Blog Digitaal ondernemen

19.10.2021 Roeland Lembrechts

Waarschuwing van jouw advocaat: cybersecurity is ook een juridische uitdaging voor jouw bedrijf

Wie zijn of haar bedrijf wil wapenen tegen cyberrisico’s denkt in de eerste plaats aan technische beveiliging. Dat is uiteraard logisch. Antivirus, firewalls paswoordmanagers, encryptiesoftware en talloze andere IT-producten en -diensten zorgen immers effectief voor een veiligere digitale omgeving.  Zij vormen dan ook als vanzelfsprekend de basis van elk degelijk cyberveiligheidsbeleid. 

Als we als advocaat of jurist bedrijven erop wijzen dat naast al die technische maatregelen cyberveiligheid óók een juridisch vraagstuk is, kijken ondernemers vaak erg verbaasd op.  Wat heeft een advocaat in godsnaam te maken met de cyberveiligheid van je onderneming? Die reactie is begrijpelijk, maar ook erg jammer. Sterk en gespecialiseerd juridisch advies kan en moet immers een sleutelrol spelen in jouw cyberveiligheidsstrategie. 

Wij zijn daar uiteraard zelf al lang van overtuigd, maar je mag het ook aannemen van anderen en niet de minsten, zoals het World Economic Forum.

14.10.2021 Bart Van den Brande

Scrapers en crawlers zijn vaak illegaal omdat ze het databankrecht schenden.

We krijgen heel wat vragen van online start-ups rond het gebruik van scraper en crawlers om online content te verzamelen en die, al dan niet herverpakt, aan te bieden op het eigen platform. Meestal gaat die vraag gepaard met een ernstige waarschuwing van onze kant. Als de informatie die je online verzamelt opgenomen is in een georganiseerde databank, is ze meestal beschermd onder het Databankrecht en mag je ze niet geheel kopiëren of er systematisch data uit opvragen voor eigen gebruik.
Een recent arrest van het Europees Hof van Justitie verduidelijkte dit deze zomer nog eens.

13.10.2021 Bart Van den Brande

Sirius Legal is juridische partner van Agoria Techlancers, dé community voor freelancers in de technologische sector

We hebben bij Sirius Legal een lange traditie van partnerships met beroepsfederaties in technologie- en communicatiegebonden sectoren. We waren dan ook erg vereerd en enthousiast toen Agoria ons een tijdje geleden vroeg of we de vaste legal partner wilden worden van hun nieuwe community voor IT consultants, Techlancers, die vorige week boven de doopvont werd gehouden.

Populair artikel BTW_e-commerce
24.06.2021 Bart Van den Brande

BTW in e-commerce voor marktplaatsen vanaf 1 juli 2021

De regels voor BTW in e-commerce veranderen vanaf 1 juli 2021.  Daarover kon je al alles lezen in onze checklist “De nieuwe BTW-regels in e-commerce. Dankzij deze wetswijziging worden gelijke concurrentievoorwaarden voor ondernemingen gegarandeerd, zowel binnen als buiten de EU, dus dat is een positief gegeven.

Als webshop eigenaar ben je maar beter op de hoogte van de nieuwe BTW-regels. Er is een grote impact op je fiscalé aangifte én je hebt de verantwoordelijkheid om op jouw webshop de correcte prijzen inclusief BTW te vermelden. Ook voor webbouwers is dit een uitdaging aangezien niet alle webshop platformen complexe en verschillende BTW-voeten per land kunnen hanteren.

Deze week kregen we een concrete vraag van één van de grote logistieke partners in FMCG in de Benelux naar de verantwoordelijkheden van marktplaatsen en platformwebsites onder de nieuwe regels en die leek ons relevant genoeg om ze even in een blog te hernemen.  

 

Kleine verkopen door verkopers buiten de EU

Tot 1 juli 2021 zijn pakjes met een kleine waarde, onder 22 euro, die afkomstig zijn van buiten de EU (denk aan verkopen via bvb AliExpress) gewon vrijgesteld van BTW.  dat is handig voor de consument, maar dat veroorzaakt wel een concurrentienadeel voor Europese verkopers, die wél BTW moeten aanrekenen en dus altijd duurder zijn dan hun niet-Europese concurrenten.

Vanaf 1 juli verandert dit.  Op alle verkopen, ook onder 22 euro en ook door verkopers buiten de EU, is gewoon BTW verschuldigd.  

Er wordt wel een nieuw systeem ingevoerd, dat voorziet dat marktplaatsen of platformwebsites in de EU die derde verkopers van buiten de EU hosten, verantwoordelijk kunnen zijn voor het afhandelen van de BTW voor die niet-Europese verkopen als het gaat om verkopen van minder dan 150 euro per pakketje.  Op die manier is Amerikaanse of Chinese verkoper zelf niet verantwoordelijk voor BTW-verplichtingen in de EU én kan voorkomen worden dat de consument bij levering door de koerier gevraagd wordt om nog even (onverwacht meestal) de BTW bij te passen. 

 

Verantwoordelijkheid platformen en marktplaatsen

Er zijn wat voorwaarden die vervuld moeten zijn voordat je als marktplaats of platformwebsite moet instaan voor de BTW op kleine verkopen door niet-EU verkopers op jouw platform.   We lijsten die hieronder nog even op.

