Op 22/10/2021 oordeelde de Gegevensbeschermingsautoriteit (GBA) over een klacht wegens een onbeveiligde verbinding van de website van een ziekenhuis. Eindelijk eens wat overwegingen van de GBA over de nodige veiligheidsmaatregelen ter bescherming van persoonsgegevens. Want laten we eerlijk zijn, het begrip ‘technische en organisatorische maatregelen’ blijft tot op vandaag een containerbegrip waar een kat haar jongen niet in terugvindt.
Wie zijn of haar bedrijf wil wapenen tegen cyberrisico’s denkt in de eerste plaats aan technische beveiliging. Dat is uiteraard logisch. Antivirus, firewalls paswoordmanagers, encryptiesoftware en talloze andere IT-producten en -diensten zorgen immers effectief voor een veiligere digitale omgeving. Zij vormen dan ook als vanzelfsprekend de basis van elk degelijk cyberveiligheidsbeleid.
Als we als advocaat of jurist bedrijven erop wijzen dat naast al die technische maatregelen cyberveiligheid óók een juridisch vraagstuk is, kijken ondernemers vaak erg verbaasd op. Wat heeft een advocaat in godsnaam te maken met de cyberveiligheid van je onderneming? Die reactie is begrijpelijk, maar ook erg jammer. Sterk en gespecialiseerd juridisch advies kan en moet immers een sleutelrol spelen in jouw cyberveiligheidsstrategie.
Wij zijn daar uiteraard zelf al lang van overtuigd, maar je mag het ook aannemen van anderen en niet de minsten, zoals het World Economic Forum.
Uit het Cyber Readiness Report 2021, gepubliceerd door de Hiscox Group, blijkt dat ondernemingen in België het afgelopen jaar koploper zijn geweest in een aparte discipline. Maar liefst 42% van de Belgische ondernemingen zou het afgelopen jaar het slachtoffer zijn geweest van een cyberaanval. Belgische ondernemingen die deelnamen aan het onderzoek, worden blijkbaar vaker getroffen dan ondernemingen in de buurlanden.
Wanneer het gaat over cyberrisico’s voor bedrijven, dan kan je online ettelijke rapporten en statistieken vinden die je vertellen dat je je onderneming moet wapenen tegen onder meer phishing & ransomware-aanvallen. Die statistieken en privé-onderzoeken kunnen met een korrel zout genomen. Het is uiteindelijk een onderdeel van het businessmodel ‘fear sells, so sell fear’. Maar dat neemt niet weg dat er een belangrijke bron van waarheid in vervat zit. Nationale en internationale instanties zetten momenteel een heuse cyber security strategie in Europa op poten. En in die strategie speelt de KMO steeds een belangrijke rol.
Veel ondernemingen zijn zich wel min of meer bewust van mogelijke cyberaanvallen en de kwetsbaarheid van hun bedrijf. Per slot van rekening is bijna elke onderneming online verbonden met de rest van de wereld. En die verbondenheid houdt inderdaad risico’s in. Maar de onwetendheid of de beperkte interesse in deze risico’s, zorgt voor een overschatting van je eigen digitale veiligheid.
‘We zullen wel zien als het probleem zich voordoet’, ‘we hebben een firewall en antivirus’, ‘we gebruiken een VPN-verbinding’… en de kous is af.
Deze vaak voorkomende struisvogelpolitiek is wat men in de academische wereld ook wel het Dunning-krugereffect noemt. Dit is een psychologisch verschijnsel dat optreedt bij incompetente of onwetende mensen die door hun incompetentie/onwetendheid niet inzien dat hun keuzes en conclusies soms verkeerd zijn. Bestuurders van ondernemingen lopen zo het risico om te blijven hangen op de ‘peak of Mr. Stupid’. En daar maken cybercriminelen graag gebruik van.
Nochtans zijn er voor ondernemingen, ook voor kleinere met beperkte budgetten, oplossingen om je bedrijf ook digitaal te beschermen als een goede huisvader (of in moderne termen: ‘een redelijk en voorzichtig persoon’). Via de Vlaio verbetertrajecten voor cyber security zorg je ervoor dat je onderneming digitaal gewapend is voor de toekomst en onderscheid je je van de domme leerlingen van je klas. Sirius Legal en BA NV hebben een juridisch/technisch gecombineerd programma dat jouw cyberveiligheid op verschillende vlakken zal optimaliseren, aangepast aan de noden en mogelijkheden van je onderneming.
