Door de ransomware WannaCry werden in mei 2017 binnen enkele uren ruim 22 miljoen computers aangevallen. Het gevolg hiervan was dat miljoenen bedrijven en mensen gegevens kwijtraakten. Daarmee was het de grootste cyberaanval ooit. Een maand later was het weer raak met Petya. Ook hierbij werd een reeks grote bedrijven geraakt, waaronder het Nederlandse TNT Express, maar ook de Deense multinational A.P Møller-Maersk. Deze laatste verklaarde later dat de aanval hen waarschijnlijk 200 miljoen tot 300 miljoen dollar heeft gekost. Bij deze cyberaanvallen was er overduidelijk sprake van meldplicht.
Digitale bedreigingen komen niet langer alleen in films of boeken voor. Misschien denk je dat dit voor jouw bedrijf een ‘ver van mijn bed’-show is, maar is jouw bedrijf wel goed beschermd tegen datalekken? En weet je wanneer iets een datalek is en of er sprake is van meldplicht?
Wanneer is er sprake van een datalek?
Als omvangrijke cyberaanvallen met ransomware als WannaCry en Petya iets bewijzen, is het dat zelfs de grootste bedrijven ter wereld niet immuun zijn tegen cybercriminaliteit. Een cyberaanval is een duidelijk voorbeeld waarbij data kan zijn gelekt. Maar wist je dat we ook spreken van een lek wanneer je per ongeluk een USB-stick van je werk kwijtraakt? Of wanneer de bedrijfslaptop gestolen wordt? Je denkt misschien niet automatisch aan een datalek, maar ook deze gevallen kunnen grote gevolgen hebben voor jouw bedrijf.
In principe wordt er gesproken van een lek wanneer er onbedoeld of onbevoegd toegang is verkregen tot persoonsgegevens. Maar er is ook sprake van een lek wanneer gegevens al dan niet bewust worden gewist. Zelfs wanneer een datacenter afbrandt, is er sprake van een lek.
Hoe zit het met meldplicht?
De vraag is dan: wel of geen meldplicht? Wanneer een lek niet gemeld wordt en er wel sprake is van meldplicht, riskeer je als bedrijf een boete die kan uitkomen op meer dan 800.000 euro of 10 procent van de jaaromzet. De hoogte van een dergelijke boete is alleen al motivatie genoeg om contact op te nemen met de Autoriteit Persoonsgegevens. In sommige gevallen moet het datalek ook gemeld worden aan de betrokkenen.
Om te bepalen of een lek moet worden gemeld, moet er worden gekeken naar de omvang van de hack. Stel dat jouw bedrijf slachtoffer is geworden van een cyberaanval waarbij maar één bestand is geïnfecteerd. Vervelend, maar redelijk onschuldig misschien. Toch kan ook een ‘kleine’ hack veel groter blijken dan je misschien denkt. Een besmet bestand kan toch grote gevolgen hebben voor een bedrijf. Daarbij is niet altijd per direct duidelijk of de hacker daadwerkelijk toegang heeft gekregen tot persoonsgegevens.
Bindende aanwijzing
Daarom is het belangrijk om na te gaan of de hack ernstige gevolgen heeft (of kan gaan hebben) voor de persoonsgegevens binnen het bedrijf. Dit kan zowel gaan om de gegevens van klanten of personeel. Je moet dus zelf een inschatting maken. Als je er zeker van bent dat de encryptie die jouw bedrijf gebruikt voldoende is, dan hoef je wellicht geen melding te maken bij de Autoriteit Persoonsgegevens en de klanten. Twijfel je aan de beveiliging van de gegevens, of zijn er hoe dan ook gegevens gelekt, dan moet dit ten alle tijden aan de Autoriteit Persoonsgegevens worden gemeld.
Een melding komt in het register van de Autoriteit Persoonsgegevens en die kan besluiten tot onderzoek. Als de meldplicht wordt overtreden, kan dit dus leiden tot een behoorlijke boete. Het kan natuurlijk ook het geval zijn dat er sprake is van meldplicht, maar dit onbewust niet is gedaan. In dat geval zal de Autoriteit Persoonsgegevens waarschijnlijk alleen een tik op de vingers geven in de vorm van een zogenoemde ‘bindende aanwijzing’.
Schakel een IT-security specialist in
Hoewel een hack nooit helemaal is uit te sluiten, moet een bedrijf er wel alles aan doen om de digitale veiligheid op orde te hebben. Een risicoanalyse of ransomware preventiescan kan hierbij helpen. Dan wordt niet alleen de beveiliging van de ICT-systemen geëvalueerd, maar ook de interne organisatie en het vermogen om snel in te grijpen wanneer jouw bedrijf toch slachtoffer wordt van een cyberaanval.
Omdat cybersecurity steeds belangrijker wordt, wordt het voor bedrijven ook steeds belangrijker om de juiste ICT-specialist te vinden die deze wensen kan vervullen. Daar kan VindICTbedrijf.nl bij helpen. Plaats gratis een opdracht en vervolgens maken wij een selectie van drie experts uit onze database met bijna 500 aangesloten ICT-bedrijven. Jij kiest zelf de ICT-partner waarmee je in zee gaat!
Terug naar overzicht