In se staan platformen en marktplaatsen in voor de BTW-afhandeling als zij “de goederenlevering faciliteren”.  Dat begrip is zeer breed te interpreteren.  De bedoeling van de EC is om quasi alle platformen en marktplaatsen wel als BTW-plichtige in te schakelen, behalve in zeer beperkte uitzonderlijke gevallen.  Wie valt buiten de definities: eigenlijk de facto alleen pure PSP’s of pure lead generation / affiliate platformen.

Vraag is in de eerste plaats wat “faciliteren” hier betekent.  Dat wordt verduidelijkt in de “Toelichting op de btw-regels voor e-commerce” die de Europese Commissie afgelopen najaar publiceerde.

Samengevat zijn dit de regels:

  • De vraag of een platform of marktplaats verkopen “faciliteert” moet per transactie bekeken worden.  Het kan best zijn dat er soms sprake is van “faciliteren” en soms niet en dat de marktplaats of het platform dus soms instaat voor de BTW-verplichtingen en soms niet (bvb afhankelijk van de vraag of het pakket boven of onder de 150 euro zit of afhankelijk van de rol van de marktplaats of het platform bij bepaalde verkopen)…
  • Onder “faciliteren” wordt verstaan het in contact brengen van koper en verkoper via een elektronische interface (webplatform). Met andere woorden, de verkoop-aankoop wordt gerealiseerd/gesloten met behulp van de elektronische interface. 
  • Concreet blijkt “faciliteren” uit het feit dat de werkelijke bestelling en de afrekening door of met behulp van de elektronische interface worden uitgevoerd.
  • Daarnaast moet de transactie ook effectief worden afgesloten via de elektronische interface”.  dat staat los van de levering/shipping/logisitiek, die eventueel door de verkoper zelf afgehandeld wordt.
  • Er is géén sprake van “faciliteren” als 3 voorwaarden cumulatief vervuld zijn:
    • Als het platform  noch direct, noch indirect één van de algemene voorwaarden bepaalt waaronder de goederenlevering wordt verricht.  Dit is zeer breed te interpreteren: zodra het platform zelf ook gebruiksvoorwaarden / accountvoorwaarden heeft voor gebruikers, wordt het geacht wel onrechtstreeks één van de algemene voorwaarden te bepalen (zie lijstje hieronder met voorbeelden van situaties waarin het platform geacht wordt (mee) de voorwaarden te bepalen). 
    • Én als het platform noch direct, noch indirect betrokken is bij “het verlenen van goedkeuring om de afnemer te factureren voor de gedane betaling” (Dit is concreet het faciliteren van de betaling via het platform of via een PSP gekoppeld aan het platform)
    • Én als het platform noch direct, noch indirect betrokken is bij de bestelling of de levering van de goederen.  Ook dit moet ruim geïnterpreteerd worden, zie lijstje met voorbeelden hieronder.

 

Concrete voorbeelden

Het platform bepaalt mee de voorwaarden in bijvoorbeeld deze gevallen, volgens de “Toelichting op de btw-regels voor e-commerce” :

  • als de elektronische interface is eigenaar van of beheert het technische platform voor de levering van goederen;  
  • als de elektronische interface bepaalt regels voor het aanbieden en verkopen van goederen via zijn platform;  
  • als de elektronische interface is eigenaar van klantgegevens in verband met de levering;  
  • als de elektronische interface voorziet in een technische oplossing voor het opnemen van bestellingen of het in gang zetten van het aankoopproces (bv. door de goederen in een winkelwagen te plaatsen);  
  • als de elektronische interface organiseert/beheert de communicatie van het aanbod, de aanvaarding van de bestelling of de betaling voor de goederen;  
  • als de elektronische interface bepaalt voorwaarden waaronder de leverancier of afnemer verantwoordelijk is voor de betaling van de kosten in verband met het terugzenden van goederen;  
  • als de elektronische interface legt een of meer specifieke betaalmethoden, opslag- of fulfilmentvoorwaarden of methoden voor verzending of levering op aan de onderliggende leverancier die moeten worden gebruikt om de handeling te volbrengen;  
  • als de elektronische interface heeft het recht de betaling van de afnemer te verwerken of in te houden van de onderliggende leverancier of om anderszins de toegang tot tegoeden te beperken;  
  • als de elektronische interface kan de verkoop zonder toestemming of goedkeuring van de onderliggende leverancier crediteren indien de goederen niet naar behoren werden ontvangen;  
  • als de elektronische interface biedt klantenservice, hulp bij het terugzenden of omruilen van goederen, of procedures voor klachtenafhandeling en geschillenbeslechting voor leveranciers en/of hun afnemers;  
  • als de elektronische interface heeft het recht om de prijs vast te stellen waartegen de goederen worden verkocht, bijvoorbeeld door korting aan te bieden via een loyaliteitsprogramma, heeft controle over of oefent invloed uit op de prijsstelling.

Het platform is betrokken bij de bestelling of de levering als:

  • de elektronische interface voorziet in het technische hulpmiddel om de bestelling van de afnemer aan te nemen (meestal de winkelwagen / afrekening);  
  • de elektronische interface verstrekt de afnemer en de onderliggende leverancier de bevestiging en/of de gegevens van de bestelling;  
  • de elektronische interface berekent de onderliggende leverancier een vergoeding of commissie op basis van de waarde van de bestelling;  
  • de elektronische interface geeft goedkeuring om met de levering van de goederen te beginnen / geeft de onderliggende leverancier of een derde opdracht om de goederen te leveren;  
  • de elektronische interface verleent fulfilmentdiensten aan de onderliggende leverancier;  
  • de elektronische interface regelt de levering van de goederen;  
  • de elektronische interface verstrekt de afnemer gegevens met betrekking tot de levering. 

