Hoe staat het met uw digitale veiligheid?

‘Cyberaanpak in Nederland faalt.’ ‘Meer geld nodig voor digitale veiligheid.’ Twee krantenkoppen die onlangs mijn aandacht trokken. Ze hadden betrekking op een nieuw rapport, gemaakt in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Nog steeds doen Nederlandse bedrijven en organisaties te weinig aan hun digitale veiligheid, al dan niet bewust. Terwijl ze dat wel verplicht zijn.

Yvette van Gemerden – PwC-expert op het gebied van privacy en cybersecurity

Het rapport verscheen twee dagen na de wereldwijde ransomeware-aanval, die onder meer Engelse ziekenhuizen en Nederlandse parkeergarages plat legden. De aanval maakte weer eens duidelijk dat er ook voor Nederlandse bedrijven nog genoeg te doen is als het gaat om de digitale veiligheid. Helaas trekken zij er nu nauwelijks geld voor uit of maken zij er te weinig menskracht voor vrij. Terwijl ze momenteel toch genoeg waarschuwingen krijgen.

Steeds meer datalekken

Uit de bekende Breach Level Index, een wereldwijde database met datalekken, bleek onlangs dat vorig jaar 86 procent meer datalekken plaatsvonden dan in 2015. In 2016 werden in totaal 1792 datalekken publiekelijk bekendgemaakt. Die resulteerden in een diefstal van bijna 1,4 miljard records. In Nederland zijn vorig jaar acht datalekken publiekelijk bekendgemaakt, goed voor 55.900 records die gestolen of aangetast zijn.

Uit de index blijkt verder dat Nederland in de top 3 van Europa staat met de meeste veiligheidsincidenten. Het Verenigd Koninkrijk gaat aan kop, gevolgd door Duitsland en Nederland op een gedeelde tweede plaats.

Nieuwe Europese privacyregels

Bedrijven lijken zich onvoldoende bewust van de plichten die ze hebben als het gaat om datalekken en cybersecurity. Uit de laatste peiling van het periodieke Privacy Governance-onderzoek van PwC blijkt dat slechts twaalf procent van de Nederlandse organisaties klaar is voor de nieuwe Europese privacyregels. Vanaf 25 mei 2018, over een klein jaar dus, moeten organisaties overschakelen op de Europese Algemene verordening gegevensbescherming (AVG). Zij moeten dan meer inzicht geven in dataverwerking, verantwoordelijken op privacygebied benoemen en zogenoemde privacy by design- en privacy by default-principes doorvoeren. Ook krijgt iedereen het recht ‘om vergeten te worden’.

Melden van datalekken

De AVG bevat ook strengere regels rondom het melden van datalekken. Organisaties in Nederland moeten nu al datalekken melden in een register en een procedure hebben hoe ze met datalekken omgaan, inclusief communicatieplan. Opvallend is dat slechts 49 procent momenteel een draaiboek heeft klaarliggen in geval van een datalek. Driekwart van de ondervraagde bedrijven heeft de verwerkingen van persoonsgegevens nog niet inzichtelijk en gedocumenteerd. Zij riskeren nu al boetes tot 820.000 euro. Die boetes kunnen vanaf mei 2018 oplopen tot zelfs twintig miljoen euro.

Betere interne voorlichting

Mei 2018 lijkt nog ver weg, maar veel organisaties zullen de resterende tijd hard nodig hebben om de talrijke procedurewijzigingen en technische aanpassingen door te voeren. Daarnaast is een betere interne voorlichting van belang. Veel organisaties weten niet precies wat een datalek is en wanneer ze de Autoriteit Persoonsgegevens en betrokkenen, zoals klanten, moeten informeren.

Menselijke fouten

Daarnaast zijn menselijke fouten de grootste oorzaak voor datalekclaims binnen organisaties. Een datalek komt eerder door een medewerker die per ongeluk een verkeerd bestand downloadt, dan door een kwaadaardige criminele hack.

Bij het inrichten van een beveiligingsstructuur is het daarom belangrijk te beginnen bij een beveiligingscultuur. Zorg daarom voor waakzame medewerkers die zich bewust zijn van de gevaren van cybercrime en op de hoogte zijn van de do’s and don’ts.

BRON: pwc.nl

Meer informatie?

Bel +31(0)40 293 13 18 of Bekijk mogelijkheden informatie aanvraag