Het is mooi weer. Op de stoep voor een cafee in een drukke winkelstraat staat een nieuwe auto geparkeerd.

De motor draait nog. De autodeur van de bestuurder staat half open. De sleutels steken in het contact. Op de achterbank ligt een laptop. De bestuurder is vermoedelijk even het cafee binnengelopen.

Hoe groot is het risico dat de auto of de laptop op de achterbank wordt gestolen?

Hoe groot is de kans dat de bestuurder een bekeuring krijgt voor fout parkeren of het onbeheerd achter laten van een auto met draaiende motor?

Hoe groot is de kans dat de verzekering schade gaat vergoeden als de auto of laptop wordt gestolen?

Zou jij het risico nemen? Zou jij je auto op deze manier onafgesloten achterlaten?

De meeste mensen die zich deze situatie voorstellen schudden hoofdschuddend nee. Natuurlijk niet. Dit is onverantwoord gedrag.

De automobilist moest snel naar het toilet. Hij heeft zijn portemonnee en smartphone onbeheerd neergelegd op een tafeltje in het cafee.

Zou jij dat doen? Ben je gek?

En stel nou dat er ook nog een doosje met zware medicijnen bij zou liggen.

Dat is toch onverantwoord? Stel dat die in handen komen van kinderen… Iemand die dat doet speelt met levens van anderen.

Ondertussen staan de digitale poorten van heel veel bedrijven en organisaties wagenwijd open.

Cybercriminelen verdienen miljarden euros aan ondernemers en bestuurders die dachten dat het risico dat zij ooit getroffen zouden worden maar klein is.

Net als de automobilist die zijn auto met draaiende motor en een laptop op de achterbank achterliet op de stoep voor een cafee…

Elk bedrijf, elke organisatie, hoe groot of klein ook, moet tegenwoordig rekening houden met de dreiging van cyberaanvallen.

Wie zich nu niet professioneel wapent tegen cybercriminaliteit loopt hoog risico dubbel gestraft te worden. Door cybercriminelen die handig misbruik maken van lichtzinnig ‘open deuren’ in de databeveiliging van bedrijven.

En ook nog eens door de Autoriteit Persoonsgegevens die vanaf 25 mei 2018 op basis van de Europese privacywet AVG / GDPR hoge boetes kan opleggen aan bedrijven en organisaties die onzorgvuldig omgaan met persoonsgegevens van personeel en klanten.

En de kans dat er een verzekering is die de torenhoge schade of boetes bij aantoonbaar nalatig handelen gaat vergoeden is nihil.

Logisch toch?

Waarom heeft 85 procent van de organisaties dan nu nog steeds geen serieuze stappen ondernomen om te voldoen aan de Europese privacywet?

Cybercriminaliteit is een van de snelst groeiende soorten van criminaliteit wereldwijd. Er gaan miljarden euros in om. Cybercriminelen werken steeds geavanceerder en ze slaan toe om uiteenlopende financiële, politieke en ook onzinnige redenen. Gewoon omdat het kan.

Slachtoffers van cybercrime hebben te maken met ernstige schade bij interne en externe bedrijfsprocessen.

Ze hebben mogelijk direct groot financieel verlies geleden in de vorm van betaling van losgelddeclaraties aan cybercriminelen en schadevergoeding aan klanten. Ook kan het zijn dat de bedrijfsprocessen of de webshop langdurig stilgelegd moeten worden.

En denk ook aan reputatieschade en verlies van goodwill.

Alleen al deze factoren maken het voor bedrijven noodzakelijk om eersteklas cyberbeveiligingsmaatregelen te treffen.

De Algemene Verordening Persoonsgegevens (AVG) verplicht alle organisaties die gevestigd zijn in de Europese Unie of zaken doen net ingezetenen van de Europese Unie om passende technische en organisatorische maatregelen te nemen om een beveiligingsniveau te waarborgen dat aangepast is aan de risico’s die voortvloeien uit het bewaren en verwerken van persoonsgegevens.

Het gaat daarbij bijvoorbeeld om risico’s van accidentele of onwettige vernietiging, verlies, wijziging en niet-geautoriseerde bekendmaking of toegang tot persoonsgegevens.

De AVG / GDPR geeft in algemene termen enkele van de cybersecuritymaatregelen aan die verwacht worden:

In de eerste plaats moeten organisaties die te maken krijgen met een inbreuk op de gegevensbeveiliging in bijna alle gevallen deze inbreuk zonder “onnodige vertraging” en, indien mogelijk, binnen 72 uur na de kennisneming melden aan hun gegevensbeschermingsautoriteit.

Alle relevante gegevens moeten worden verstrekt. In veel gevallen moeten organisaties ook rapporteren aan de personen van wie de gegevens gecompromitteerd zijn.

Ten tweede zijn de sancties voor het niet hebben van de juiste beveiliging of, inderdaad, voor het niet naleven van de bovengenoemde rapportageverplichtingen nu veel strenger. Waar voorheen de maximale boete in de orde van honderdduizenden euro’s lag, is nu het maximum voor een inbreuk op de bepalingen die specifiek betrekking hebben op gegevensbeveiliging het hoogste van € 20 miljoen en 4% van de jaarlijkse wereldwijde bruto-omzet van de betreffende entiteit. En dat per geconstatteerde overtreding.

Tot slot: hoewel alle organisaties hun cybersecurity-regelingen voortdurend zouden moeten monitoren, wordt organisaties die onder het AVG / GDPR vallen sterk aangeraden om onmiddellijk een grondige herziening van de totale organisatie uit te voeren. Daarbij moeten zij zich niet alleen richten op hun technologie en dagelijkse praktijken, maar ook procedures creëren en documenteren voor het naleven van de toepasselijke wetgeving en het melden van inbreuken op gegevens aan hun gegevensbeschermingsautoriteit en de betrokken personen.

RelatedPost

Aanmelden PrivacyZone Nieuwsbrief

Met een gratis abonnement op de PrivacyZone Nieuwsbrief voldoet u aan een van de eisen van de Europese privacywet GDPR / AVG. Wij houden u wekelijks op de hoogte met nieuws, jurisprudentie en advies. U wordt geacht deze ontwikkelingen actief te volgen en indien noodzakelijk gepaste maatregelen te treffen.

Bedankt voor uw aanmelding voor de PrivacyZone Nieuwsbrief.