Is de AVG een stok achter de deur?

Nederlandse bedrijven doen nog te weinig aan cybersecurity, concludeerde de Cyber Security Raad vorig jaar. Ook onderzoeken wijzen op een achterstand. Hoe erg is het?

Er is achterstand, maar dit is sterk sectorafhankelijk. Het ligt er sterk aan hoe groot het risico is. “Bouwbedrijven kwamen veel later. Voor deze sector is IT niet het primaire proces, maar een hulpmiddel”, zegt hoogleraar Jan van den Berg. Een andere sector die nog sterk achterblijft is de transport, aldus Erik de Jong van Fox-IT. Ook zijn het vooral de kleinere bedrijven die nog achterliggen. 

“Meer nodig”

Voor die achterblijvers is de AVG een stok achter de deur, maar er is wel meer nodig. Van den Berg: “Ik denk dat het een goed eerste pressiemiddel is. Het geeft rechten aan consumenten en plichten aan bedrijven om voorzichtig met data om te gaan en dit goed te beschermen. De AVG kan een aanjager zijn. Maar het is slechts één aspect van cybersecurity.” Erik de Jong van Fox-IT sluit zich daarbij aan. “Er is meer nodig. Maar op zich is de AVG een goede maatregel. In het verleden kon een bedrijf een datalek onder het vloerkleed schuiven. Een cyberincident kon gebeuren, zonder dat het bedrijf er veel last van had. Straks is er een meldplicht aan de Autoriteit Persoonsgegevens en soms aan betrokkenen. Dat levert meer pijn op en dus gaan bedrijven beter hun best doen om dit te voorkomen. Als mensen geen reden hebben om iets te verbeteren, doen ze het niet.”

Jaya Baloo van KPN is minder enthousiast over de AVG, die zou stimuleren tot het leveren van een te minieme inspanning: “Compliant zijn is de vloer en niet het plafond binnen cybersecurity”, zegt de CISO: “Het is goed dat de AVG er is, maar bedrijven moeten beseffen dat echte veiligheid betekent dat je meer moet doen dan alleen het noodzakelijke. De grootste hacks zien we gebeuren bij bedrijven die compliant zijn.” 

Ook wijst ze op wat volgens haar een inconsistentie van deze wet is. Die is streng voor bedrijven, maar minder streng voor hardware- en softwareleveranciers. “De overheid kan niet bedrijven allerlei eisen opleggen en straffen uitdelen bij een datalek, zonder ook eisen te leggen bij hardware- en softwareleveranciers. Een bedrijf is in de veronderstelling veilige software in te kopen, maar toch kan het mis gaan. De aankopende partij kun je daar niet verantwoordelijk voor houden. Het is onterecht dat alle bedrijven zich moeten houden aan NIB-richtlijnen, behalve softwarepartijen.”

Concrete aanwijzingen cyberveiligheid

De Jong denkt dat veel bedrijven vooral niet duidelijk is hoe ze zich beter kunnen beschermen en hoe ze de goede keuzes maken. Binnen zijn werk merkt hij dat er veel behoefte is aan concrete aanwijzingen. “Waar moet ik in investeren? Aan welke vijf punten moeten ik de komende tijd voldoen? Wat moet er in de toekomst gebeuren? Het is een complex onderwerp. Er zijn zoveel dingen te doen, alles doen is onmogelijk. Keuzes maken is noodzakelijk en dus moeten bedrijven weten wat de beste investering is op korte, middellange en lange termijn.” 

Voor bedrijven die achterlopen heeft Van den Berg nog een boodschap. Cybersecurity wordt te vaak nog gezien als een platte kostenpost. Maar deze perceptie is onterecht, vindt de hoogleraar. “IT is geen hulpmiddel. Digitalisering brengt allerlei voordelen mee, werk kan sneller, efficiënter en beter gebeuren. Een bedrijf moet er dus gewoon direct voor zorgen dat die digitalisering op een veilige manier gebeurt.” Breng je het verhaal op deze manier, dan ontstaat er een positievere sfeer rondom  cybersecurity, zegt Van den Berg. “Het is dan ook een kans in plaats van puur een kostenpost. Daarmee verbeter je het verhaal richting de board.”  

Dit artikel is onderdeel van een reeks. Lees hier de andere twee delen:
Wat zijn de grootste cyberrisico's?
Hoe organiseer je cybersecurity?