Cybercrime, AVG en Privacy. Wat nu?
15-10-2018
Nagenoeg alle bedrijven , organisaties en instellingen zijn volledig afhankelijk van computersystemen , ICT-systemen en Internet. We werken massaal digitaal en de digitale risico’s die daarbij horen zijn erg dynamisch en complex geworden. Staat u nog voldoende stil bij onderwerpen als: Cybercrime, AVG en Privacy?
Cybercrime
Cybercriminaliteit is de snelst groeiende misdaadvorm van de laatste jaren. Steeds meer bedrijven ondernemen online activiteiten en het ‘internet of things’ leidt ertoe dat vrijwel alle apparaten verbonden zijn met internet. Hierdoor wordt de kans op online criminaliteit alleen maar groter. Ook de kans op verlies en diefstal van privacygevoelige gegevens neemt toe. Inbraak in systemen, verlies van bedrijfsgegevens: cybercrime vormt een fors financieel risico voor alle bedrijven. Cybercriminaliteit kost Nederlandse organisaties 10 miljard euro per jaar. Ruim 60% van ondernemend Nederland heeft ermee te maken gehad. Niet alleen grote bedrijven, ook steeds meer kleinere bedrijven worden het doelwit van cybercriminelen.
Cyberincidenten zijn de afgelopen jaren regelmatig in het nieuws geweest: gestolen wachtwoorden, gehackte accounts en DDoS-aanvallen op websites. Dergelijke incidenten hebben vaak financiële schade tot gevolg. Meer info is te zien/lezen op: https://www.rijksoverheid.nl/onderwerpen/cybercrime
Een cyberrisico heeft specifiek betrekking op het financiële nadeel dat een onderneming oploopt door of via computer- en/of ICT-systemen, zonder dat er sprake is van materiële schade. De drie voornaamste manieren waarop cyberrisico’s ontstaan zijn door een moedwillige aanval van buitenaf, een menselijke fout of door technisch falen. Deze incidenten kunnen verlies of beschadiging van data tot gevolg hebben, (on)toegankelijkheid van systemen, aansprakelijkheid, bedrijfsschade, afpersing en boetes.
Bedrijfsgegevens en persoonsgegevens kunnen in verkeerde handen terecht komen. Maak iedereen in de organisatie/onderneming bewust van de risico’s. Een goede informatiebeveiliging is erg belangrijk. Zorg dat systeem- en software-updates (patches) zo snel mogelijk na beschikbaarheid geïnstalleerd worden. Maak alleen gebruik van beveiligde draadloze netwerkverbindingen of van een vaste aansluiting. Installeer een virusscanner en een firewall. Gebruik moeilijk te raden wachtwoorden en wijzig deze regelmatig. Beveilig uw website met SSL-certificaat. Een SSL-beveiligde website is te herkennen aan de s in: ‘https://’ aan het begin van de URL van een website, een slotje in de adresbalk of een groene adresbalk.
Maak regelmatig Back-ups, klik niet op elke link of e-mail. Maak een dagelijkse back-up van gegevens, Koppel externe harddisk of NAS los na het maken van een backup, Beveilig uw backup-bestanden Doe een regelmatige controle van gemaakte back-ups.
Maak medewerkers ook bewust van de cyberrisico’s waar zij mee te maken kunnen krijgen en leer ze hoe ze deze risico’s kunnen signaleren en beperken. Meer info over preventie en beveiliging is te zien/lezen op:https://veiliginternetten.nl/bescherm-je-bedrijf-tegen-cybercrime/ en https://www.politie.nl/themas/cybercrime.html .
Cyberverzekering
Overweeg een cyberverzekering te sluiten. Met een cyberverzekering ben je doorgaans verzekerd tegen de gevolgen van systeeminbraak, digitale aansprakelijkheid, diefstal van privacygevoelige gegevens, hacking en afpersing.
Het is natuurlijk mogelijk dat een IT-systeem uitvalt door een hack of een virus. Toch is de kans dat de oorzaak bij intern menselijk handelen ligt, veel groter. Ook systeemupdates, verkeerde instellingen en zelfs stroomuitval kunnen leiden tot systeemuitval.