Zorg er dus voor dat je niet bij de 42% cyberslachtoffers belandt, maar dat je handig gebruik maakt van de 45% subsidies die Vlaio voor je klaar heeft staan. Meer info over dit traject kan je hier vinden.
Zal je in telewerktijden als Mr. Stupid naar je gegijzelde onderneming rijden of ga je vertrouwen winnen bij leveranciers en klanten met de aankondiging dat je bedrijf cyberveilig is onder het Vlaio-label en dat onder een financieel interessante deal?
Aan jou de keuze!
Boek vrijblijvend een kennismakingsgesprek in met Roeland Lembrechts via deze link.
Kranten en tijdschriften melden de laatste tijd bijna dagelijkse nieuwe hacks en datalekken bij bedrijven. De voorbeelden bij sociale media-platformen de laatste weken liegen er niet om: gegevens van 533 miljoen Facebook gebruikers, 500 miljoen Linkedin gebruikers en 1,3 miljoen Clubhouse gebruikers worden online te grabbel gegooid. (Al ontkennen al deze platformen met hand en tand dat er een probleem zou zijn…)
Na het meest recente geval bij Allekabels.nl eerder deze week is het bovendien ook duidelijk dat data breaches niet enkel een probleem zijn voor de Facebooks en Linkedins van deze wereld. Elk bedrijf, klein of groot, is een potentieel slachtoffer. Allekabels.nl is een relatief kleine Nederlandse webshop die kabels en batterijladers verkoopt, maar waar wel privégegevens, waaronder versleutelde wachtwoorden en logins, telefoonnummers en geboortedata, van zo’n 3,6 miljoen mensen gestolen werden om later te koop aangeboden te worden op een hackersforum. Blijkbaar, althans dat suggereren de media, heeft Allekabels.nl bijzonder slecht op deze data breach gereageerd en hebben ze slechts gedeeltelijk en/of laattijdig de betrokken personen geïnformeerd.
Laat het een les zijn: cyber security is een groeiend aandachtspunt in onze gedigitaliseerde economie en elke ondernemer zou er bewust mee aan de slag moeten gaan…
Iedereen kan geconfronteerd worden met een gehackt systeem of een schadelijk datalek. Ondernemingen zijn digitaal nauw met elkaar verbonden tegenwoordig. We wisselen permanent data uit en maken daarbij gebruik van heel wat verschillende meer of minder veilige toepassingen. Precies die digitale verbondenheid en het gebrek aan beveiligingsmaatregelen zorgt steeds meer dat je digitale hebben en houden aan behoorlijk wat risico’s wordt blootgesteld.
Studies van het World Economic Forum zeggen niet voor niets dat informatieveiligheid, data fraude en risico’s op de bedrijfscontinuïteit door bedrijfsleiders één van de grootste bezorgdheden zijn voor ondernemingen wereldwijd. Cyber security zou dus een topprioriteit moeten zijn voor elke ondernemers of manager.
Eigenaardig genoeg vertaalt die politieke bezorgdheid en persaandacht voor cyberrisico’s zich nog niet in effectieve actie bij bedrijven. We hebben allemaal een brandverzekering, onze bedrijfsgebouwen zijn fysiek beveiligd tegen ongewenste bezoekers, onze bedrijfsgeheimen bewaren we in een kluis, etc., maar vreemd genoeg trekken bedrijven die lijn niet door naar hun databeleid.
Op het eerste zicht zijn daar wel redenen voor te vinden. De directe meerwaarde van cyber security maatregelen zijn niet onmiddellijk zichtbaar en het ontbreekt veel bedrijven aan tijd en (financiële) middelen. Zo is er ook een gebrek aan kennis over de toepasselijke normen en denken veel ondernemingen nog steeds dat dit enkel een probleem is voor de grote jongens. En probeer het maar eens georganiseerd te krijgen bovenop je eigenlijke dagdagelijkse activiteiten. Kop in het zand dan het maar…
Nochtans zijn er héél wat quick wins te realiseren binnen bedrijven. Heel wat winst is te halen uit simpele maatregelen als een goed data securitybeleid, up-to-date software, de juiste antivirus en firewalls, opleiding en awareness bij je personeel, een goede verzekering, thuiswerk policies, BYOD policies, een goed paswoordbeleid, een grondige GDPR compliance oefening ook, …
Er zijn voldoende redenen om net wél prioriteit te geven aan een veilige digitale omgeving. Je beperkt er uiteraard de risico’s voor je informatieveiligheid mee, maar vergroot daarnaast ook het vertrouwen van je klanten, leveranciers, aandeelhouders en anderen die in aanraking met je onderneming komen. Je kan daarbij proactief blijk geven van de nodige toewijding aan de naleving van de geldende normen (technische en juridische standaarden, privacy-vereisten) en door de juiste communicatie kan je hier daadwerkelijk een concurrentievoordeel uit putten.
