Cyberrisico’s topprioriteit CFO voor 2017

Door Sjaak Schouteren, Manager Cyber Risk Solutions bij Aon

Allereerst is het zaak dat u de AVG inhoudelijk goed kent en weet wat u ter voorbereiding moet doen. De AVG gaat over de verwerking en uitwisseling van persoonsgegevens tussen organisaties in de publieke én private sector. De verordening vervangt de verouderde databeschermingsrichtlijn uit 1995 en wordt op 25 mei 2018 van kracht. De AVG is in tegenstelling tot de richtlijn uit 1995 rechtstreeks van toepassing op alle EU-lidstaten. Met ingang van de AVG geldt dus nog maar één privacywet in de hele EU, in plaats van 28 verschillende nationale wetten. Organisaties die hun bedrijfsvoering dan nog niet op orde hebben, riskeren boetes tot 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet. Haast is dus geboden. Maar wat verandert er precies?

AVG onder de loep
Zodra de AVG van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Ook komt de nadruk meer te liggen op de verantwoordelijkheid van organisaties zelf om de AVG na te leven én om aan te tonen dat zij zich aan de wet houden (accountability). Organisaties krijgen daarom een documentatieplicht. Dit houdt in dat zij met documenten moeten aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

Bent u als organisatie van plan om persoonsgegevens te verwerken en levert dit een groot risico op voor de privacy van de mensen van wie die gegevens zijn? Dan bent u verplicht om eerst een zogenaamde privacy impact assessment (PIA) uit te voeren. Een PIA brengt in beeld wat de impact is op de eerder genoemde privacy van betrokkenen, wat hun risico’s zijn en die van de organisatie en of er een aanpak mogelijk is die de privacy van betrokkenen minder schaadt.

Onder de AVG is de drempel om een datalek te melden lager dan onder de huidige Wet bescherming persoonsgegevens. Zo moet u onder de AVG élk datalek melden waarbij risico is voor de vrijheden en rechten van individuen. Het gevolg is dat u waarschijnlijk vaker datalekken moet gaan melden dan nu. Daarom is het aan te raden om nu alvast te onderzoeken of u bestaande procedures voor het melden van een datalek moet aanpassen.

Ook de rechten van consumenten worden onder de AVG fors uitgebreid. Zo hebben ze voortaan het recht om persoonsgegevens te laten verwijderen (‘recht op vergetelheid’) en kunnen ze bezwaar maken tegen ‘geautomatiseerde individuele besluitvorming’. Dat laatste houdt in dat iemands inkomensgegevens bijvoorbeeld niet mogen worden gebruikt om hem of haar automatisch uit te sluiten voor een hoge verzekeringspremie.

Bedrijfsleven verantwoordelijk
Dat de AVG geldt in de hele EU en boven alle nationale wetgeving gaat, onderstreept hoe verstrekkend het belang van gedegen cyberrisicomanagement tegenwoordig is. Digitale veiligheid is meer dan alleen een zaak van individuele bedrijven; het is een ketenverantwoordelijkheid, een kwestie die bedrijfsmuren en zelfs landgrenzen overstijgt.

Dit inzicht moet in 2017 vanzelfsprekend zijn voor elke bestuurder. Cybersecurity moet een topprioriteit worden, ook voor de CFO; de ‘private’ verantwoordelijkheid voor onze digitale infrastructuur rust mede op uw schouders. Databeveiliging raakt immers rechtstreeks aan de financiële planning en risico’s van uw bedrijf; maatregelen in databeveiliging vragen om investeringen.

Waarmee kunt u als CFO aan de slag om uw organisatie ‘cyberproof’ te maken? Het kernadvies is simpel: zorg dat u voor de komende twee jaar fors meer budget krijgt en tijd neemt om uw privacy-maatregelen en beveiligingsbeleid op orde te brengen. Mede met het oog op de AVG liggen de volgende taken voor u klaar:

1. Voer een Privacy Impact Analysis (PIA) uit. Daarmee krijgt u scherp in beeld wat voor uw organisatie de belangrijkste cyberrisico’s zijn, hoe groot de impact van een incident is op uw bedrijfsvoering en betrokkenen én welke oplossingen voorhanden zijn om die risico’s weg te nemen of te beperken. Een PIA is een uitstekend middel om te bepalen waar u als organisatie staat qua risicomanagement. Daarmee is het tevens hét vertrekpunt voor een betere privacy by design: een bedrijfsvoering waarbij slim en ‘zuinig’ met persoonsgegevens wordt omgegaan. Een voorbeeld is een woningcorporatie die enkel en alleen de strikt noodzakelijke gegevens van actieve huurders in een streng beveiligde database opslaat.