 

Vragen over e-commere of BTW?

Check zeker even onze checklist én onze “BTW-checker” service voor webshops als je meer info wil over de nieuwe BTW-regels in e-commerce.

We maken natuurlijk ook graag persoonlijk tijd voor je.  Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.

06.05.2021 Bart Van den Brande

Europese Unie neemt de leiding in regulering van AI

Alexa, Siri en de Google Assistent, zelfrijdende wagens, spraak- en gezichtsherkenning, beeld- en tekstanalyse software, …  Artificiële Intelligentie is de voorbije jaren aan een ware explosie bezig en bewust of onbewust wordt het leven van élk van ons vandaag al dagelijks beïnvloed door (de gevolgen van) AI: van de reclame die we te zien krijgen, tot de regeling van de verkeerslichten waar we staan te wachten terwijl we die reclame wegswipen op onze smartphone. 

Kunstmatige intelligentie wordt dan ook terecht door de EU beschouwd als één van de essentiële bouwstenen voor de digitale maatschappij van de toekomst en gelet op de snelheid waarmee de rekenkracht van computersystemen evolueert is die toekomst niet morgen, maar gisteren al begonnen.

Die razendsnelle evolutie heeft echter ook de voorbije jaren het besef doen groeien dat er dringend nood is aan een regelgevend kader.  In het beste geval maakt AI ons leven aangenamer, maar als diezelfde technologie in verkeerde handen zou komen, kan dat potentieel desastreuze gevolgen hebben, bijvoorbeeld voor jouw en mijn privacy.  

Precies om die reden wordt er achter de schermen binnen de EU al 2 jaar gewerkt aan een regelgevend kader dat moet zorgen voor een veilig en ethisch verantwoord gebruik van AI binnen de EU.  Het eerste ontwerp van de “AI Verordening” dat hieruit voort zou moeten vloeien, werd vorige week publiek gemaakt, nadat ze naar goede gewoonte enkele dagen eerder al onbedoeld was uitgelekt.

We overlopen hieronder de grote lijnen van het ontwerp samen met jou.

 

Eerste poging in de wereld om AI te reguleren

Het voorstel van verordening dat de Europese Commissie op 21 april 2021 publiek maakte is het allereerste regelgevingskader voor AI ter wereld.  De regels zijn onderdeel van de strategie van de Europese Commissie om van de EU een mondiale hub voor nieuwe technologie en digitalisering te maken.  Om dit doel te bereiken wil de EU zorgen voor wettelijke waarborgen voor de privacy en de grondrechten van Europese burgers en wil ze tegelijk het draagvlak voor AI, investeringen en innovatie in de hele EU versterken. 

(Cynici vragen zich daarbij overigens nu al af of het ontwerp dat vandaag voorligt, omdat het zo streng is, niet precies het omgekeerde effect dreigt te hebben, maar daarover later meer).  

 

“Risk based approach” die doet denken aan GDPR

De nieuwe regels doen bij een eerste lezing onmiddellijk denken aan de GDPR, die sinds 2018 in de EU en tot ver daarbuiten bepaalt hoe bedrijven mogen omgaan met jouw en mijn persoonsgegevens.  Op een gelijkaardige manier wil de EU voor het ganse grondgebied van de EU op één en dezelfde wijze reguleren hoe bedrijven data (al dan niet persoonsgegevens) kunnen inzetten binnen AI-algortimes. 

Eén van die opvallende raakpunten met de aanpak onder GDPR is de zogenaamde “risk based approach”: AI-development zal een risicoanalyse vereisen en AI-systemen die een duidelijke bedreiging vormen voor de veiligheid en rechten van Europese burgers, worden verboden. Het gaat dan om AI-toepassingen die menselijk gedrag manipuleren om de vrije wil van gebruikers te omzeilen.  De Europese Commissie geeft zelf als voorbeeld “smart” speelgoed met spraaktechnologie dat kinderen kan aansporen tot gevaarlijk gedrag. De Commissie maakt een onderscheid tussen zulke “hoog risico” AI, “beperkt risico” AI en “minimaal risico” AI. 

Hoog risico AI-systemen zijn diegene die gebruikt worden voor publieke infrastructuur (verkeer bvb), in medische omgevingen, in het kader van beroepsopleidingen of toegang tot onderwijs (bvb verbeteren van examens), werkgelegenheid, personeelsbeleid (bvb screening bij sollicitaties), essentiële diensten zoals bank- en kredietdiensten (kredietwaardigheidschecks), gebruik door politiediensten, douanediensten, rechtbanken en andere overheden (inclusief bijvoorbeeld ook alle mogelijke biometrische systemen van gezichtsherkenning, stemherkenning, vingerafdrukherkenning, etc…). 