Dankzij Vlaio hoeft er ook geen drempel te zijn voor jou als ondernemer om tijdig met cyber security aan de slag te gaan. Sirius Legal (als juridische partner) en BA NV (als technische partner) kunnen als door Vlaio erkende en gesubsidieerde dienstenleverancier op efficiënte en betaalbare wijze zorgen voor een doorgedreven cyber security audittraject binnen je onderneming: je cyberrisico’s worden maximaal in kaart gebracht en doeltreffend aangepakt op technisch, organisatorisch én juridisch vlak. Dankzij Vlaio wordt je investering bovendien voor maar liefst 45% gesubsidieerd.
Een Vlaio-traject onder begeleiding van twee erkende partners geeft je bedrijf met andere woorden de nodige kickstart in cyberveilig ondernemen.
Neem een kijkje op deze pagina waar we heel het traject nader toelichten. Of neem contact op met Roeland Lembrechts via roeland@siriuslegal.be
Met veel trots kunnen we jullie melden dat Sirius Legal, samen met haar technische partner BA NV, erkend dienstverlener is van Vlaio om de Vlaamse KMO bij te staan in cyber security verbeteringstrajecten. Deze trajecten helpen KMO’s op een laagdrempelige manier hun cyber security maturiteit te verbeteren.
Voor deze verbetertrajecten heeft VLAIO dit jaar een budget voorzien van maar liefst € 4.000.000. Elk traject wordt voor 45% gesubsidieerd, dus wil je je onderneming op de kaart zetten als digitale solide partner, dan is dit het uitgelezen moment om contact op te nemen.
Sirius Legal en BA NV zijn er van overtuigd dat cyberrisico’s enkel aangepakt kunnen worden door een benadering vanuit verschillende invalshoeken. Een blend van een technische aanpak met een organisatorische/juridische aanpak maakt je onderneming volwaardig cyberveilig. Met deze visie staan wij niet alleen: de Europese Commissie en Het Europees Agentschap voor Netwerk- en informatiebeveiliging wijzen sinds 2017/2018 reeds op het belang van de organisatorische en menselijke aspecten bij een cyber security strategie:
Naast een stevige technische beveiligingsstructuur is dus een geïmplementeerd veiligheidsbeleid noodzakelijk. Dat beleid moet ondersteund worden door gedragsverandering en actieve deelname. Alle betrokkenen bij je onderneming moeten de inhoud en de reden van de opgelegde beleidsregels begrijpen zodat deze ook gerespecteerd zullen worden. Een duidelijke rolverdeling, transparante procedures en afbakening van verantwoordelijkheden dragen bij tot een verhoogde cyber resilience.
Het is haast ondenkbaar dat je onderneming niet digitaal verbonden is met de wereld en dat maakt je onderneming spijtig genoeg ook kwetsbaar. Dat we onze bedrijfspanden beveiligen met een alarm, voorzien van een afsluiting en een toegangscontrole, een brandverzekering afsluiten voor alle mogelijke natuurrampen, etc. vinden we evident. De schade van die fysieke risico’s is zichtbaar en we stellen ons amper vragen bij deze veiligheidsmaatregelen.
Vreemd genoeg maken we die reflex niet of onvoldoende als het gaat om de digitale bescherming van onze onderneming. De reden daarvoor is eenvoudig: het risico is niet voldoende zichtbaar. Maar dat betekent niet dat het risico niet bestaat. Buiten de ettelijke commerciële statistieken die je op het internet kan terugvinden, maken ook officiële instanties zich grondig zorgen over de cyberveiligheid van de KMO’s. Grotere bedrijven die het budget en de middelen hebben om zich cyberveilig te maken, zorgen bij cybercriminelen evengoed voor een aangepaste strategie: zij gaan op zoek naar de zwakkere plekken in de gehele supply chain en komen zo bij de onbeveiligde KMO.
