Zorgplicht voor Cybersecurity

Van hacks tot digitale lekken: steeds vaker staat cybersecurity op een alarmerende manier in het nieuws. Vorige week nog meldde EU-voorzitter Juncker dat tachtig procent van de Europese bedrijven minimaal één incident met betrekking tot internetveiligheid heeft ervaren! Als vCIO maak ik het bespreken van cybersecurity met mijn klanten dan ook tot een prioriteit. Helaas merk ik dat veel mkb-organisaties het onderwerp naast zich neerleggen, ondanks het feit dat digitale veiligheid verplicht is. En als ze dan met de gevolgen van een cyberaanval te maken krijgen, is het te laat.

Wat is cybersecurity eigenlijk precies?

Cybersecurity gaat verder dan een firewall of dataencryptie. Het begrip ‘cybersecurity’ bestaat uit de volgende drie aspecten:

  • Beschikbaarheid: je ICT is beschikbaar en je zorgt ervoor dat (geautoriseerde) gebruikers toegang hebben tot het systeem.
  • Integriteit: je verwerkt gegevens volledig en correct. Dit doe je middels goed werkende processen die eenvoudig te controleren zijn.
  • Vertrouwelijkheid: niet iedereen kan bij je ICT en gegevens. Je hebt de juiste mensen hiervoor geautoriseerd.

Een beveiligingsincident schuilt in een klein hoekje

Een werknemer verliest zijn usb-stick. Een laptop raakt weg. Een verouderd systeem heeft een kwetsbaarheid. Een wifinetwerk is niet goed geconfigureerd. Onbevoegden krijgen een wachtwoord in handen en zien persoonsgegevens in. Een malware-aanval legt je ICT-systeem plat. Door een stroomstoring kun je niet meer bij je gegevens…

Zo kan ik nog wel even doorgaan. Het punt is: beveiligingsincidenten ontstaan snel en brengen cybersecurity in gevaar. Het is dus zaak dat jij als mkb’er de nodige maatregelen treft. Dat is niet vrijblijvend; het is verplicht.

Verantwoordelijk voor andermans veiligheid

Een beveiligingsincident tast de bedrijfsvoering en de reputatie van je bedrijf aan. Omdat veel bedrijven deel uitmaken van een keten, kan een beveiligingsincident ook de bedrijfsvoering van jouw leveranciers, opdrachtnemers of doorverkopers verstoren. Andersom kan je bedrijfsvoering ook afhankelijk zijn van hun cybersecurity – los van de potentiële impact op natuurlijke personen als privacygevoelige in verkeerde handen terechtkomt. Volgens de huidige wetgeving én de op handen zijnde Algemene Verordening Gegevensbescherming (AVG) moet ieder bedrijf dus zorgen voor een adequate digitale beveiliging. Voldoe je niet aan je zorgplichten, dan kan je aansprakelijk worden gesteld – met een boete en imagoschade tot gevolg.

Hoe voldoe je aan je zorgplicht?

Ik raad je aan om advies in te winnen bij een specialist, want cybersecurity is een vak. Maar hierbij alvast een aantal belangrijke aanwijzingen die de Autoriteit Persoonsgegevens voorschrijft:

  1. Blijf niet te lang werken met verouderde apparatuur. Investeer tijdig in nieuwe hard- en software. Zorg dat deze correct zijn geconfigureerd en direct worden bijgewerkt zodra er een update beschikbaar is.
  2. Neem maatregelen tegen virussen, malware en ongeautoriseerde toegang.
  3. Stel een helder beveiligingsbeleid en ICT-reglement op voor je medewerkers en zorg dat je de naleving hiervan kunt monitoren.
  4. Inventariseer (privacy)gevoelige data binnen je bedrijf. Waar staan deze, wat wordt ermee gedaan, wie kan erbij en hoe zijn ze beveiligd? Beperk de verspreiding van en toegang tot persoonsgegevens tot een minimum.
  5. Indien jouw bedrijf persoonsgegevens door een andere partij laat verwerken, sluit je een overeenkomst. Hierin wordt de andere partij onder andere verplicht om te zorgen voor cybersecurity.
  6. Stel een adequate procedure op voor het melden, oplossen en opvolgen van beveiligingsincidenten.
  7. Maak iemand verantwoordelijk voor digitale beveiliging en privacy en controleer regelmatig alle beveiligingsmaatregelen.

Heb je geen tijd of beschik je niet over de middelen om dit zelf op te pakken? We helpen je graag. Bij Campai doen we méér dan IT-omgevingen leveren en beheren. We helpen je bij het opzetten, uitvoeren en monitoren van je beveiligings- en privacybeleid. Daarnaast hebben we een transparant proces om je volledige bedrijf periodiek te controleren op best practices en compliance met wettelijke verplichtingen.