De meeste cyberverzekeringen beperken zich echter tot de vaak benoemde oorzaken, zoals virussen of hacks. Organisaties die hun IT-systemen uitbesteden aan gespecialiseerde IT bedrijven lopen extra risico. Want ook die systemen kunnen uitvallen. Tegemoetkoming voor eventuele bedrijfsschade wordt contractueel vaak afgedekt, waardoor er beperkt schade bij deze IT Bedrijven is te verhalen. De meeste cyberverzekeringen blijken te beperkt in hun reikwijdte.
Voor ‘zichtbare’ risico’s als brand, wordt een verzekering als ‘normaal’ gezien. Dit is begrijpelijk, aangezien een brand zeer impactvol kan zijn voor een onderneming. Kijkend naar de risico’s en de gevolgen van systeemuitval – wat ook een enorme impact op een onderneming heeft – is een verzekering hiervoor vaak niet zo vanzelfsprekend. IT systemen zijn bij veel organisaties immers minstens zo belangrijk en onmisbaar als fysieke gebouwen; langdurig uitval ervan kan ernstige gevolgen hebben.
De afhankelijkheid van IT-systemen is groot. Uitval ervan beïnvloedt niet alleen de medewerkers en het werkproces van de organisatie, het kan ook negatieve invloed hebben op klanten en de reputatie. Maar ook uitval bij leveranciers, andere dan IT dienstverleners, kan grote gevolgen hebben. Als een van de weinige verzekeraars in Nederland kent verzekeraar Chubb ook dekking voor de herstelkosten voor verlies van datagegevens en eigen schade/bedrijfsschade door stilvallen van activiteiten door stroomuitval, een spanningspiek of spanningsdaling, door operationele fouten, menselijke fouten of programmeerfouten. Er is ook dekking voor computersystemen die door externe dienstverleners en zakelijke partners worden beheerd, bijvoorbeeld backup, hosting of cloudhosting. Wilt u meer weten over deze verzekeringsoplossing neem dan contact met ons op!
Verwerken van gegevens /Algemene verordening gegevensverwerking(AVG)
Uw bedrijf verwerkt al snel persoonsgegevens. Denk aan het verzamelen, vastleggen, bewerken en raadplegen van gegevens van medewerkers of klanten. U verwerkt al gegevens als u een telefoonnummer of e-mailadres van een klant opslaat. Dit betekent dat u zich moet houden aan de Algemene verordening gegevensbescherming (AVG). De nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Deze Europese wet regelt de bescherming van persoonsgegevens. Als ondernemer bent u verplicht om extra maatregelen te nemen als u gegevens over klanten, personeel of andere personen vastlegt. Bedenk dat de Autoriteit Persoonsgegevens uw bedrijf sancties kan opleggen van maximaal € 20 miljoen of 4% van uw wereldwijde omzet als u zich niet aan de privacywetgeving houdt.
Voor verwerken en bewaren van bijzondere persoonsgegeven gelden strengere regels. Bijzondere persoonsgegevens zijn Burgerservicenummers (BSN) of gegevens die iets zeggen over ras, gezondheid, politieke voorkeur, seksueel leven of godsdienst van een persoon. De verwerking van bijzondere persoonsgegevens is verboden, tenzij u zich kunt beroepen op een wettelijke uitzondering én op één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. Meer informatie vindt u op: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken#wanneer-mag-u-bijzondere-persoonsgegevens-verwerken-6341
De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als bedrijf om aan te tonen dat u aan de privacyregels voldoet. De AVG-regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen. Dit is wettelijk verplichte wetgeving.
Verwerkingsregister
Als ondernemer laat u zien dat uw bedrijf zich aan de privacywet houdt door alle persoonsgegevens die uw bedrijf verwerkt nauwkeurig te documenteren in een verwerkingsregister. Hierin legt u vast welke persoonsgegevens uw bedrijf verzamelt, met welk doel, en voor hoelang. U mag zelf weten hoe u het register opstelt. Als de Autoriteit Persoonsgegevens daar om vraagt, moet u het register direct kunnen laten zien. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Meer informatie over het opstellen van een register en de eisen waaraan u moet voldoen vindt u op de website van de Autoriteit Persoonsgegevens: http://www.autoriteitpersoonsgegevens.nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht
Privacy rechten
Op grond van de AVG hebben de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacy rechten. Zorg ervoor dat zij hun privacy rechten goed kunnen uitoefenen. Denk daarbij aan het recht op inzage en het recht op correctie en verwijdering. Maar houdt ook rekening met het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de Autoriteit Persoonsgegevens een klacht indienen over de manier waarop u met hun gegevens omgaat. Een verwerkingsregister komt hierbij van pas.