Die bezorgdheid is niet zonder reden:
Geen enkele onderneming zal te koop lopen met het gegeven dat zij slachtoffer werd van een cyberaanval omdat haar digitale huishouding niet in orde was. Je wil op zijn minst de reputatieschade nog tot een minimum beperken en het vertrouwen van je stakeholders hoog houden. Maar dat is uiteraard geen solide cyber security strategie.
Een correcte strategie gaat steeds uit van een preventieve risicobenadering. En aan cybercriminaliteit zijn vanzelfsprekend een heleboel juridische risico’s verbonden die mits o.a. correct legal risk management tot een minimum herleid kunnen worden. Heb je je bijvoorbeeld al eens volgende vragen gesteld:
Sirius Legal neemt voor deze en vele andere vragen het juridisch gedeelte van het verbeteringstraject voor haar rekening via een eigen legal risk assessment. Sirius Legal brengt jouw onderneming juridisch volledig in kaart en zal aan de hand van prioriteiten jouw onderneming (en in samenspraak met haar technische partner), optillen naar een solide cyberveilig niveau. Niet via een theoretische “met het vingertje wijzend aan de zijkant” – benadering, maar met een pragmatische aanpak die rekening houdt met de specifieke noden van je onderneming.
KMO’s hebben meestal geen tijd en middelen om écht in te zetten op cyber security. De prioritaire bezorgdheid om de productiviteit blijft doorwegen en dat is op zich niet onlogisch. Het is juist om die reden dat VLAIO met dit prachtig initiatief komt en maar liefst 45% van de kost zal subsidiëren. De opgemaakte offertes werden stevig onderhandeld met VLAIO, waarbij de prijzen gereduceerd werden naar een haalbaar niveau voor elke KMO. Zoals steeds tracht Sirius Legal in al haar offertes de juridische aspecten rond de digitalisering van de onderneming zo laagdrempelig mogelijk te houden. In de cyber security verbeteringstrajecten zal dit niet anders zijn.
Investeren in cyber security kost inderdaad geld, maar leidt ook tot economische voordelen: je beperkt informatiebeveiligingsrisico’s, je vergroot het vertrouwen van de consument, je geeft proactief blijk van compliance als moderne onderneming en je geniet hierdoor concurrentievoordeel omdat je klanten zekerheid en continuïteit kan bieden.
Laat deze unieke kans niet aan je voorbijgaan en geniet van de voordelen die Vlaio, BA en Sirius Legal je nu kunnen bieden. Meer informatie nodig? Neem dan vrijblijvend contact op met Roeland via roeland@siriuslegal.be of boek meteen een afspraak via deze link.
Om de cyberveiligheid van je bedrijf of organisatie te verhogen kan je een coordinated vulnerability disclosure policy gebruiken (een beleid voor de gecoördineerde bekendmaking van kwetsbaarheid of CVDP). Het is een policy die je uitschrijft om ethische hackers de mogelijkheid te geven om je IT-systemen te testen op mogelijke kwetsbaarheden. In het kader van deze samenwerking bepaal je regels rond de vertrouwelijkheid van deze informatie en de eventuele bekendmaking van de ontdekte kwetsbaarheden op een verantwoorde en gecoördineerde manier.
Een aanvullende organisatorische en technische maatregel
Het toepassen van zo’n policy wordt beschouwd als een waardevolle aanvulling op jouw veiligheidsbeleid en schept een aantal voordelen:
Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) publiceerde reeds in november 2015 haar Good Practice Guide on Vulnerability Disclosure, From challenges to recommendations. Deze gids van 92 pagina’s behandelt de achtergrond van de uitgevoerde studie op deze policies, de verschillende uitdagingen en bevindingen én geeft vervolgens een reeks aanbevelingen die je kan gebruiken bij het opstellen van deze policies. In de annex wordt een uitgebreide template met begeleidende informatie voorzien.
Zeer recent publiceerde ook het Centrum voor Cyber Security België (CCB) haar ‘Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden’. Deze praktische gids bestaat uit 2 delen. In deel I: goede praktijken geeft het CCB een reeks aanbevelingen om zowel de inhoud van de CVDP als de procedure ervan zo goed als mogelijk op te stellen. In deel II: wettelijke aspecten geeft zij een uitgebreide toelichting van de toepasselijke strafrechtelijke bepalingen met telkens een toepassing op de CVDP en bespreekt zij de policy in het kader van de GDPR.