Deze toepassingen zullen aan strenge verplichtingen worden onderworpen voordat zij in de handel mogen worden gebracht:

  • Ernstige plichten tot risicobeoordeling en -beperking
  • Hoge kwaliteit van de datasets die het systeem voeden om risico’s en discriminerende resultaten zoveel mogelijk uit te sluiten
  • Registratieplicht (!)
  • Gedetailleerde documentatie en transparantie naar overheden toe over de werking van de algoritmes
  • Transparante informatie voor gebruikers
  • Verplichting tot passend menselijk toezicht op de werking
  • (cyber-)Veiligheid, robuustheid en nauwkeurigheid

Met name alle systemen voor biometrische identificatie op afstand worden als risicovol beschouwd en moeten aan strikte eisen voldoen. Op openbare plaatsen is het rechtstreekse gebruik van die systemen voor rechtshandhavingsdoeleinden in beginsel verboden. Beperkte uitzonderingen zijn strikt gedefinieerd en geregeld (bv. om een vermist kind te zoeken, een specifieke en nakende terroristische dreiging af te wenden of een dader of verdachte van een ernstig strafbaar feit op te sporen, te identificeren of te vervolgen). Er moet vooraf toestemming worden gegeven door een rechterlijke of andere onafhankelijke instantie, die slechts geldt voor een beperkte termijn en omgeving en voor specifieke databanken.

Onder AI-toepassingen met beperkt risico verstaat de Verordening bijvoorbeeld chatbottoepasingen.  Het zal vereist zijn om de gebruiker transparant en correct te informeren over het gebruik van AI, zodat hij of zij zelf kan beslissen om wel of niet met een softwaretoepassing in gesprek te gaan.

De laatste categorie is met voorsprong de grootste.  Het gaat om duizenden AI-toepassingen voor dagelijks gebruik, die slechts een “minimaal risico” met zich meebrengen.  Als voorbeelden worden vernoemd : “slimme” spamfilters, zelflerende video games, predictieve marketingtools, slimme keukentoestellen, … De ontwerpverordening laat die systemen ongemoeid aangezien het risico voor de rechten of de veiligheid van burgers minimaal of onbestaand is (wat overigens niet betekent dat andere regels zoals precies GDPR niet van kracht zouden kunnen zijn op deze toepassingen, natuurlijk!).

Los van bovenstaande zijn er overigens in het ontwerp ook AI-toepassingen die per definitie verboden zouden zijn.  Dat is bijvoorbeeld het geval voor het gebruik van realtime geautomatiseerde gezichtsherkenningssystemen door overheidsinstanties op openbaar toegankelijke plaatsen of ook nog AI-toepassingen die “subliminale technieken gebruiken die het bewustzijn van een persoon te boven gaan“, of die proberen misbruik te maken van de kwetsbaarheden van mensen als gevolg van leeftijd, fysieke of mentale handicap, in beide gevallen om hun gedrag te verstoren op een manier die lichamelijk letsel kan veroorzaken. of psychologische schade.

 

Te vergaande beperkingen?

Er is overigens meteen ook heel wat, al dan niet terecht, kritiek op het ontwerp van verordening.  Vroege tegenstanders wijzen erop dat de Europese Unie zichzelf in de voet dreigt te schieten.  Ze legt immers als eerste politieke blok ter wereld een wetgevend kader op rond AI dat meteen ook vergaande beperkingen met zich mee brengt én ze legt diezelfde regels meteen ook -net zoals bij GDPR- op aan niet-Europese bedrijven die hun software in de EU willen aanbieden. Met name het verbod om AI in te zetten voor bijvoorbeeld credit scoring of ook nog de vergaande beperkingen in het gebruik van biometrische data dreigen volgens sommigen ernstige concurrentiebeperkingen op te leggen aan Europese spelers en dreigen dus innovatie te verplaatsen van de EU naar andere delen van de wereld.

Nochtans is de Europese Commissie niet lichtzinnig over het innovatieaspect heen gegaan.  Het ontwerp bevat immers precies ook maatregelen ter ondersteuning van innovatie. Zo is er bijvoorbeeld voorzien in een sandboxing-regeling op het gebied van AI en zijn er maatregelen die KMO’s en start-ups moeten vrijstellen van al te veel regelgevende druk of ook nog de oprichting van digitale hubs en faciliteiten voor het testen van experimenten. 

 

Boetes en sancties

Het ontwerp voorziet overigens ook in een stevig sanctiemechanisme bij overtredingen en de voorziene boetes doen op hun beurt ook weer sterk denken aan wat we al kennen onder GDPR, met administratieve boetes tot 20.000.000 euro of 4% van de totale wereldwijde jaaromzet. Net als onder de GDPR zijn de nationale toezichthoudende autoriteiten bevoegd om toe te zien op de naleving van de regels en er wordt een “European Artificial Intelligence Board” (EAIB) opgericht, naar analogie met de EDPB onder GDPR die voor uniforme toepassing doorheen de EU moet zorgen.

 

Binnenkort ook “Machineverordening”

Naast de toekomstige AI-verordening werkt de EU overigens ook aan een “Machineverordening”, die de huidige Machinerichtlijn moet vervangen op termijn. Daar waar de nieuwe AI-verordening de veiligheidsrisico’s van AI-systemen zal aanpakken, wil de machineverordening de veilige integratie van het AI-systeem in de machine als geheel waarborgen.  In de huidige machinerichtlijn, die wordt vervangen door de nieuwe machineverordening, zijn vandaag al gezondheids- en veiligheidseisen voor machines vastgesteld.  Binnen afzienbare tijd krijgen die regels dus een update.   Het gaat dan om de veiligheid van een breed scala aan producten voor consumenten en professionals, van robots tot grasmaaiers, 3D-printers, bouwmachines en industriële productielijnen. 

 

Volgende stappen?

Vandaag ligt enkel een ontwerp van de Europese Commissie voor. Dat ontwerp moet vervolgens door zowel de Europese Raad (de regeringsleiders) als door het Europees Parlement besproken en geamendeerd worden alvorens een definitief voorstel verwacht kan worden.  De analogie met GDPR leert ons opnieuw dat dit een oefening is die in het beste geval 24 maanden tijd vereist.  De finale versie zal dus nog wel even op zich laten wachten, maar dat het de EU menens is, is wel duidelijk.   Wij volgen alvast elke evolutie en berichten hierover zeker ook tijdig op onze kantoorblog.