Beveiliging persoonsgegevens
Bedrijven die persoonsgegevens verwerken moeten deze volgens de AVG beveiligen. U moet beveiligingsmaatregelen nemen om persoonsgegevens onbegrijpelijk of ontoegankelijk te maken voor onbevoegden, zoals het versleutelen van gegevens (encryptie) of wachtwoordbeveiliging op het document. Encryptie is het versleutelen van informatie om die te beveiligen tegen cybercriminelen. Dit gebeurt aan de hand van een moeilijke wiskundige formule (algoritme). Dit kan op verschillende manieren:
1. Alle data op een computer versleutelen
Dit kan met software van bijvoorbeeld Sophos, Eset en Kaspersky. Bij het gebruik van deze software wordt er een encryptiesleutel (key) aangemaakt, die u nodig heeft om de documenten te ontsleutelen. Windows 10 heeft een gratis ingebouwde encryptietool: BitLocker.
2. Losse bestanden versleutelen
Dit kan handig zijn als u privacygevoelige data wilt bewaren op uw computer of in een Cloud- omgeving. Dit kan onder meer met software van Veracrypt of AxCrypt.
3. Data tussen een gebruiker en website versleutelen
Ook websites maken steeds vaker gebruik van encryptie, meestal met een SSL-certificaat. Zo’n site herkent u aan ‘https://’ aan het begin van de URL van een website. Een SSL-beveiliging zorgt ervoor dat het gegevensverkeer van en naar uw website wordt versleuteld, waardoor derden niet of nauwelijks kunnen zien wat er gecommuniceerd wordt of wat een bezoeker op uw website heeft ingevuld of opgevraagd.
Verwerkersovereenkomst
U geeft andere partijen toegang tot persoonsgegevens of schakelt hen in om persoonsgegevens voor u te verwerken? Bijvoorbeeld voor het uitvoeren van uw personeels- en salarisadministratie of omdat zij voor u persoonsgegevens opslaan in de cloud. U moet dan met hen een ‘verwerkersovereenkomst’ afsluiten. Zo sluit u uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. Op de website van de Autoriteit Persoonsgegevens vindt u meer informatie over de verwerkersovereenkomst en wat hierin moet komen te staan: http://www.autoriteitpersoonsgegevens.nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht .
Let op: als u een externe partij gegevens voor u laat verwerken, bent u nog steeds zélf verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming.
Privacyverklaring
Het is wettelijk verplicht om een website te voorzien van een privacyverklaring als een bedrijf of organisatie persoonsgegevens verwerkt. U moet klanten en bezoekers duidelijk informeren welke gegevens er worden verzameld op uw website en met welk doel dit gebeurt. Meestal staat zo’n verklaring op een aparte pagina die eenvoudig te vinden is voor bezoekers. Een privacyverklaring moet in elk geval het volgende vermelden:
• De naam en adresgegevens van het bedrijf
• Met welk doel gegevens worden verwerkt (denk aan adresgegevens bij een bestelling of vastleggen van IP-adressen)
• Hoe het zit met het recht op inzage en wijziging van de gegevens
Op de website www.veiliginternetten.nl staat een privacyverklaring generator die u helpt om een privacyverklaring te maken die is toegespitst op uw bedrijf.
Cookiebeleid
Maakt u gebruik van cookies op uw website? Cookies zijn kleine tekstbestanden die websites na uw bezoek plaatsen op uw computer, mobiele telefoon of tablet. De overheid heeft bepaald dat elk bedrijf dat gebruik maakt van cookies op zijn website een cookiebeleid of cookieverklaring op de website moet plaatsen. Daarin beschrijft u wat cookies zijn, welke cookies u gebruikt, voor welk doel u ze gebruikt en hoe bezoekers van uw website cookies in en uit kunnen schakelen. Bepaalde cookies mag u pas plaatsen nadat een bezoeker hier toestemming voor heeft gegeven.
Zorgen ervoor dat uw organisatie/bedrijf klaar is voor de nieuwe Europese Algemene Verordening Gegevensverwerking (AVG). Voor meer informatie kijk bij: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving
Meldplicht Datalekken
Sinds 1 januari 2016 geldt er meldplicht bij datalekken. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegeven zijn gelekt) . Meer informatie is te lezen/zien op: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken