5 Tips: Online Veiligheid voor Ondernemers
Veel criminelen hebben het voorzien op persoonsgegevens. De Wet Bescherming Persoonsgegevens (Wbp) en de AVG richtlijnen moeten voor bescherming zorgen. In het kort stelt de Wbp dat gegevens alleen verwerkt mogen worden voor het doel waarvoor je ze verzamelt en je ze niet langer dan noodzakelijk bewaart. Een webwinkel mag bijvoorbeeld alleen gegevens verzamelen om spullen af te kunnen leveren. Daarbij moet sprake zijn van expliciete toestemming van de persoon waar de gegevens betrekking op hebben. Denk hier bijvoorbeeld aan de cookie melding onder aan je scherm waarbij je expliciet moet selecteren van welke je gebruik wenst te maken. Hoe is dit van invloed op de online veiligheid voor ondernemers en wat zijn jou verplichtingen?
1) MELDPLICHT DATALEKKEN
Door een wijziging in de Wbp welke is ingegaan op 1 januari 2016 hebben bedrijven een grotere verantwoordelijkheid gekregen. Er komt een meldplicht voor datalekken en een groter boeterisico bij schending van privacyregels – tot 820.000 euro. Dit is ook wel de verklaring waarom het voorheen bijna nooit in het nieuws kwam maar je het nu regelmatig voorbij ziet komen (denk aan Facebook, RDW, Hellevoetsluis, Utrecht, Brittish Airways en nog vele andere) Wat betekent voor de praktijk? Alle date welke terug te herleiden is tot een persoon valt onder deze wetgeving en dient goed beschermd te zijn. Bedrijven dienen een risico-inschatting te maken. Dat is flink wat werk en bovendien een moving target aangezien de doelen iedere keer veranderen. Hedendaags zijn digitale aanvallen snel en groot in te zetten waardoor in een mum van tijd worden grote hoeveelheden informatie buitgemaakt. Zelfs data welke wordt beheerd in de Cloud is gevoelig voor hackers, let hier dus ook mee op.
2) ACTIEPLAN
Als er zich een lek voordoet, breekt er een heftige periode aan. Ten eerste moet er binnen twee a drie dagen melding gedaan worden aan het College Bescherming Persoonsgegevens. Ten tweede is er de vraag of de risico’s dermate groot zijn dat ook de personen in kwestie ingelicht moeten worden. Mensen hebben het recht te weten dat ze gevaar lopen. Bedrijven dienen er dus nu al over na te denken wat ze moeten doen als deze informatie op straat komt te liggen.
3) HOUD REGIE
Als je gehackt wordt, neemt een hacker de regie over en is het lastig de sturing terug te pakken. Maar als je zelf van te voren goed in kaart hebt wat je dient te doen, dan kun je een stukje van de regie terugnemen. Een maatregel om te overwegen is om systemen volledig te onderbreken. Organisaties denken eigenlijk alleen aan continuïteit, maar onderbreken kan soms juist een redding zijn. Het is belangrijk om zo onbevangen mogelijk in een incident te staan
4) ONDERZOEK
Als er achteraf onderzoek komt, moet je als bedrijf goed kunnen uitleggen waarom je iets wel of niet doet. Dat vraagt om documentatie. Er dient een goed plan achter gezeten te hebben om te voorkomen dat het een gigantische boete wordt.
5) MENSELIJK HANDELEN
Veiligheidsmaatregelen dienen niet alleen gericht te zijn op systemen, maar ook op mensen. Mensen missen doorgaans veel signalen die op cyber criminaliteit wijzen. Hackers hebben ook wel iets opschepperigs over zich. Ze geven clues. Let bijvoorbeeld goed op opmerkingen van klanten over dingen die niet deugen qua privacy en beveiliging. Pareer die niet gelijk. Ook niet als ze wat onhandig geformuleerd zijn.