 

Vragen over AI of de juridische aspecten van nieuwe technologie in het algemeen?

We maken graag tijd voor je.  Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.

04.05.2021 Roeland Lembrechts

Verdien jij als Belgische ondernemer de titel van Mr. Stupid?

Uit het Cyber Readiness Report 2021, gepubliceerd door de Hiscox Group, blijkt dat ondernemingen in België het afgelopen jaar koploper zijn geweest in een aparte discipline. Maar liefst 42% van de Belgische ondernemingen zou het afgelopen jaar het slachtoffer zijn geweest van een cyberaanval. Belgische ondernemingen die deelnamen aan het onderzoek, worden blijkbaar vaker getroffen dan ondernemingen in de buurlanden.  

Wanneer het gaat over cyberrisico’s voor bedrijven, dan kan je online ettelijke rapporten en statistieken vinden die je vertellen dat je je onderneming moet wapenen tegen onder meer phishing & ransomware-aanvallen. Die statistieken en privé-onderzoeken kunnen met een korrel zout genomen. Het is uiteindelijk een onderdeel van het businessmodel ‘fear sells, so sell fear’. Maar dat neemt niet weg dat er een belangrijke bron van waarheid in vervat zit.  Nationale en internationale instanties zetten momenteel een heuse cyber security strategie in Europa op poten. En in die strategie speelt de KMO steeds een belangrijke rol.

 

Mr. Stupid?

Veel ondernemingen zijn zich wel min of meer bewust van mogelijke cyberaanvallen en de kwetsbaarheid van hun bedrijf. Per slot van rekening is bijna elke onderneming online verbonden met de rest van de wereld. En die verbondenheid houdt inderdaad risico’s in. Maar de onwetendheid of de beperkte interesse in deze risico’s, zorgt voor een overschatting van je eigen digitale veiligheid.
We zullen wel zien als het probleem zich voordoet’, ‘we hebben een firewall en antivirus’, ‘we gebruiken een VPN-verbinding’… en de kous is af.

Deze vaak voorkomende struisvogelpolitiek is wat men in de academische wereld ook wel het Dunning-krugereffect noemt. Dit is een psychologisch verschijnsel dat optreedt bij incompetente of onwetende mensen die door hun incompetentie/onwetendheid niet inzien dat hun keuzes en conclusies soms verkeerd zijn. Bestuurders van ondernemingen lopen zo het risico om te blijven hangen op de ‘peak of Mr. Stupid’. En daar maken cybercriminelen graag gebruik van.

KMO_Cybersecurity_Dunning-krugereffect

 

Or Mr. Smart, Trustworthy and Resilient?

Nochtans zijn er voor ondernemingen, ook voor kleinere met beperkte budgetten, oplossingen om je bedrijf ook digitaal te beschermen als een goede huisvader (of in moderne termen: ‘een redelijk en voorzichtig persoon’). Via de Vlaio verbetertrajecten voor cyber security zorg je ervoor dat je onderneming digitaal gewapend is voor de toekomst en onderscheid je je van de domme leerlingen van je klas. Sirius Legal en BA NV hebben een juridisch/technisch gecombineerd programma dat jouw cyberveiligheid op verschillende vlakken zal optimaliseren, aangepast aan de noden en mogelijkheden van je onderneming.

Zorg er dus voor dat je niet bij de 42% cyberslachtoffers belandt, maar dat je handig gebruik maakt van de 45% subsidies die Vlaio voor je klaar heeft staan. Meer info over dit traject kan je hier vinden.

Zal je in telewerktijden als Mr. Stupid naar je gegijzelde onderneming rijden of ga je vertrouwen winnen bij leveranciers en klanten met de aankondiging dat je bedrijf cyberveilig is onder het Vlaio-label en dat onder een financieel interessante deal?

Aan jou de keuze!

 

Vragen over cybersecurity? 

Boek vrijblijvend een kennismakingsgesprek in met Roeland Lembrechts via deze link.

Populair artikel datalek melden
20.04.2021 Roeland Lembrechts

Iemand nog een datalek te melden? Durf jij nog twijfelen aan de noodzaak van cyber security?

Kranten en tijdschriften melden de laatste tijd bijna dagelijkse nieuwe hacks en datalekken bij bedrijven. De voorbeelden bij sociale media-platformen de laatste weken liegen er niet om: gegevens van 533 miljoen Facebook gebruikers, 500 miljoen Linkedin gebruikers en 1,3 miljoen Clubhouse gebruikers worden online te grabbel gegooid. (Al ontkennen al deze platformen met hand en tand dat er een probleem zou zijn…)

Na het meest recente geval bij Allekabels.nl eerder deze week is het bovendien ook duidelijk dat data breaches niet enkel een probleem zijn voor de Facebooks en Linkedins van deze wereld.  Elk bedrijf, klein of groot, is een potentieel slachtoffer. Allekabels.nl is een relatief kleine Nederlandse webshop die kabels en batterijladers verkoopt, maar waar wel privégegevens, waaronder versleutelde wachtwoorden en logins, telefoonnummers en geboortedata, van zo’n 3,6 miljoen mensen gestolen werden om later te koop aangeboden te worden op een hackersforum.  Blijkbaar, althans dat suggereren de media, heeft Allekabels.nl bijzonder slecht op deze data breach gereageerd en hebben ze slechts gedeeltelijk en/of laattijdig de betrokken personen geïnformeerd. 

