Ben jij op de hoogte van de nieuwe privacywetgeving genaamd de Algemene Verordening Gegevensbescherming (AVG)? Voor hen die hierover nog niet gehoord hebben is de enige geruststelling, het feit dat deze nieuwe wet- en regelgeving pas volgend jaar van kracht wordt. En voor de rest is alle essentiële info omtrent privacy en data geen overbodige luxe.
Volgens prof. dr. Gerrit-Jan Zwenne, hoogleraar privacyrecht in Leiden, wordt het belang van naleving van de privacywetgeving lang niet altijd ingezien. Dat is riskant omdat er nu al vergaande verplichtingen gelden, bijvoorbeeld waar het gaat om databeveiliging. En het kan nu al tot heel substantiële boetes leiden wanneer deze niet worden nageleefd.
Databeveiliging op orde krijgen vereist actievere houding
Zwenne noemt een aantal belangrijke elementen die bijdragen aan een betere databeveiliging. Een betrekkelijk eenvoudig te implementeren maatregel is consistent en goed patchmanagement, wat zoveel zegt als het tijdig updaten van de systemen. “Denk bijvoorbeeld aan de Windows-updates. Een gebruiker is misschien geneigd die uit te stellen omdat hij nog even bezig is met een tekst of spreadsheet. Toch is het beter om de werkzaamheden te onderbreken en de vereiste updates te installeren. Een eenvoudige update had veel bedrijven en overheden al vergaand kunnen beschermen tegen de ransomware-aanvallen die recent plaatsvonden”, vertelt hij.
Wat is het gevaar van datalekken?
Privacy- en beveiligingsexpert Brenno de Winter legt uit dat inspanningen om datalekken te voorkomen ook ICT-problemen voorkomt. Naast een betere kwaliteit kunnen de gevolgen van een aanval worden beperkt. Voor organisaties betekent dit naast het bijwerken van beveiligingssystemen, ook vooraf je data en netwerken opsplitsen. Daardoor verklein je kansen op:
- Vatbaarheid voor chantage. Cybercriminelen die toegang hebben verkregen tot gevoelige data die jij bezit, kunnen jou dwingen geld te betalen
- Financiële schade. Dit kan geleden worden door de stop van productie, wanneer bijvoorbeeld systemen tijdelijk geblokkeerd worden. Hoe langer de periode dat jouw diensten en services niet verleend kunnen worden, des te groter de schade. Daar komen ook nog eens de boetes bij die worden opgelegd door de AP wegens overtreding van de privacywetgeving
- Reputatieschade. Deze indirecte schade is lastig vast te stellen. Maar als onderneming is het niet fijn als jouw imago wordt aangetast en bijvoorbeeld gemaakte deals ingetrokken dreigen te worden
Organisaties en gevoelige data zijn een kwetsbaar doelwit
Cybercrime is niet meer weg te denken in de digitale wereld. Organisaties vormen steeds meer het doelwit van virusaanvallen met alle gevolgen van dien. Zwenne: “Het is een constante strijd, waarbij de cybercriminelen het voordeel hebben dat zij al hun aandacht kunnen richten op een of twee kwetsbaarheden. De organisaties die zich ertegen verweren moeten daarentegen al hun kwetsbaarheden dichten. En dat is complex. In zoverre dus een ongelijke strijd”
Op kritische wijze geeft de Winter aan dat de ontwikkelingen omtrent malware- en ransomeware-aanvallen zeker een rol spelen in de kwetsbaarheid van organisaties. Maar hij ziet dit niet als reden om te verzaken. Hiermee maakt hij de vergelijking met de ondergang van de Titanic. “Na dit voorval hebben wij als samenleving harde afspraken gemaakt om de kans op herhaling te verkleinen. Zo langzamerhand mag van de digitale wereld dan ook geëist worden dat deze maatregelen worden getroffen in de omgang met gevoelige data.”