Datalekken kan een ondernemer de kop kosten

  • Geschreven door Victor Visser
Datalekken kan een ondernemer de kop kosten

Het komt helaas steeds meer voor: hackers die gegevens over klanten en medewerkers van bedrijven weten te bemachtigen. Of een USB-stick met gevoelige informatie die op de achterbank van een taxi wordt vergeten. Dergelijke incidenten zijn op zich al vervelend genoeg. Maar sinds 1 januari 2016 kan het ook nog extra nadelige financiële schade opleveren in de vorm van een boete opgelegd door de Nederlandse overheidsinstantie Autoriteit Persoonsgegevens. Want sinds begin dit jaar is er een wettelijke meldplicht voor organisaties als er sprake is van een zogenoemd ‘datalek’. Wie dat achterwege laat, kan een sanctie krijgen van maximaal 820.000 euro.

Meldplicht bij datalek

Een gemiddelde onderneming heeft zomaar honderden tot duizenden bestanden waarin persoonsgebonden informatie staat, zoals namen en contactinformatie van klanten, toeleveranciers en medewerkers. De afdeling boekhouding legt daar nog een schepje bovenop met allerhande financieel getinte informatie: van bankrekeningnummers tot het betalingsgedrag van klanten. Als dit soort gegevens via een ‘ernstig datalek’ op straat komen te liggen, dan is de onderneming verplicht dat te melden bij de Autoriteit Persoonsgegevens (AP). Ook anderen dan de officiële vertegenwoordigers van een organisatie kunnen overigens aangifte doen. De overheidsinstantie slaat alle binnengekomen meldingen op zijn beurt op in een register dat niet openbaar is.

Europese regelgeving nog strenger

Ook de Europese Unie heeft onlangs regelgeving over datalekken ingevoerd. Die is zo mogelijk nog strenger dan die van de Nederlandse overheid. De Europese ‘General Data Protection Regulation’ (GDPR) is met name bedoeld voor organisaties die grote hoeveelheden data verzamelen en bewerken, zoals cloud providers. Dat soort bedrijven of overheidsinstanties moeten aantoonbaar hun cybersecurity op orde hebben en worden in veel gevallen zelfs verplicht een speciale ‘Data Protection Officer’ aan te stellen: iemand die zich alleen bezighoudt met het bewaken van de databeveiliging. Wie in de overtreding gaat (door het niet voorkomen of binnen 72 uur melden van een datalek) kan een boete krijgen die varieert van 2 tot 4 procent van de jaaromzet van het bedrijf of de overheidsorganisatie. En dat is geen sinecure.

Veilig in de cloud

‘Voorkomen is beter dan genezen’, het is een cliché maar daarom niet minder waar. Zeker als het gaat om datalekken. Voor ondernemers is het essentieel om de cybersecurity goed te hebben geregeld. Ook moet het personeel heldere richtlijnen en procedures op dat gebied meekrijgen. Al met al zijn het zaken waar een DGA normaliter liever geen tijd aan besteed. Het kan ook makkelijker én kosteneffectiever worden opgelost. Bijvoorbeeld door de bedrijfsapplicaties en -data bij een cloud provider te stallen. Dat soort bedrijven zijn immers gespecialiseerd in ICT en investeren jaarlijks grote bedragen in cybersecurity en het up to date houden van de kennis over de technologieën die door cybercriminelen worden gebruikt. Ontslaat dat een ondernemer van alle verantwoordelijkheid? Helaas niet. De werknemers moeten nog steeds worden doordrongen van het belang van de manier waarop er met bedrijfs- en klantgegevens wordt omgesprongen. Maar als het gaat om de ICT-technische kant van de zaak: die is dan in goede handen. Al was het maar omdat de cloud provider rekening moet houden met een Nederlandse én een Europese boete als hij zijn cybersecurity niet op orde heeft.

In onderstaande gratis ebook staat veel goede informatie voor veiliger ondernemen.

Ebook Veiliger Ondernemen

 

Scroll