Wie zijn of haar bedrijf wil wapenen tegen cyberrisico’s denkt in de eerste plaats aan technische beveiliging. Dat is uiteraard logisch. Antivirus, firewalls paswoordmanagers, encryptiesoftware en talloze andere IT-producten en -diensten zorgen immers effectief voor een veiligere digitale omgeving. Zij vormen dan ook als vanzelfsprekend de basis van elk degelijk cyberveiligheidsbeleid.
Als we als advocaat of jurist bedrijven erop wijzen dat naast al die technische maatregelen cyberveiligheid óók een juridisch vraagstuk is, kijken ondernemers vaak erg verbaasd op. Wat heeft een advocaat in godsnaam te maken met de cyberveiligheid van je onderneming? Die reactie is begrijpelijk, maar ook erg jammer. Sterk en gespecialiseerd juridisch advies kan en moet immers een sleutelrol spelen in jouw cyberveiligheidsstrategie.
Wij zijn daar uiteraard zelf al lang van overtuigd, maar je mag het ook aannemen van anderen en niet de minsten, zoals het World Economic Forum.
Cyber security vraagt om een 360° aanpak
De media liegen er niet om. Elke dag opnieuw lees je over nieuwe cyberaanvallen bij bedrijven. Cryptolockeraanvallen trekken daarbij het gros van de aandacht naar zich toe, maar in de schaduw zijn bedrijven even vaak het slachtoffer van pure hacking en gegevensdiefstal. Cybercriminelen merken ook dat hun online activiteiten lonen: winsten uit criminaliteit worden gemaximaliseerd en de pakkans is minimaal. Externe cyberattacks zijn big business als je het vergelijkt met de ambachtelijke straatcriminaliteit. Maar bovendien zien we steeds vaker dat ook interne medewerkers in bedrijven al lang geen ‘digibeten’ meer zijn en in conflictsituaties heel goed weten hoe ze de digitale kwetsbaarheden van hun werkgever kunnen uitbuiten. Cyberrisico’s zijn met andere woorden permanent aanwezig en komen vaak uit onverwachte hoek.
Precies omdat cyberrisico’s om elke hoek loeren, zal je cyberveiligheidsbeleid nooit echt waterdicht zijn. Dat betekent natuurlijk niet dat je niet grondig aan de slag moet en daarbij verplicht bent elke vezel van je bedrijfsactiviteiten onder de loep te nemen. Technische en organisatorische oplossingen zijn dan evident, maar bieden op zich slechts een fragmentarische en geen holistische oplossing. Om het eenvoudig te zeggen: geen enkele paswoordmanager beschermt je bedrijf tegen de gevolgen van een cyberattack.
Het is precies daar dat goede juridische cyberveiligheidsmaatregelen het verschil kunnen maken. Met de juiste juridische ingrepen kan je de financiële en praktische gevolgen van cyberrisico’s elimineren, beperken of verplaatsen. Op zijn allerminst kan je een goed zicht krijgen op de potentiële risico’s en deze duidelijk afbakenen. Enkel zo kan je vanuit een duidelijk algemeen (360° of “panoptisch”) overzicht jouw cyberrisico’s maximaal controleren.
Maar juridisch werk is specialistenwerk en juridisch cybersecuritywerk is dat nog veel meer. Een gespecialiseerde advocaat in cybersecurity en data protection is de aangewezen persoon om jouw eerste partner in cybersecurity te zijn en samen met jou te werken aan maximale cyberveiligheid in je bedrijf. Zo’n legal expert doet natuurlijk meer dan je verzekeringspolis even nalezen. Een echte juridische cyberexpert is in de eerste plaats jouw persoonlijke raadgever en bondgenoot en slaat samen met jou een brug tussen je management en je interne teams als HR, IT, sales, marketing, etc en tussen jouw bedrijf en externe partners en overheden.
De cyber security-advocaat als gespecialiseerde generalist
Een cyberbeveiligingsadvocaat is geen externe auditor. Hij of zij is een consultant en raadgever die samen met jou in de loopgraven zit. Hij of zij helpt met het opstellen en aanpassen van je arbeidsovereenkomsten en -reglementen om strengere dataveiligheidsrichtlijnen in te bouwen, onderhandelt mee met ICT-leveranciers, schaaft alle interne veiligheidspolicies bij, en zorgt voor de beste cyberverzekeringsdekking voor je bedrijf. Een echte specialist doet dit bovendien met ruime ervaring als consultant bij bedrijven én met specifieke kennis en ervaring in privacywetgeving en gegevensbescherming en in internationale en nationale cyberveiligheidswetgeving.
Wat doen wij bij Sirius Legal voor onze cliënten?
-
Preventief: legal risk management
Bij Sirius Legal is cybersecurity en bij uitbreiding dataveiligheid een échte specialisatie. We staan al jarenlang bedrijven en organisaties bij in alle (veiligheidsaspecten van de digitale economie, gaande van GDPR compliance, over ICT-contracten, bijstand aan webbouwers en softwareontwikkelaars, advies in AI en IoT en andere nieuwe technologie en systematische begeleiding van technologische start-ups. Ons team combineert daarvoor een zeldzame mix van specialisten in gegevensbescherming, contracten- en aansprakelijkheidsrecht, criminologie en strafrecht en niet-juridische interne en externe ervaring in consultancy, online marketing, ICT en cyberveiligheid.