Laat het een les zijn: cyber security is een groeiend aandachtspunt in onze gedigitaliseerde economie en elke ondernemer zou er bewust mee aan de slag moeten gaan…

 

Cyber security is een topprioriteit voor iedereen

Iedereen kan geconfronteerd worden met een gehackt systeem of een schadelijk datalek. Ondernemingen zijn digitaal nauw met elkaar verbonden tegenwoordig.  We wisselen permanent data uit en maken daarbij gebruik van heel wat verschillende meer of minder veilige toepassingen.  Precies die digitale verbondenheid en het gebrek aan beveiligingsmaatregelen zorgt steeds meer dat je digitale hebben en houden aan behoorlijk wat risico’s wordt blootgesteld.

Studies van het World Economic Forum zeggen niet voor niets dat informatieveiligheid, data fraude en risico’s op de bedrijfscontinuïteit door bedrijfsleiders één van de grootste bezorgdheden zijn voor ondernemingen wereldwijd. Cyber security zou dus een topprioriteit moeten zijn voor elke ondernemers of manager. 

 

Struisvogelpolitiek

Eigenaardig genoeg vertaalt die politieke bezorgdheid en persaandacht voor cyberrisico’s zich nog niet in effectieve actie bij bedrijven. We hebben allemaal een brandverzekering, onze bedrijfsgebouwen zijn fysiek beveiligd tegen ongewenste bezoekers, onze bedrijfsgeheimen bewaren we in een kluis, etc.,  maar vreemd genoeg trekken bedrijven die lijn niet door naar hun databeleid.

Op het eerste zicht zijn daar wel redenen voor te vinden. De directe meerwaarde van cyber security maatregelen zijn niet onmiddellijk zichtbaar en het ontbreekt veel bedrijven aan tijd en (financiële) middelen. Zo is er ook een gebrek aan kennis over de toepasselijke normen en denken veel ondernemingen nog steeds dat dit enkel een probleem is voor de grote jongens. En probeer het maar eens georganiseerd te krijgen bovenop je eigenlijke dagdagelijkse activiteiten. Kop in het zand dan het maar… 

Nochtans zijn er héél wat quick wins te realiseren binnen bedrijven.  Heel wat winst is te halen uit simpele maatregelen als een goed data securitybeleid, up-to-date software, de juiste antivirus en firewalls, opleiding en awareness bij je personeel, een goede verzekering, thuiswerk policies, BYOD policies, een goed paswoordbeleid, een grondige GDPR compliance oefening ook, …

 

Begeleiding door Sirius Legal en BA met financiële ondersteuning door Vlaio

Er zijn voldoende redenen om net wél prioriteit te geven aan een veilige digitale omgeving. Je beperkt er uiteraard de risico’s voor je informatieveiligheid mee, maar vergroot daarnaast ook het vertrouwen van je klanten, leveranciers, aandeelhouders en anderen die in aanraking met je onderneming komen. Je kan daarbij proactief blijk geven van de nodige toewijding aan de naleving van de geldende normen (technische en juridische standaarden, privacy-vereisten) en door de juiste communicatie kan je hier daadwerkelijk een concurrentievoordeel uit putten.

Dankzij Vlaio hoeft er ook geen drempel te zijn voor jou als ondernemer om tijdig met cyber security aan de slag te gaan.  Sirius Legal (als juridische partner) en BA NV (als technische partner) kunnen als door Vlaio erkende en gesubsidieerde dienstenleverancier op efficiënte en betaalbare wijze zorgen voor een doorgedreven cyber security audittraject binnen je onderneming:  je cyberrisico’s worden maximaal in kaart gebracht en doeltreffend aangepakt op technisch, organisatorisch én juridisch vlak. Dankzij Vlaio wordt je investering bovendien voor maar liefst 45% gesubsidieerd.

Een Vlaio-traject onder begeleiding van twee erkende partners geeft je bedrijf met andere woorden de nodige kickstart in cyberveilig ondernemen. 

 

Meer info over een cyber security verbeteringstraject van Vlaio?  

Neem een kijkje op deze pagina waar we heel het traject nader toelichten. Of neem contact op met Roeland Lembrechts via roeland@siriuslegal.be

31.03.2021 Bart Van den Brande

Wetsontwerp wil "privacy rulings" invoeren naar analogie met fiscale rulings

De GDPR is inmiddels 5 jaar in werking en de voorbije 3 jaar, sinds mei 2018, wordt de inhoud ervan ook effectief afgedwongen door de overheid.

Ook na al die tijd blijkt elke dag opnieuw dat ondernemers de regels rond gegevensbescherming onduidelijk, vaag en moeilijk te begrijpen vinden en onze ervaring leert dat heel wat goedbedoelende ondernemers afhaken bij gebrek aan begrip van wat er van hen precies verwacht wordt.  Het ganse uitgangspunt van GDPR is dan ook in wezen een open deur naar onzekerheid en toekomstige risico’s: ondernemingen moeten een gepast niveau van veiligheid voorzien en moeten daarvoor gepaste maatregelen nemen, maar voorafgaand is er geen enkele manier om te weten of de maatregelen die zij zich voornemen inderdaad “gepast” zijn.  De beoordeling naar het eventuele tekortschieten van de ondernemer in kwestie gebeurt pas post factum, als er op een later ogenblik klachten, controles of datalekken optreden…  Een en ander is erg moeilijk te begrijpen voor ondernemers, die immers in hun dagelijkse activiteit precies proberen om zoveel mogelijk onzekere factoren uit te schakelen en onzichtbare risico’s te vermijden.

