Cyber special deel 2: Bedrijfsschade na privacy lek: inkomensverlies, klantverlies, boetes en meer

Over cybergevaren en de noodzaak van verzekering tegen de gevolgen 

Bedrijfsschade na privacylek:
inkomensverlies, klantverlies, boetes en meer…
Voor veel ondernemers zijn cyberrisico’s nog altijd een ver van mijn bed show. Maar of je nu bestuurder bent bij een multinational of een eenpitter: cybercriminaliteit overkomt iedereen. De gevolgen –financieel en voor je reputatie- kunnen enorm zijn en de Meldplicht Datalekken doet daar nog een schepje bovenop.

 

Wat zijn de gevolgen van een datalek of cyberhack?
De gevolgen van cybercrime kunnen enorm zijn. Ondernemers krijgen te maken met bedrijfsschade, inkomensverlies door bedrijfsonderbreking, klantverlies door reputatieschade. De kans is groot dat je een onderzoeksexpert moet in huren en misschien zelfs een PR-bureau en een callcenter. Nog los van een mogelijke boete voor privacyschending.

Als je ‘eigen schade’ hebt, wil je weten wat er is gebeurd”, aldus Jelmer Andela, senior underwriter Cyber bij Chubb. “Het is net als bij een inbraak in een woonhuis: iemand is binnengekomen in mijn netwerk: hoe heeft dat kunnen gebeuren? Forensisch onderzoek kost je zo’n 1.000 euro per dag. En je moet wellicht een advocaat inschakelen om te onderzoeken of je melding moet doen bij de Autoriteit Persoonsgegevens.

Firewall
Het Britse ministerie voor Bedrijfsleven, Innovatie en Vaardigheden schatte in 2014 dat een beveiligingslek een klein bedrijf tussen de 91.000 en 162.000 euro en een grote organisatie tot wel 1,6 miljoen euro kost.

Bij IT-bedrijven liggen de grootste risico’s bij aansprakelijkheid,” zegt Barry Schütte Manager Pro ICT/Cyber. “Veel IT-bedrijven bijvoorbeeld, beheren data van grote klanten zoals KLM en Hema. Als de firewall niet goed geïnstalleerd is waardoor de klant schade lijdt, stelt die de IT-leverancier aansprakelijk.”

Allround adviseur
Ook kleinere organisaties en eenpitters lopen gevaar. Zo voert Chubb regelmatig gesprekken met bedrijven in de financiële sector. “Het mooiste van de doelgroep van financieel adviseurs is dat ze beschikken over ontzettend veel privacygevoelige informatie”, vertelt Andela. “Zeker de allround adviseur. Die heeft kopieën van ID-bewijzen, BSN-nummers, BKR-gegevens, loonstroken.

Andela wijst daarbij op een tegenstrijdigheid. “Een hypotheekadviseur moet communiceren met de bank. Banken moeten voldoen aan ontzettend hoge verplichtingen ten aanzien van data. Bij adviseurs liggen die eisen helemaal niet zo hoog, terwijl ze wel over dezelfde data beschikken. En een adviseur is veel kwetsbaarder; hackers zijn zó binnen.”

Meldplicht Datalekken
Sinds 1 januari 2016 geldt de wet Meldplicht Datalekken. Sindsdien is elk bedrijf verantwoordelijk voor een veilig beheer van persoonsgevoelige data. Voor het niet op orde hebben van adequate beveiliging of het verwerken van persoonsgegevens zonder toestemming kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 820.000 euro of tien procent van de jaaromzet. Het is zelfs mogelijk om bestuurders civielrechtelijk te beboeten.

De wet maakt geen onderscheid tussen grote of kleine bedrijven. “Je kunt niet van een ZZP’er verwachten dat die dezelfde beveiliging heeft als een bank”, nuanceert Jelmer Andela. “Maar als het uit de hand loopt, maakt de Autoriteit Persoonsgegevens een afweging. Een boete van 50.000 euro is voor de meeste zzp’ers een ernstige bedreiging van het voortbestaan van hun  bedrijf.

Europese verordening
Dan is er nog de nieuwe Europese verordening. Vanaf 25 mei 2018 geldt er nog maar één privacywet in de hele EU. Schütte: “In 2018 krijgen bedrijven te maken met nog hogere boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, welk bedrag het hoogst is. Naast overheidsinstelling (hiervoor geldt dit nu al) zullen nu ook bedrijven die regelmatig, structureel en systematisch op grote schaal persoonsgegevens verwerken en bedrijven die op grote schaal “bijzondere persoonsgegevens” (bijv. ras, religie en politieke voorkeur) verwerken, een Data Protection Officer (dit kan zowel iemand intern als extern zijn) moeten aanstellen.”

Voorts geldt onder andere ook dat ondernemingen die technologieën en processen hebben die een hoog risico vormen voor de rechten van betrokkenen, een Privacy Impact Assessment moeten maken.

Afgelopen zomer berekende privacy-expert Elisabeth Tholen in NRC Handelsblad dat de Europese Verordening zal bestaan uit zo’n honderd artikelen. Het is dan ook niet gek dat op een handvol multinationals na, de meeste organisaties nauwelijks zijn voorbereid op de nieuwe wetgeving. Andela herkent dat.  “Sowieso als het gaat over het MKB in het algemeen, zijn daar nog grote stappen te zetten op het gebied van beveiliging.

Ver van mijn bed
Ook voor kleinere assurantiekantoren en zelfstandige financieel adviseurs blijkt bij navraag cybersecurity nog een ver van mijn bed show. Ondanks de risico’s. “Zo’n adviseur zegt: Ik doe jaar in jaar uit zoveel bezoeken en dat gaat altijd goed”, weet Andela.  “Maar ga eens na wat het je kost als je er een paar dagen uit ligt: wat is dan je eigen schade?

Hij geeft een voorbeeld:  “Laatst had ik een klant -een assurantietussenpersoon met vijf kantoren- die een hostingprobleem had bij het datacenter. Hij maakte een sommetje: zoveel man die zoveel uur niet hebben kunnen werken: 60.000 euro schade.

Andere ondernemers vinden cybersecurity een belangrijk onderwerp, maar wat moet je ermee? Een betere virusscanner aanschaffen? Moet je je verzekeren? Cybercrime voorkomen, kan niet volgens Chubb. Maar je kunt wel preventieve maatregelen nemen om het zo veel mogelijk te voorkomen.

Wat kun je zelf doen om een datalek of cyberattack te voorkomen?
Deel 3 van Chubb’s serie over cybercrime verschijnt over enkele weken en gaat over cybersecurity en preventieve maatregelen.

Wordt vervolgt

Deze educatieve serie over de gevaren van Cybercrime is een idee van de redactie van Findinet en is tot stand gekomen i.s.m. Bex communicatie en Partner van Findinet CHUBB.

Op 15 februari jl verscheen Deel 1 van deze serie over cybercriminaliteit

GEEN REACTIES