Netherlands

AGRC Risk Impact: het klimaatakkoord en de Meldplicht Datalekken

 

Editie december 2015

Risk Impact is een uitgave van Aon Global Risk Consulting (AGRC), waarin de actuele risico’s en hun potentiële impact voor het Nederlands bedrijfsleven worden besproken. Wat speelt er in de wereld, wat betekent dit voor u en wat kunt u doen om de impact op uw bedrijf te beheersen en beperken?

We kunnen niet anders stellen: 2015 was een bewogen jaar. Politieke risico’s veranderden aanzienlijk, en de dreiging van terrorisme nam verder toe. Dat die dreiging reëel is, bleek vooral in Parijs – de Franse hoofdstad werd zowel in januari als november door aanslagen getroffen. Ook het thema reputatieschade was het afgelopen jaar veelvuldig in het nieuws. Van alle incidenten bij bedrijven sprong de dieselfraude bij Volkswagen het meest in het oog.

Ook natuurrampen kenmerken 2015. De overstromingen in Engeland en de Côte d’Azur, bosbranden in Australië en Californië en aardverschuivingen in China en Guatemala toonden eens te meer aan dat klimaatverandering vergaande gevolgen heeft. Het jaar 2015 was ook een uitzonderlijk orkaanseizoen. Nieuwe hoop is gevestigd op het klimaatakkoord dat maar liefst 195 landen in Parijs afsloten. Dit akkoord moet de klimaatverandering een halt toeroepen.

In deze Risk Impact blikken we niet alleen terug, maar kijken we ook vooruit naar 2016. Met de slechtste eerste beursweken ooit en het faillissement van V&D is het “risk” jaar niet goed begonnen. Ook is sinds 1 januari de Meldplicht Datalekken van kracht geworden. Dit kan verstrekkende gevolgen hebben voor uw organisatie. Hieronder leest u hoe u hiermee om kunt gaan.

Historisch klimaatakkoord tussen 195 landen
Dat het klimaat van onze planeet verandert, leidt voor weinigen nog twijfel. Maar niet alleen de aarde warmt op; ook het ondernemingsklimaat verandert. Dat bleek ook tijdens de VN-klimaattop die medio december in Parijs plaatsvond.

Hoewel het Nederlandse bedrijfsleven al jaren verduurzaamt, zijn er nog legio sectoren die met hun productie- en/of verwerkingsproces veel vervuiling veroorzaken. Door het klimaatakkoord is dat straks niet meer toegestaan of wordt dat door aanvullende heffingen onaantrekkelijk gemaakt. Daarmee dient het akkoord als stok achter de deur voor een versnelde verduurzaming.

Voor organisaties is het zaak om deze situatie niet als bedreiging, maar als kans te zien. Innovaties en verduurzamingsprojecten die de afgelopen jaren niet van de grond kwamen, zouden nu wel eens voorrang kunnen krijgen. Denk aan het verwarmen van gebouwen met restenergie of aan verwarming via warmtepompen. Ook elektrisch rijden zal een vlucht nemen. Niet alleen dankzij gunstige (belasting)tarieven, maar ook dankzij het steeds schaarsere aanbod aan fossiele brandstoffen.

Om ‘groene’ ontwikkelingen zoals elektrisch rijden en het gebruik van warmtepompen écht duurzaam te maken, zal ook de energietoeleveringsketen moeten verduurzamen. Windmolenparken en zonne-energie zijn daarvoor aangewezen bronnen, maar vragen wel om investeringen. Ook de afvalmanagement- en recyclingsector wacht een verdere groei – niet alleen in Nederland. Onze omvangrijke kennis van waste management zou zomaar een gloednieuw Nederlands exportproduct kunnen zijn.

Maar eerlijk is eerlijk: het klimaatakkoord stelt het Nederlandse bedrijfsleven ook voor uitdagingen. Om te zien wat de impact voor uw organisatie is, adviseren wij u om uw proces onder de loep te (laten) nemen. Ook is het goed om daarbij te bepalen waar verduurzaming mogelijk is. Kijk kritisch naar uw energie-afname en onderzoek of dit nog past binnen de gestelde klimaatdoelen en het ‘groene’ sentiment onder de consument. Past uw bedrijf nog binnen het ondernemingsklimaat van 2040, wanneer de doelen van het klimaatakkoord bereikt moeten zijn?