Webbouwers, app-ontwikkelaars of online marketeers stellen ons daarbij zeer regelmatig de vraag of zij hun plannen voorafgaand kunnen voorleggen aan de Gegevensbeschermingsautoriteit voor advies en goedkeuring, zoals dat ook in fiscale aangelegenheden kan.

Tot op vandaag kan dat niet, maar een recent wetsontwerp lijkt daar verandering in te gaan brengen.

 

Voorafgaand privacy advies

Voorafgaand advies van de GBA over voorgenomen verwerkingen, laat staan de expliciete validatie ervan, is vandaag in se onmogelijk.  GDPR voorziet zulks niet expliciet en ook de Belgische kaderwet voorziet niet in een formele procedure.  Wie geluk -en de juiste begeleiding- heeft kan soms wel informeel bij de GBA terecht, maar die informele akkoorden worden niet gepubliceerd en zelfs als ze dus één specifiek bedrijf vooruit helpen, zijn andere verantwoordelijken of verwerkers dus vaak niet op de hoogte van precedenten en kunnen zij er zich niet op baseren of beroepen.

Een recent wetsvoorstel vanuit CD&V-hoek wil daar verandering in brengen.  Het idee is om een systeem van voorafgaande beslissingen in te bouwen in de Belgische Kaderwet waardoor de Gegevensbeschermingsautoriteit in individuele gevallen kan bepalen hoe de gegevensbeschermingswetgeving zal worden toegepast op een specifieke situatie of beoogde verwerking van persoonsgegevens.  Het voorstel voorziet daarvoor in een raadplegingsprocedure die maximaal drie maanden zou duren.  Zo’n ruling geeft rechtszekerheid aan de aanvrager, want zij verbindt alle diensten van de Gegevensbeschermingsautoriteit. Een voorafgaande beslissing zou de Gegevensbeschermingsautoriteit voor de toekomst verbinden.

De indieners verwijzen in hun voorstel naar succesvolle proefprojecten in het Verenigd Koninkrijk met de zogenaamde “regulatory sandboxes”.  Sinds maart 2019 biedt de Britse toezichthouder  (Information Commissioner’s Office) een nieuwe dienst aan, die is ontworpen om organisaties te ondersteunen die innovatieve en maatschappelijk nuttige projecten ontwikkelen waarbij er een gebruik van persoonlijke gegevens is.  Organisaties die deelnemen aan de sandbox kunnen profiteren van de mogelijkheid om rechtstreeks met de toezichthouder in contact te treden over innovatieve projecten met complexe gegevensbeschermingskwesties.

Persoonlijk kunnen wij dit voorstel enkel zeer hard toejuichen.  Als het uiteindelijk aangenomen wordt, zal het voor héél veel ondernemers de kans bieden om vooraf zekerheid te krijgen over hun plannen en op die manier onnodige juridische en financiële risico’s te vermijden.  Een en ander kan alleen maar het algemene niveau van GDPR compliance bij Belgische ondernemingen vergroten.

Het is nu vanzelfsprekend wachten op een eventueel politiek akkoord om dit voorstel ook effectief goed te keuren. Wij houden dit in elk geval stipt in de gaten en zorgen voor de nodige info en uitleg op onze blogpagina zodra alles definitief zou zijn.

 

Maar zo’n rulings bestaan eigenlijk wél al voor een stukje…

Zo’n voorafgaande consultatie en “ruling” bestaat vandaag overigens eigenlijk wel degelijk al wél onder GDPR.   Artikel 35 voorziet immers dat de verantwoordelijke voor de verwerking die een voorafgaande Gegevensbeschermingseffectenbeoordeling of Data Protection Impact Assessment voert en op het eind daarvan vaststelt dat er een restrisico bestaat, verplicht is om het voorafgaande en bindende advies van de GBA in te winnen.

Alleen is de vaststelling dat de meerderheid van de Belgische ondernemingen hun verplichtingen onder artikel 35 niet kennen of deze -erger nog- bewust naast zich neerleggen, waardoor de GBA nauwelijks verzoeken tot voorafgaande raadpleging ontvangt.

Wie meer wil weten over Data Protection Impact Assessments kan overigens terecht op ons Youtube kanaal voor de opname van één van onze recente webinars precies over DPIA’s:  https://youtu.be/y66jmrYeQWU

 

Meer weten over GDPR en databescherming? Heb je zelf een project waarvoor je wel privacy advies wil inwinnen? 

Ons team maakt graag tijd.  Boek gerust rechtstreeks een kennismaking in de agenda van Bart of neem contact via mail  (bart@siriuslegal.be) of per telefoon op  +32 492 249 516

25.03.2021 Roeland Lembrechts

Phishing: laat je niet verleiden, maar informeer je!

De titel van de Pano Reportage deze week kopte ‘Opgelicht online’, een boeiende reportage over slachtoffers van phishing. Phishing is een verzamelnaam van sociale en technische technieken die oplichters gebruiken om je via verschillende communicatiekanalen (sms, email, website, sociale media, ….)  te benaderen en je geld afhandig te maken. De reportage maakt weer pijnlijk duidelijk wat de risico’s zijn en waarom dit criminaliteitsfenomeen de nodige aandacht verdient.