2. Geef naast technische maatregelen in het kader van databeveiliging ook voldoende aandacht aan het kweken van bewustzijn bij medewerkers. Een goed beveiligde en afgeschermde ICT-omgeving helpen, maar geven geen volledige zekerheid. Rondslingerende USB-sticks of wachtwoorden als ‘wachtwoord123’ kunnen alsnog veel ruïneren.

3. Stem uw beleid en maatregelen af met ketenpartijen waarmee u persoonsgegevens van klanten deelt: privacy-maatregelen hebben nauwelijks waarde als het beleid van klanten, leveranciers en partners tekort schiet of niet aansluit bij uw aanpak. Indirect bent u dan alsnog kwetsbaar voor hacks, datalekken en digitale spionage. Een zorgvuldige afstemming met partners en samenwerkende partijen is zelfs een van uw plichten onder de AVG.

Maak van databeveiliging een absolute topprioriteit als uw bedrijf ‘handelt’ in kennis. Cybercriminelen richten zich meer en meer op kennisdiefstal. Uit onderzoek blijkt dat in Nederland jaarlijks 10 miljard euro aan schade ontstaat uit cyberincidenten. Maar liefst 40 procent van die  schade bestaat uit de gevolgen van verlies van intellectueel eigendom, strategische informatie en verminderde betrouwbaarheid van producten en diensten. 

4. Investeer niet alleen in professionele beveiligingssoftware, maar ook in permanent toezicht, zodat u bij een hack of spionage direct een melding krijgt en snel kunt reageren. Veel bedrijven blijken ‘blind’ voor cyberaanvallen. Uit het Cybersecuritybeeld Nederland 2016 (CSBN 2016), een uitgave van het Nationaal Cyber Security Centrum, blijkt dat maar liefst twee derde van de bedrijven die in 2015 door een cyberaanval werden getroffen die aanval niet zelf waargenomen had.

5. Sluit een cyberverzekering af. Deze bieden een ruime dekking tegen relatief lage kosten. Een gedegen verzekering geeft meer zekerheid op behoud van continuïteit, ontzorgt en draagt daarmee bij aan uw ketenverantwoordelijkheid.

6. Stel communicatieplannen op voor het geval zich een cyberincident voordoet. Zwijgen of ‘bevriezen’ op zo’n moment is funest voor uw reputatie. Met van te voren opgestelde Q&A’s bent u ook voorbereid op lastige en onverwachte vragen, zodat u snel kunt reageren. Wat communiceert u wel en wat niet bij verschillende scenario’s? Én: wanneer? Timing en prioritering zijn onderschatte factoren bij crisiscommunicatie. Heel belangrijk is het dat u weet wie, wanneer, welke acties onderneemt. Intern, naar de AP en indien nodig naar de benadeelden.

Sjaak Schouteren is Manager Cyber Risk Solutions bij risicoadviseur en verzekeringsmakelaar Aon

————————————————————————————

Uw nieuwe collega: de functionaris voor de gegevensbescherming (FG)

Wist u al dat u binnenkort mogelijk een nieuwe collega krijgt? De functionaris voor de gegevensbescherming (FG) kan een verplichting zijn onder de AVG. Hij of zij krijgt onder meer de taak om binnen uw organisatie toe te zien op de naleving van de verordening en adviseert op het gebied van privacy, zoals het uitvoeren van privacy impact assessments. De FG is ook de contactpersoon voor privacy-toezichthouders (in Nederland de Autoriteit Persoonsgegevens). Daarbij moet de FG een onafhankelijke rol vervullen en krijgt hij een aanvullende ontslagbescherming.

Een FG wordt verplicht voor elke overheidsinstantie – behalve rechtbanken – en voor organisaties die:

-als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken, zoals zorgverleners
-als kernactiviteit op grote schaal mensen volgen, bijvoorbeeld bij profilering