Het CCB geeft zelf alvast het goede voorbeeld en heeft op haar eigen website een Coordinated Vulnerability Policy geplaatst. Het CCB biedt zich ook aan als coördinator tussen je organisatie en de deelnemers om bijstand te verlenen bij de toepassing van je policy. Contact kan opgenomen worden via vulnerabilityreport@cert.be.
De opmaak van zo’n policy wordt dus aangemoedigd door de Europese en nationale cybersecurity-autoriteiten. De uitgebreide documentatie die zij daarvoor aanbieden, vormt alvast een goede basis om zelf aan de slag te gaan met een CVDP.
Het opstellen van zo’n CVDP is echter niet zonder risico. De hierboven vermeldde documentatie maakt dit ook reeds duidelijk, maar we wijzen graag op een aantal extra aandachtspunten.
Met het CVDP geef je als organisatie aan onder welke voorwaarden je toelaat om handelingen te stellen die in principe onder de strafrechtelijke kwalificatie kunnen vallen van externe/interne hacking, informaticasabotage, gebruik van hacker tools en het onderscheppen van elektronische communicatie.
Het CCB spreekt in haar richtlijnen over een vorm van toetredingsovereenkomst of een machtiging om deze handelingen te stellen. Het neemt immers het onrechtmatig karakter van de handeling weg om te kunnen spreken van een strafbare gedraging. Vanaf dat je deze machtiging (dus de scope en de voorwaarden van de policy) overschrijdt, val je terug in het strafrechtelijk discours.
Een onduidelijke policy bevat verschillende risico’s, zowel voor de onderneming die de policy publiceert, als voor de hacker die deelneemt aan het disclosure programma.
De interpretatie die een onderneming geeft aan de toepassing van de voorwaarden is daarom niet dezelfde als degene die het Openbaar Ministerie er eventueel aan zou geven. Het is nog af te wachten welk vervolgingsbeleid het Openbaar Ministerie in dit kader zal volgen. Redelijkerwijs kan aangenomen worden dat zolang hacker en onderneming in goede verstandhouding de policy respecteren, er geen al te grote problemen te verwachten zijn, nu zulke policies ook vanuit de overheid aangemoedigd wordt.
Voorzie tot slot ook steeds een duidelijke timebox waarbinnen de voorwaarden van de policy gelden. Wijzig je de voorwaarden, zorg dan voor duidelijkheid wanneer deze wijzigingen van toepassing zijn, zodat ethische hackers ook duidelijk weten binnen welk speelveld ze jouw systemen kunnen testen.
Hou bij de opmaak zeker rekening met de rechten van derden. Gebruik je als bedrijf een cloudomgeving of andere hardware/software-systemen van derden, dan moeten ook zij toelating geven om deze op een ethische manier te laten hacken. Zo niet, dan komt het onrechtmatig karakter van het hacken weer bovendrijven. Of erger, in dat geval zou je zelfs kunnen oordelen dat de onderneming die de policy publiceert, zich schuldig maakt aan aanzetting tot hacking, wat zwaarder bestraft wordt dan het hacken zelf.
Jouw systemen laten testen kan ook ongewild schade veroorzaken: IT-systemen die vastlopen/crashen met een tijdelijke onbeschikbaarheid van het systeem of verlies van gegevens, de performance/doorvoer van je systemen kan worden aangetast tijdens het testen, data kunnen worden gewijzigd of verwijderd, alarmen kunnen worden geactiveerd door inbraakdetectiesystemen, etc. Hierdoor kan je onderneming enorme schade oplopen. De neiging zal dan groot zijn om alsnog de gekende hacker aansprakelijk te stellen.
Jouw policy moet dus naast de melding dat er geen strafklacht zou neergelegd worden, ook bepalen in welke mate en hoe de hacker aansprakelijk kan geacht worden voor eventuele schade en anderzijds welk risico op schade de onderneming voor haar eigen rekening neemt. Bepaal ook in hoeverre je de betrokken hacker zal vrijwaren voor claims die van derden kunnen komen.
Stem jouw policy ook steeds af met je lopende schadeverzekeringen en je eventuele afgesloten cybersecurity verzekering. Kijk ook steeds na of je geen melding moet maken van de publicatie van de policy, aangezien de betrokken verzekeraar kan oordelen dat dit een risicoverzwaring inhoudt.
