Meldplicht datalekken vereist voorbereiding

De kogel is door de kerk: eind mei nam de Eerste Kamer de Wet meldplicht datalekken en boetebevoegdheid CBP aan. De volledige wettekst werd medio juni gepubliceerd. Deze nieuwe wet verplicht organisaties om melding te maken van inbreuken op beveiligingsmaatregelen voor persoonsgegevens.

Door Mark BuninghDe gevolgen van de wet kunnen verstrekkend zijn. Daarom is dit hét moment voor directies om de (financiële) risico’s van een gebrekkige informatiebeveiliging inhoudelijk te beoordelen en passend beleid te formuleren. Organisaties die de wet niet naleven, kunnen een boete krijgen tot 810.000 euro. De Europese Privacy Verordening, die naar verwachting eind 2015 wordt geaccordeerd, zal het wettelijk kader alleen maar verder verzwaren.Digitale risico’s onderverzekerdDoor de wet wordt informatiebeveiliging één van de essentiële uitgangspunten voor elke organisatie. Dat is een goede zaak. Want de waarde van digitale en immateriële activa (bijv. goodwill, patenten, klantenbestanden en broncode van software) is voor steeds meer bedrijven net zo groot als die van materiële activa, zoals gebouwen en de inventaris. Toch worden digitale of immateriële zaken momenteel slechts voor gemiddeld 12 procent opgenomen in een verzekeringsprogramma. Voor materiële activa is dat ruim 50 procent. Een vreemde verhouding: digitale activa zijn bijna 40 procent kwetsbaarder.Reputatieschade bedreigt continuïteitHet effect van een boete is groter dan de financiële schade alleen; een beboete organisatie krijgt zeer waarschijnlijk ook met negatieve publiciteit en verscherpt toezicht te maken. In de praktijk zie ik dat dit ook tot reputatieschade kan leiden. Een organisatie waarvan gegevens vrij toegankelijk op internet of sociale media belanden, maakt immers een onbetrouwbare en onprofessionele indruk. In extreme gevallen kan een beschadigde reputatie zelfs het voortbestaan van een organisatie bedreigen.Het is dan zorgelijk om te moeten vaststellen dat acht op de tien organisaties geen noemenswaardige verzekeringsdekking heeft om de schade van digitale risico’s af te dekken. Dat blijkt uit de Global Cyber Impact Report 2015 van Aon. De drie redenen die organisaties daarvoor het meest noemen zijn onbekendheid met de verzekeringsmogelijkheden, de hoogte van de premie en de – overigens onterechte – overtuiging dat digitale risico’s onder de traditionele verzekeringen vallen. Bent u in control?Digitale risico’s raken rechtstreeks aan de verantwoordelijkheid voor ‘behoorlijk bestuur’ van de onderneming. Het is daarmee een onderwerp dat thuishoort in de boardroom. Voorbeelden van onbehoorlijk bestuur zijn onder meer een nalatige bescherming van de onderneming tegen voorzienbare risico’s en het onvoldoende informeren van commissarissen waardoor deze worden gehinderd in hun toezichthoudende taak. De vraag is dus: is de organisatie aantoonbaar in control, en uit welke feiten en cijfers blijkt dat de interne beheersmaatregelen in de praktijk ook worden nageleefd? Nu het aantal IT-gerelateerde schades groeit, ook in omvang en complexiteit, geldt de plicht voor behoorlijk bestuur ook meer en meer voor de bescherming van digitale en/of immateriële activa.In drie stappen voorbereid op digitale risico’sOm gevoelige informatie optimaal beveiligd te houden, is het zaak dat organisaties hun beleid daarvoor inbedden in hun dagelijkse praktijk. Dat kan het best door:

  1. de risico’s te beoordelen;
  2. algemeen geaccepteerde beveiligingsstandaarden te gebruiken, en;
  3. regelmatig te controleren en evalueren.

Mijn advies: voer altijd eerst een risicoanalyse uit. Daarmee creëert u niet alleen bewustwording en samenhang bij de personen en afdelingen die hiervoor binnen uw organisaties de verantwoordelijkheid dragen, maar ondersteunt u ook uw besluitvorming. Zo kan uit de analyse blijken dat uw risicomanagement beter kan, of dat verbetering zelfs noodzakelijk is. Bespreek de resultaten van een risico-inventarisatie en -analyse met een vertegenwoordiging vanuit het management of de directie. Beoordeel vervolgens aan de hand daarvan welke aanvullende maatregelen u moet nemen.Voortgang Het College Bescherming Persoonsgegevens – binnenkort: de Autoriteit Persoonsgegevens – moet nog met precieze richtlijnen komen voor toepassing van de wet. Naar verwachting treedt die per 1 januari 2016 in werking. Organisaties doen er verstandig aan om nu al de gevolgen hiervan in kaart te brengen en maatregelen te treffen om schade te voorkomen. Cruciaal is het investeren in de juiste beheersmaatregelen. De boetes voor een niet gemeld lek zijn hoog, en zonder passende beheersmaatregelen loopt de mogelijke schade alleen maar verder op.Download hier de volledige wettekst over de meldplicht datalekkenMark Buningh is Cyber Risk Practice Leader bij Aon Risk Solutions en blogt voor CFO.nl over cyber risk.

Gerelateerde artikelen