We nemen samen met jou de lead in de ontwikkeling van je cyberbeveiligingsprogramma. Dat betekent in de eerste plaats dat we je bijstaan bij alle interne risicobeoordelingen of risk assessments die je een zicht geven op potentiële bedreigingen voor jouw bedrijf. We helpen vervolgens ook actief bij het samen en in overleg beoordelen van de vastgestelde risico’s en bij het opstellen van een plan van aanpak om die risico’s weg te werken of te minimaliseren.
Specifiek op juridisch vlak onderzoeken we welke compliance verplichtingen uitgewerkt moeten worden en waar en hoe we jouw aansprakelijkheid zoveel mogelijk kunnen beperken ten aanzien van je klanten, leveranciers, overheden en andere derden. Daarin spelen we een sleutelrol tussen het management, het operationele team en iedereen die extern verbonden is met jouw onderneming.
Als specialisten in contract management beoordelen en onderhandelen we o.a. software & cloudcontracten, aankoop van hardware, overeenkomsten met beveiligingsleveranciers, service level agreements, NDA’s, verwerkersovereenkomsten, data export agreements, enz. Dat doen we natuurlijk altijd met de nodige kennis en vanuit onze aangeboren interesse in nieuwe technologische evoluties. Onze rol is zo mogelijk nog belangrijker bij fusies en overnames. Een grondige due diligence met specifieke aandacht voor cyberveiligheidsrisico’s, gegevensbeschermingsrisico’s en ICT-risico’s in het algemeen van de over te nemen entiteit is immers essentieel. Klassieke advocaten die bij M&A’s betrokken zijn ontbreekt het hier vaak aan de nodige ervaring.
We kijken natuurlijk ook met een kritisch oog naar je verzekeringscontracten en naar specifieke cyberverzekeringspolissen. Het is immers belangrijk om ervoor te zorgen dat jouw polis wel degelijk je prioritaire risico’s in je cybersecurityprogramma dekken.
Maar ook intern moet je de nodige maatregelen nemen en de juiste krijtlijnen uitzetten. Een aangepast en op maat gemaakt policybeleid gekoppeld aan de nodige interne opleiding en vorming voor jouw teams zorgt voor een maximale awareness en correcte procedures die door iedereen gerespecteerd worden. Als elk lid van je organisatie zijn of haar (juridische) verantwoordelijkheden kent en zich bewust is van de risico’s en gevaren voor het bedrijf, zal iedereen ook veel makkelijker het interne cybersecurityprogramma minutieus naleven. Klassiek denken we daarbij aan policies rond correct emailgebruik, correct gebruik van IT-assets, internetgebruik, access management, correct gebruik databases, paswoordbeleid, thuiswerkpolicies, …
Onze preventieve begeleiding vertrekt steevast vanuit het maximaal beperken van de (potentieel zelfs strafrechterlijke) aansprakelijkheid van jouw onderneming én van haar bestuurders onder de GDPR, NIS en andere relevante cybersecuritywetgeving. Preventie is immers nog steeds de beste verdediging.
-
Curatief: Incident Response Management
Preventieve maatregelen zorgen echter nooit voor een kogelvrij vest dat jouw onderneming 100% beschermt. Wanneer je toch geconfronteerd wordt met een cyberincident, is het van belang om daar correct op te kunnen reageren en er voor te zorgen dat je maximaal aan damage control kan doen. Het is immers op dat moment dat jouw onderneming zich zal blootstellen aan juridische risico’s.
Sirius Legal kan je op dat moment bijstaan in een correcte meldingsprocedure bij de verschillende autoriteiten en de juiste communicatie naar klanten en leveranciers, zonder inbreuk te doen op jouw juridische meest gunstige positie. Met het oog op de correcte contractuele en wettelijke verhoudingen kunnen anderzijds ook tijdig jouw leveranciers of andere verantwoordelijken tot de orde worden geroepen.
Wij vechten vanzelfsprekend ook voor jouw rechten binnen en buiten de rechtbank. Ons team heeft decennialange ervaring met rechtbankwerk en met alle vormen van alternatieve conflictbeheersing. Als het nodig is, staan we voor je klaar.
Tot slot is het van belang om oog te hebben voor een onmiddellijk en efficiënt IT-forensisch onderzoek, zodat er geen bewijselementen verdwijnen. Dit om de justitiële diensten hun onderzoek met succes te laten uitoefenen en/of om een gestoffeerd dossier samen te stellen om nadien de respectievelijke verantwoordelijken gerechtelijk te kunnen aanspreken. Bewijsrechtelijke en procedurele kennis is dan ook essentieel bij zo’n onderzoek.
Een cyber security-advocaat, beter vroeg dan laat…
Cyberrisico’s are here to stay en een goed cybersecuritybeleid in je bedrijf is broodnodig. Dat is overigens niet enkel zo omdat -vooral vanuit Europa- constant nieuwe regelgeving voorzien wordt, maar ook omdat cyberveiligheid steeds meer een verkoopsargument en een onderdeel van jouw corporate identity en brand image wordt. Veiligheid verkoopt, ook voor jou als bedrijf.
Wapen je daarom voor de toekomst door cyberveiligheid in al haar aspecten aan te pakken. Sterk juridisch advies is daarbij een kernelement en ons gespecialiseerd team kan je hierin zeker begeleiden. Wil je meer info of dit eens vrijblijvend bespreken? Neem dan gerust contact op met Roeland via roeland@siriuslegal.be, of boek hiernaast een gratis kennismakingsgesprek in.