Ja, uw gegevens zijn wél interessant voor hackers

maandag 16-04-2018

U heeft de afgelopen tijd wellicht al eens gelezen over de Algemene verordening gegevensbescherming (AVG). En gedacht: het zal mijn tijd wel duren, want de gegevens die wij hebben zijn niet interessant voor hackers. Niets is echter minder waar: álle persoonsgegevens zijn interessant voor hackers. En niet voldoen aan de nieuwe AVG kan u vanaf 25 mei heel veel geld kosten.

Wat is de AVG?

De AVG vervangt de Wet bescherming persoonsgegevens. Nadat de AVG op 25 mei in werking is getreden, heeft u als ondernemer meer verplichtingen bij het verwerken van persoonsgegevens. Persoonsgegevens zijn álle gegevens van uw cliënten en uw medewerkers: niet alleen naam, adres en woonplaats, maar ook telefoonnummer, bankrekeningnummer, nummers van paspoort, rijbewijs en identiteitsbewijs, nationaliteit, godsdienst, gezondheidsgegevens etc. De AVG legt meer nadruk op uw verantwoordelijkheid om aan te tonen dat u zich aan de wet houdt: de verantwoordingsplicht. U moet met documenten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

Wat moet u doen?

De AVG eist van u dat u inventariseert welke persoonsgegevens u (digitaal of op papier) heeft opgeslagen op kantoor, thuis of op een andere locatie.
Sommige gegevens mogen niet meer bewaard en moeten vernietigd worden. In het geval van papier is gewoon verscheuren en in de papierbak kieperen niet voldoende!
Andere gegevens mag u wel bewaren, maar dan moet u wel vastleggen waarom u deze bewaart en welke bewaartermijn u hanteert.
Uw hard- en software moeten voorzien zijn van technische beveiliging, zoals een firewall of tweetrapsverificatie.
Ga bij uw salarisadministrateur na of de salarisstroken via een online omgeving kunnen worden verstrekt. Dat is veiliger dan per post of e-mail.
Oude dossiers, bijvoorbeeld van oud-klanten of ex-medewerkers, moeten worden verwijderd en/of vernietigd.
U moet uw personeel instrueren over hoe om te gaan met inlogcodes, de gevaren van valse e-mails, het gebruik van internet op de werkplek, hoe te handelen in geval van een datalek etc.
U moet met al uw bewerkers (zoals systeembeheerders, digitale opslagfaciliteiten zoals externe serveropslag of clouddiensten, accountants, loonadministrateurs) verwerkersovereenkomsten afsluiten.
Uw website moet vermelden dat er gebruik wordt gemaakt van cookies en hoe uw bedrijf
hiermee omgaat.
Stuurt u een nieuwsbrief aan uw klanten? Dan zijn hier ook nieuwe regels voor.
U moet een protocol opstellen waarin staat welke stappen u zet bij een datalek.
Als er een datalek is, moet u dat binnen de vereiste termijn melden bij de Autoriteit Persoonsgegevens.
Last but not least: van al de stappen die u onderneemt, moet u een register bijhouden dat bij controle door de Autoriteit Persoonsgegevens of na een datalek overlegd kan worden.

De gegevens die mijn bedrijf heeft, zijn toch niet interessant?

Niets is minder waar. Alle persoonsgegevens zijn geld of bitcoins waard op het darkweb, de digitale wereld waarin gehackte persoonsgegevens verkocht worden om bijvoorbeeld met valse e-mails toegang te krijgen tot computers en bankrekeningen. De e-mails worden met behulp van de gekochte data dermate persoonlijk gemaakt dat de ontvanger er vanuit zal gaan dat het hier om een bericht van een betrouwbare partij gaat. Ook ransomware – het ‘gijzelen’ van gegevens waarna losgeld in bitcoins moet worden betaald – komt trouwens veel voor.

Onderschat de risico’s niet

Veel ondernemers onderschatten de risico’s die ze lopen en doen daarom niets. Want je kop in het zand steken is natuurlijk gemakkelijker dan maatregelen nemen – die ook nog eens veel geld kunnen kosten. Maar steeds meer kleine ondernemers worden slachtoffer van cybercrime, bijvoorbeeld deze fotostudio in Goes. Immers: als grote partijen zoals banken, verzekeraars en de Belastingdienst steeds moeilijker te hacken zijn, wijkt men uit naar partijen waar dit iets gemakkelijker is – de kleinere bedrijven!

Strengere eisen, hogere boetes

U ziet: het is allemaal niet mis. Naast uw andere administratieve verplichtingen komt dit er ook nog eens bij. En de boetes wanneer u hier niet aan voldoet, zijn niet mals! U wilt dus zeker aan deze regelgeving voldoen! Uw branche-organisatie kan u hierbij helpen, maar ook op de website van de Autoriteit Persoonsgegevens vindt u meer informatie.

Doe mij maar een polisje

Bijna alles is te verzekeren. Zo ook cybercrime. Met zo’n verzekering dekt u uw aansprakelijkheid af in het geval van een hack of een datalek (dit valt namelijk niet onder uw bedrijfs- of beroeps-aansprakelijkheidsverzekering), worden kosten vergoed wanneer u na een datalek of een cyberaanval uw gegevensbeheer weer op de rit moet krijgen en doet zelfs soms ook een uitkering wanneer de Autoriteit Persoonsgegevens u een boete oplegt.

Maar… zo’n verzekering keert alleen uit wanneer blijkt dat u er alles aan hebt gedaan om de risico’s op een hack of datalek te verkleinen overeenkomstig de eisen van de AVG. Daarbij komt dat dit soort verzekeringen onderling heel erg van elkaar verschillen. Wij adviseren daarom op zo kort mogelijke termijn opvolging te geven aan de regels van de AVG. Pas daarna kunt u een afweging maken of u het risico dat uw bedrijf nog loopt, zelf wil en kan dragen of dat u hiervoor een verzekering wenst af te sluiten.