Netherlands

Ook ransomware valt onder de meldplicht datalekken

 

Dat er sinds 1 januari 2016 een meldplicht bestaat voor lekken van persoonsgegevens, is inmiddels alom bekend. Dat ook een aanval met ransomware in sommige gevallen onder die meldplicht valt, realiseert niet iedereen zich. Ik merkte dat onlangs weer bij een van onze seminars over cyberrisico’s. Nog altijd bestaat er onnodig veel onduidelijkheid over (de impact van) het risico en de mogelijkheden om de risico’s te verkleinen. Bijvoorbeeld door middel van een cyberverzekering.

Als kwaadaardige software bestanden met persoonsgegevens versleutelt, is dat een datalek dat valt onder de meldplicht. De Autoriteit Persoonsgegevens schrijft daarover in zijn FAQ: “Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak. Dit houdt in dat u het datalek bij de Autoriteit Persoonsgegevens moet melden als het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.”

Hoe een cyberverzekering kan helpen
Een infectie met ransomware is al vervelend genoeg. Niet alleen vanwege de directe schade, maar juist de indirecte schade maakt cyberrisico’s zo veelomvattend. Denk aan reputatieschade, boetes en kosten die u maakt om gegevens weer terug te krijgen. Juist voor die indirecte schade kan een cyberverzekering uitkomst bieden. Niet alleen voor geldelijke vergoedingen, maar juist om de impact te beperken met een team van specialisten bestaande uit (internationale) forensisch experts, advocaten en PR/communicatie adviseurs.

Een cyberverzekering dekt onder meer de volgende zaken:



Afbeelding: de traditionele verzekeringen vs. de cyberverzekering

Cyber is geen IT-aangelegenheid
In alle reacties rond de WannaCry-aanval viel het me weer op: de adviezen gaan in de eerste plaats richting de ICT-afdeling. Met de nieuwste patch van Windows komt deze malware je netwerk niet meer binnen. Begrijp me niet verkeerd: dat is een goed advies. Om de risico’s te verminderen, is het essentieel om software steeds bij te werken. Maar wie daarna stopt, heeft nog altijd niet begrepen dat cyberrisico’s een organisatiebreed risico zijn. Echte beheersing daarvan vraagt om een integrale aanpak, die een prominente plek op de agenda van het bestuur vereist. Het updaten van software of het afsluiten van een verzekering zijn in die aanpak slecht een klein onderdeel. Alle organisatieonderdelen moeten samenwerken, van ICT tot Legal, HR en Communicatie.

Ga dus het gesprek aan met elkaar en stel elkaar de juiste vragen:

 

Door de juiste vragen te stellen verschuift u de focus van ICT-veiligheid naar integraal impact management. En van een abstracte dreiging naar een afgewogen aanpak.

  • Aansprakelijkheid: schadevergoeding en juridische bijstand in geval van aanspraken van derden als gevolg van verlies van persoonsgegevens en/of bedrijfsinformatie;
  • Crisismanagement: kosten (forensisch) onderzoek, crisiscommunicatie, klant notificatiekosten, kredietbewaking, IT-diensten, cyberincident responsediensten;
  • Maak van databeveiliging een absolute topprioriteit als je bedrijf ‘handelt’ in kennis. Cybercriminelen richten zich meer en meer op. Kennisdiefstal ligt overal op de loer.
  • Boetes: kosten voor onderzoek door een toezichthouder, juridische bijstand, bestuurlijke boetes;
  • Digitale media, Schadevergoeding en kosten van verweer in verband met aanspraken van derden tegen u die voortvloeien uit uw multimedia-activiteiten. Bijvoorbeeld smaad en laster of plagiaat;
  • Cyber- / privacy afpersing, waaronder ransomware;
  • Cyberdiefstal: verlies van geld of geldwaarden en/of goederen door diefstal;
  • Hacking telefooncentrale, vergoeding van de belkosten.
    • Legal: Zijn wij contractueel voorbereid op de AVG (bewerkersovereenkomsten / SLA’s en Privacy statement)?
    • Risk/Insurance Manager: Hebben wij de privacy risico’s onder de AVG in kaart gebracht en ons verzekeringsprogramma daar op aangepast?
    • Financieel directeur: Hoe verhouden deze risico’s zich tot onze financiële kernratio’s en financiële draagvermogen?
    • ICT Manager/CISO: Zijn wij passend beveiligd tegen datalekken? En hoe zijn wij voorbereid op een incident?
    • Medewerkers: Weten jullie wat een datalek is en waar dat intern gemeld moet worden?