Een algemeen principe dat steeds dient gehanteerd te worden, is dat van de proportionaliteit. De betrokken hacker mag alleen doen wat noodzakelijk is om de kwetsbaarheid bloot te kunnen leggen.
Zorg daarom in je policy onder meer voor een expliciet verbod tot social engineering, verbod op het plaatsen van een eigen ‘backdoor’ om een kwetsbaarheid aan te tonen, verbod tot wijzigen, kopiëren of verwijderen van data, verbod om herhaaldelijk toegang tot IT-systeem te zoeken, verbod om toegang tot systeem met anderen te delen en het verbod tot bruteforcen (herhaaldelijk gebruik van wachtwoorden).
Bij het uittesten van je systemen kan het zijn dat de hacker kennis krijgt van persoonsgegevens en deze op de ene of andere manier dient te verwerken. Bepaal daarom ook meteen in je policy dat de hacker zelf voldoende garanties biedt met betrekking tot de toepassing van geschikte technische en organisatorische maatregelen. De ethische hacker moet zich hiervan bewust zijn, aangezien het gebrek van zulke garanties hem per definitie uitsluit van de voorwaarden van de policy en zich opnieuw op strafrechtelijk glad ijs bevindt.
Voorzie daarnaast als onderneming in je policy ook de wettelijk verplichte bepalingen zoals deze zijn opgenomen in art. 28 van de GDPR. Zorg ervoor dat je duidelijk doel en middelen bepaalt zodat elke hacker goed kan inschatten binnen welke grenzen de hacking onder een rechtmatige verwerking valt. Gaat de hacker buiten die opdracht, dan kan hij als eigen verwerkingsverantwoordelijke beschouwd worden en zich eveneens blootstellen aan de specifieke GDPR-sancties.
Hou er tot slot rekening mee dat een CVDP nooit op zichzelf staat. In geval van mogelijke verwerking van persoonsgegevens moet je dataregister aangevuld worden. Ga ook na of je vooraf geen DPIA (gegevensbeschermingseffectbeoordeling) moet uitvoeren. Voorzie daarnaast ook een aangepast incident response plan dat rekening houdt met de hypothese van de CVDP. Verzorg je interne en externe communicatie bij de melding van een kwetsbaarheid.
Het opstellen en publiceren van een CVDP draagt zonder twijfel bij tot de maturiteit van de cyberveiligheid van je onderneming of organisatie. Het toont eveneens aan dat je een aanvullende technische & organisatorische maatregel neemt in overeenstemming met de toepasselijke wetgeving. De correcte opstelling van zo’n CVDP vraagt echter wel om de juiste juridische reflexen die niet altijd even eenvoudig zijn.
Neem dan gerust even contact op met ons team via roeland@siriuslegal.be of neem eens een kijkje op onze Cyber security en legal risk management pagina’s.
Op 10 september 2019 heeft de Poolse Gegevensbeschermingsautoriteit een monsterboete van 645.000 Euro opgelegd aan morele.net ten gevolge van een cyberaanval. Deze aanval was oorzaak van een datalek van gegevens van 2.200.000 personen. De beschermingsautoriteit verweet morele.net dat zij geen aangepaste maatregelen had genomen met betrekking tot de authenticatie bij toegang tot de data. Evenmin was er sprake van een effectieve monitoring van mogelijke aanvallen gerelateerd aan ongewone online activiteiten.
Hieruit blijkt opnieuw dat technische en organisatorische maatregelen van essentieel belang zijn om datalekken te voorkomen. Deze maatregelen moeten steeds ‘state of the art’ zijn en vereisen dus een voortdurende opvolging. Voor veel ondernemingen is hierbij een belangrijk aandachtspunt het gegeven van ‘Shadow-IT’. Dit is alle IT die ingezet wordt voor de activiteiten van de onderneming, maar niet onder de controle vallen van de onderneming. We denken daarbij aan het gebruik van verschillende Saas-toepassingen, file-sharing applicaties, cloud & storagediensten, etc. die werknemers gebruiken om hun werk uit te oefenen. Denk maar aan Whatsapp, dropbox, Wetransfer, … om te communiceren, bestanden te delen, etc.
Veel werknemers kiezen voor het gebruik van Shadow-IT van zodra de IT-infrastructuur van de onderneming minder efficiënt en comfortabel, complexer en niet compatibel met eigen devices is en/of wanneer die werknemers geen of weinig kennis hebben van de gevaren van het gebruik ervan.