 

Phishing is booming business …

Het parket gaf mee dat er in de eerste helft van 2020 al 3.438 pv’s van phishing geregistreerd werden en dat dit vermoedelijk nog maar het topje van de ijsberg was. Als je er de officiële criminaliteitsstatistieken op naleest, dan zie je dat er bijvoorbeeld in 2016 nog maar 219 feiten geregistreerd werden, terwijl er in 2019 sprake is van 2.365 (een vertienvoudiging op 4 jaar tijd). Leggen we daar de cijfers van het voorjaar 2020 naast dan liegen we niet als we stellen dat phishing een exponentiële groei kent.

De reden van die exponentiële groei is al bij al niet zo ver te zoeken. Phishing blijkt een enorm lucratieve business te zijn, waarbij cybercriminelen op korte tijd zeer veel potentiële slachtoffers kunnen bereiken. Iedereen kan slachtoffer worden, van de brave huisvader die onwetend achter zijn computer zit en een verkeerde bestelling plaatst tot de zeer voorzichtige ceo die de goeder trouw investeringen wenst te doen, maar in handen komt van een bijzonder professionele, maar criminele organisatie. Twee maanden geleden was in Het Nieuwsblad nog te lezen dat een onderzoeksrechter die reeds 15 jaar lang gespecialiseerd was in cybercrime, zelf het slachtoffer was geworden van online oplichters. Don’t need to say more… 

De pakkans is echter nog steeds bijzonder klein. Cybercriminelen genieten een grote anonimiteit en opereren internationaal, terwijl justitie ook op dit vlak moet vaststellen dat er niet voldoende middelen zijn om krachtdadig op te treden. Je moet zelfs geen hoogstaand technisch IT-profiel te hebben om met phishing te starten. Het internet biedt naast officiële marktplaatsen ook minder officiële marktplaatsen aan op het darkweb, waar je voor enkele luttele euro’s de nodige tools, diensten en lijsten van gegevens van potentiële slachtoffers kan aankopen: cybercrime-as-a-service, ter beschikking voor iedereen.

 

… maar je geld recupereren en reputatie herstellen is een complexe business

Des te sneller je je hebt laten verleiden en je geld verdwenen is, des te moeilijker is het om dit te recupereren. Indien je nog snel reageert, dan zou je de transactie nog kunnen tegenhouden, maar in de meeste gevallen beseffen slachtoffers dit te laat en/of weten ze niet hoe er gereageerd moet worden.

Buiten de anonieme daders is het ook steeds moeilijk om na te gaan wie er aansprakelijk is. Is het de onachtzaamheid van het slachtoffer zelf? Of zijn de website, e-mail, social media kanalen van de organisatie die misbruikt werd voor de phishing wel veilig genoeg? Hebben deze systemen phishing of spoofing mogelijk gemaakt door geen state-of-the-art veiligheid in te bouwen? Hadden banken verdachte transacties niet moeten opmerken en zelf preventief moeten blokkeren? Kunnen we de zogenaamde geldezels niet aanspreken (wat in zekere zin ook personen zijn die in hun context door criminelen misbruikt/misleid worden), etc. 

Daarnaast ervaren heel wat slachtoffers schaamte en reputatieschade. Niemand wenst aan te kondigen dat hij op een eenvoudige manier opgelicht werd: de CEO wil liever niet aan de raad van bestuur of de vergadering van aandeelhouders melden dat reserves in rook zijn opgegaan, een onderneming kondigt liever niet aan bij haar klanten dat haar website of e-mail misbruikt wordt voor oplichting of dat er lijsten gelekt zijn met persoonlijke gegevens die er voor zorgen dat eigen klanten benaderd zullen worden.

 

Informeer je!

Phishing is een opkomend, maar geen nieuw fenomeen. De Europese Commissie stelde in 2017 reeds vast dat 95% van de cyberincidenten gebeuren door een of andere menselijke fout. De ENISA, het Europees Cyber Security Agentschap, publiceerde in 2018 een rapport met een overzicht en adviezen met betrekking tot gedragsaspecten van cybersecurity. Daarin wordt opnieuw duidelijk dat de mens de zwakste schakel is in de cyberveiligheid van de onderneming. Phishing is daar een sterke katalysator van het probleem, zodat elke onderneming naast de aandacht voor veilige IT, even goed deze IT in harmonie met haar personeel moet krijgen. Het trainen van kennis & vaardigheden in combinatie met een volledige herstructurering van de praktijk en het beleid, moet er voor zorgen dat jouw ‘poortwachters’ zich zo min mogelijk laten verleiden door phishing-praktijken.

Bij Sirius Legal zijn we ons bewust van het multidisciplinair karakter van zo’n oefening. Via een hele reeks juridische technieken kan het informatieveiligheidsbeleid van je onderneming verder op punt gesteld worden. Maar dat kan enkel wanneer die initiatieven in harmonie zijn met het personeelsbeleid, de afspraken met je leveranciers, de communicatie & afspraken met je klanten én je technische veiligheidsstructuur.

Wil je graag eens horen wat je allemaal kan doen? Boek dan gerust een vrijblijvend gesprek in met ons en onze technische cyber security partner BA op het digitale Infosecurity Event (31 maart en 1 pril).

PS: wil je nog een stap verder gaan in je veiligheidsbeleid? Vraag dan zeker naar onze mogelijkheden om je te begeleiden op juridische en technisch vlak via de subsidieregeling van Vlaio

1 2 6 7