maar door sommige bedrijven wordt cybersecurity als een groot ongrijpbaar monster gezien. ‘Bedrijven zouden de nieuwe wet juist moeten zien als een mooi kader. Het is een handige stok achter de deur en biedt de kans om de datahuishouding eens echt goed op orde te krijgen. Het is zelfs manier om je te onderscheiden ten opzichte van andere bedrijven, gebruik het als marketing.’

GDPR compliance

Cybersecurity begint met bewustwording. Want niet alleen geavanceerde technologie van criminelen vormt een bedreiging. ‘Ook de ‘good guys’ zijn een probleem’, zegt Tibbs. Medewerkers trappen in phisingmails, hebben overal hetzelfde wachtwoord, gebruiken de cloud verkeerd en laten data achter op het open web. Uit onlangs gepubliceerd onderzoek van Fox-IT en Motiv blijkt bijvoorbeeld dat één op de vijf nog steeds op links in phisingmails klikt. Tibbs: ‘Bedrijven lopen zo onbedoeld grote risico’s. Bescherming hoeft niet altijd hightech te zijn, het begint bij een aantal simpele handelingen en gezond verstand.’

Volgens De Groot zijn dit de vier stappen naar GDPR-compliance:

#1 Analyseer

‘Breng in kaart welke persoonsgegevens er door je organisatie stromen en wie daar toegang tot heeft. Datalekken zijn niet altijd een IT-probleem, het is vaak ook een gevolg van menselijk handelen. Identificeer de gegevens die je verwerkt.’

#2 Beheer

‘Leg vast wie er wel en niet toegang krijgt tot bepaalde gegevens. Het is logisch dat een DGA meer toegang heeft dan een receptioniste.’ Bovendien kun je door gedegen beheer ook beter achterhalen waar een datalek vandaan komt.

#3 Bescherming

‘Gebruik encryptie, verschillende wachtwoorden die je regelmatig update en programma’s die bepaalde mails met info automatisch wissen. Zorg daarnaast dat je protocollen hebt. Wat doe je bij een datalek? Kan je achterhalen waar het vandaan komt en hoe voorkom je dat het nog een keer gaat gebeuren. De kans is groot dat je een keer te maken krijgt met een datalek, dan moet je een plan klaar hebben liggen.’

#4 Rapporteren

‘Maak transparant wat er met persoonsgegevens gebeurt, dat is ook één van de nieuwe verplichtingen van de GDPR. Krijg je te maken met een datalek, licht dan de organisatie en je klanten in. Ze kunnen het beter via jou horen dan er op een andere manier achter komen.’

Cultuur

‘Vind de zwakke plekken voor het een probleem wordt’, adviseert Tibbs. ‘Zorg ervoor dat de bedrijven waar je mee samenwerkt ook strikte regels rondom cybersecurity volgen. Heb jij je bedrijf nog zo goed beveiligd, dan kan het zo zijn dat de medewerkers of partijen waar je mee samenwerkt onzorgvuldig met de data omgaan’

‘Cybersecurity is niet één ding dat je doet, het is een cultuur’, zegt Tibbs. ‘Veel bedrijven gaan met inbreuk te maken krijgen. AAlleen al in 2017 ontdekten en rapporteerden wij 1600 datalekken voor onze klanten. Zorg daarom voor een strategie. Wat doe je als je te maken krijgt met een datalek? Hoe ga je het oplossen? En hoe communiceer je het intern, naar klanten en de buitenwereld? Het moet vanuit de boardroom de organisatie in stromen.’ De Groot is het daarmee eens: ‘Cybersecurity is echt een businessvraagstuk, waarvan de beslissingen op bestuursniveau genomen moeten worden.’


Bron: https://www.mt.nl/business/met-deze-vier-stappen-maak-je-de-organisatie-gdpr-proof/544131