Het gebruiksgemak van deze applicaties zorgt ervoor dat de drempel zeer laag is. Maar dit gebruik vormt een reëel risico voor de bescherming van je data. GARTNER stelt o.a. dat in 2020 één derde van de veiligheidslekken haar oorzaak zal vinden in het gebruik van Shadow-IT.
Én omdat je als onderneming geen controle hebt op de toepassing ervan, stel je je bloot aan schendingen van o.a. je GDPR-verplichtingen. De voorbeelden zijn talrijk. Als verantwoordelijke van je gegevens weet je niet waar je gegevens worden opgeslagen en wie er toegang heeft tot deze gegevens. Evenmin weet je of deze gegevens worden geëxporteerd naar servers buiten de EU. De provider van de applicatie of de cloud heeft evenmin een verwerkersovereenkomst met je afgesloten, laat staan dat je controle hebt op eventuele subverwerkers. Je weet dus niet welke beveiligingsmaatregelen deze provider heeft genomen om je gegevens alsnog te beschermen. In je verwerkingsregister zal al evenmin deze datastroom in kaart gebracht zijn, zodat er onduidelijkheid bestaat over de classificatie en de rechtsgrond voor verwerking van deze gegevens. Wanneer één van je klanten zijn of haar rechten onder de GDPR wenst uit te oefenen, dan zal dit niet evident zijn. Zo zal het recht om vergeten te worden bijzonder moeilijk kunnen uitgeoefend worden indien je niet weet waar de betrokken gegevens zich bevinden.
Shadow-IT binnen je onderneming is dus zeker niet zonder risico’s.
Ondanks de gevaren van Shadow-IT, kan en moet dit niet volledig verbannen worden. Werknemers zullen steeds zoeken naar tools die hun werk efficiënter en eenvoudiger kunnen maken. Zo blijkt ook uit The Entrust Datacard Shadow IT Report 2019 dat 97% van de respondenten overtuigd is dat werknemers door het gebruik ervan productiever zijn, 96% overtuigd is dat werknemers meer geëngageerd zijn en 93% ervan overtuigd is dat dit leidt tot een hogere loyaliteit ten aanzien van de onderneming. Het gebruik van Shadow-IT zou dus een concurrentieel voordeel kunnen opleveren.
Maar hoe kan je dit concurrentieel voordeel uitspelen zonder je bloot te stellen aan de voornoemde risico’s? Er zijn hiervoor verschillende maatregelen die je kan nemen. Zo kan je o.a.:
Shadow-IT kan heel wat risico’s met zich meebrengen als het gaat over de cyberveiligheid van je onderneming. Een datalek als gevolg daarvan, kan leiden tot stevige boetes, zodat het aangeraden is om je technische en organisatorische maatregelen steeds te finetunen. Een belangrijk aandachtspunt bij deze maatregelen is het risicovol gebruik van Shadow-IT door je werknemers. Neem steeds de correcte initiatieven om dit risico maximaal te beperken.
Neem dan gerust even contact op met Roeland via roeland@siriuslegal.be
Wanneer we denken aan een cyberaanval, dan wordt er in de eerste plaats gedacht aan cybercriminelen die zich toegang hebben kunnen verschaffen tot jouw systemen en vervolgens onrechtmatig gebruik hebben gemaakt van jouw data. Als organisatie ben je op dat moment ook in de eerste plaats slachtoffer van een strafrechtelijk misdrijf.
Maar betekent dit dat je dan zelf geen enkele verantwoordelijkheid draagt? Uiteraard niet. De implementatie van de regelgeving rond databescherming van persoonsgegevens maakte reeds duidelijk dat je als organisatie verantwoordelijk bent voor de data die je verwerkt. Deze evolutie wordt inmiddels bevestigd door de publicatie van de Cybersecuritywet (NIS-wet). Eens je als digitale dienstverlener (of aanbieder van essentiële diensten in de sectoren Energie, Transport, Financiering of Gezondheid) onder de toepassing van deze wet valt, dan moet je rekening houden met heel wat verplichtingen.
De bescherming, de beveiliging en de betrouwbaarheid van de netwerk- en informatie systemen van aanbieders van essentiële diensten en van sommige digitale dienstverleners zijn voortaan overwegingen van algemeen belang voor de bescherming van de bevolking en de ondernemingen. De beveiligingsvoorschriften voor hun netwerk- en informatiesystemen vallen bijgevolg onder de openbare orde en veiligheid in ruime zin. En wat in het kader van de openbare orde beschermd wordt, wordt strafrechtelijk beteugeld en gecontroleerd.