Reputatieschade blijft toprisico
Nieuw in de jaarlijkse risicolijst van het Britse Centre for the Study of Financial Innovation (CSFI) is reputatierisico. De lijst is gebaseerd op interviews met 672 bankiers, toezichthouders en marktkenners. Zij werden met name naar opkomende risico’s in de financiële branche gevraagd. Hoewel reputatierisico als één van de belangrijkste risico’s uit de bus komt, staat de twaalfde plek nog altijd in schril contrast met de eerste plek die het risico krijgt in de Aon Global Risk Management Survey. Aan dit onderzoek deed het complete bedrijfsleven mee, waaronder de financiële sector.

Ook de onderzoekers van CSFI zelf vonden de twaalfde plek aan de lage kant, zeker gezien de ontwikkelingen in de branche over de afgelopen jaren. Toch blijken juist die ontwikkelingen de lagere score te verklaren. Respondenten gaven aan dat de branche al zoveel reputatieschade heeft geleden, dat de kans dat het nog erger wordt miniem is. Het risico van reputatieschade staat daarom in de schaduw van risico’s zoals economische ontwikkeling of cybercrime.

Hoe reageren aandelenmarkten op gebeurtenissen die de reputatie van een bedrijf schaden? Dat verschilt sterk, zo blijkt uit onderzoek uit oktober 2015 van de Federal Reserve Bank of Boston. Investeerders beschouwen externe incidenten veelal als one-offs, terwijl interne gebeurtenissen harder worden bestraft. De fraudes bij Volkswagen en Imtech bevestigen dit. Investeerders zien fraudes als indicator voor een matige bedrijfsvoering, en dus voor een structureel intern probleem.

Interne gebeurtenissen hebben ook een voordeel: ze zijn makkelijker met maatregelen te beperken en te sturen. Cruciaal voor het bepalen van die maatregelen is inzicht in de oorzaken – zonder dat inzicht is uw organisatie overgeleverd aan de grillen van (social) media en de publieke opinie. Over het algemeen zijn de oorzaken van reputatieschade te verdelen in vier categorieën: (1) negatieve gebeurtenissen die uit informatief oogpunt in de publiciteit komen, (2) negatieve ervaringen van stakeholders met een persoon of uw organisatie als geheel, (3) bewuste zwartmakerij en (4) gebeurtenissen of incidenten uit het verleden. Een analyse van deze oorzaken kan zorgen voor scherpte in de te nemen maatregelen.

Meldplicht Datalekken: actie vereist
Sinds de gewijzigde Wet bescherming persoonsgegevens (Wbp) in werking is getreden, op 1 januari 2016, is ook de Meldplicht Datalekken van kracht. Organisaties zijn vanaf nu verplicht om een ernstig datalek binnen 72 uur bij de Autoriteit Persoonsgegevens te melden. Van zo’n datalek is sprake in geval van een verloren USB-stick, een gestolen laptop, maar ook een hack van databestanden of een malware-besmetting waarbij persoonsgegevens verloren gaan.

In de meeste gevallen moet het incident ook worden gemeld aan de persoon of personen van wie de gegevens zijn. De organisatie moet ook aangeven welke maatregelen zijn en/of worden genomen om de gevolgen van het lek te verhelpen. Een overtreding van de wet kan leiden tot een maximale boete van EUR 820.000,-.

Voor organisaties die persoonsgegevens verzamelen of verwerken, is het zaak om gegevens nog beter tegen verlies en onrechtmatige verwerking te beschermen. De eerste stap om te bepalen voor welke onderdelen dit met name geldt, is een gedegen risicoanalyse. Het beleid dat hieruit volgt moet worden ingebed in de dagelijkse praktijk.

Een Privacy Impact Assessment (PIA) kan helpen om de gevolgen van de nieuwe privacywetgeving en de risico’s van het bewaren, bewerken en verwerken van persoonsgegevens in kaart te brengen. Belangrijk is dat de juiste mensen op het juiste moment geïnformeerd zijn, zodat zij tijdig en adequaat kunnen handelen. Zorg dat duidelijk is wie voor deze PIA binnen uw organisatie verantwoordelijk is.

Ook cyber risks in het algemeen zullen meer zichtbaar worden in Europa.
De Cyber diagnose tool vergroot de bewustwording over cyberrisico's binnen uw organisatie en geeft een inschatting van de mogelijke gevolgen van cyberaanvallen.

Risicoanalyses brengen niet alleen risico’s in kaart, maar creëren ook meer bewustwording en samenhang bij verantwoordelijke personen en afdelingen binnen uw organisatie. Cruciaal is dat u de resultaten met het management en/of de directie bespreekt: bestuurders kunnen persoonlijk aansprakelijk worden gehouden voor het niet naleven van de privacywetgeving. Na het bespreken van de analyse weet u welke (extra) maatregelen u moet nemen en legt u nieuwe afspraken vast.