De eerste categorie, nl. aanbieders van essentiële diensten worden in deze bijdrage buiten beschouwing gelaten. De tweede categorie treft veel meer organisaties en het is belangrijk om na te gaan of je al dan niet onder het toepassingsgebied van de wet valt.
Volgens de Cybersecuritywet is een digitale dienstverlener ‘een rechtspersoon die een digitale dienst verleent’. Een digitale dienst is ‘elke dienst van de informatiemaatschappij, dat wil zeggen elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, die op afstand en op individueel verzoek van een afnemer van diensten wordt verricht’. Indien we enkel deze definitie zouden hanteren, dan zouden heel wat organisaties onder de verplichtingen van de Cybersecuritywet vallen. Om die reden wordt een beperking voorzien met aangeduide categorieën die terug te vinden zijn in de bijlage van de wet.
Het gaat momenteel om:
Als digitale dienstverlener heb je volgende verplichtingen:
a) de beveiliging van systemen en voorzieningen;
b) de behandeling van incidenten;
c) het beheer van de bedrijfscontinuïteit
d) toezicht, controle en testen;
e) de inachtneming van de internationale normen.
Verder moet je ook maatregelen nemen om incidenten te voorkomen en te minimaliseren, teneinde de continuïteit van deze diensten te waarborgen.
Deze meldingsplicht geldt alleen wanneer je toegang hebt tot de informatie die nodig is om de gevolgen van een incident volledig of gedeeltelijk te beoordelen.
Indien je aan bovenstaande verplichtingen niet voldoet, dan kan je zowel administratief als strafrechtelijk gesanctioneerd worden:
Verhinder of belemmer je de controle of geef je opzettelijk foutieve of onvolledige informatie, dan kan je gesanctioneerd worden met een geldboete van 26,00 tot 75.000,00 Euro (x8).
Naast deze verplichtingen voorziet de Cybersecuritywet ook een bijzondere regeling in aansluiting met de GDPR. Zo zullen voor de doeleinden van de wetgeving bepaalde verwerkingen mogelijk gemaakt worden en kunnen de rechten van de betrokkenen geweigerd of beperkt worden.
Van belang is te melden dat eens je als digitale dienstverlener beschouwd wordt, je automatisch verplicht bent om een DPO (functionaris voor gegevensbescherming) aan te stellen.
Door de recente aanstelling van het CCB en de toewijzing van de bevoegdheid aan de inspectiediensten van de FOD Economie voor de toezicht en controle, worden de cybersecurity-verplichtingen van digitale dienstverleners steeds concreter. Als organisatie is het van belang dat je op een transparante en gedocumenteerde wijze kan aantonen dat je de cyberrisico’s correct hebt ingeschat. Ook je technische en organisatorische maatregelen zullen steeds up-to-date moeten zijn. Je bent dus bij een cyberaanval niet langer alleen het slachtoffer, maar mogelijks ook strafrechtelijk verantwoordelijk.
Neem dan gerust contact op met Roeland via roeland@siriuslegal.be.
Wij zijn erkend partner van VLAIO in hun cyber security verbetertrajecten. Met dit prachtig initiatief subsidieert Vlaio maar liefst 45% van jouw projectkost. Ontdek er hier meer over.
Cyberveilig ondernemen start met een Impact Assessment van jouw bedrijf. Ontdek hier onze gedetailleerde en efficiënte werkwijze.
Wat als er dan toch een veiligheidsincident is? Hoe ga je dan te werk met je Response Management?
Informeer je personeel hoe ze veilig kunnen omgaan met data en tools en voorzie in de nodige arbeidsrechtelijke documenten.
Zorg ervoor dat je leveranciers of klanten geen zijdeur openen voor cyberaanvallen. Maak goede afspraken met alle bedrijven en personen die aan je bedrijf verbonden zijn.
Valt een cyberincident onder de dekking van de algemene BA-polis? Of neem je best een aparte cyberrisico-polis?
Sinds de Covid-19 pandemie is cybercrime exponentieel gegroeid. Bescherm je bedrijf met deze 10 praktische tips voor veilig thuiswerk en bewustwording bij je personeel.
Download hier gratis onze Belgische bijdrage aan de ICLG Cyber Security Gids 2022, een jaarlijkse update van de internationale cyber security wetgeving.
