Als kantooreigenaar heb je te maken met een steeds verdergaande digitalisering. Bonnetjes worden niet meer in een schoenendoos bewaard, maar in de cloud. Klantgesprekken vinden steeds vaker online plaats in plaats van op kantoor, en ga zo maar door. Maar sta je voldoende stil bij de risico’s van al deze technieken, of staat jullie digitale voordeur wagenwijd open? Wat houden de aanwezige risico’s in?
In dit artikel neem ik je mee langs de lijn van bewustzijn, risico’s en vooral ook oplossingen. Om te beginnen: we worden op verschillende wijzen bewust gemaakt van de gevaren van deze digitalisering. Allereerst zijn er de berichten in de media. Zoek op de website van een willekeurig nieuwsmedium maar op ‘datalek’ of ‘hack’ en je zult tientallen voorbeelden vinden van organisaties die hier hinder van hebben ondervonden, waarbij ‘hinder’ in veel gevallen een understatement is.
Er zijn overheidsinstellingen en commerciële bedrijven, die inmiddels tonnen aan boetes verschuldigd zijn geraakt, omdat zij de privacy onvoldoende op orde hadden. Zo is het Haga-ziekenhuis op de vingers getikt, omdat al het personeel toegang had tot het patiëntendossier van een Bekende Nederlander. Het ziekenhuis controleerde niet met welk doel dit patiëntendossier werd ingezien. Recent kwam ook bouwbedrijf Heijmans negatief in het nieuws, doordat – na een menselijke fout – 1.100 gegadigden voor een nieuwbouwproject de persoonsgegevens van andere gegadigden toegestuurd kregen.
Wake-up call
Dergelijke berichten in de media zorgen er niet alleen voor dat jij als kantooreigenaar en/of adviseur wordt getriggerd om je bedrijfsvoering onder de loep te nemen, maar ook je klant wordt hierdoor wakker geschud. Want als er miljoenen Nederlanders worden getroffen door een datalek in geleverde software aan garagebedrijven (en daarover ook worden aangeschreven), hoe is dit dan geregeld met de software binnen jouw organisatie? Kan het gebeuren dat jouw klantdata én alle financiële informatie eveneens op straat komen te liggen? Je klant zal steeds kritischer zijn ten aanzien van de wijze waarop zijn gegevens worden opgeslagen en verwerkt.
Wet- en regelgeving
Bewustzijn wordt echter ook afgedwongen. Want de genoemde boetes in de media komen voort uit wet- en regelgeving, die is geïntroduceerd om organisaties te dwingen privacycompliant te werk te gaan. Het meest bekende voorbeeld is de Algemene verordening gegevensbescherming (AVG), die op Europees niveau is uitgerold. Daarnaast is er de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), waarmee de Nederlandse wetgever verder invulling heeft kunnen geven aan enkele onderdelen van de AVG en waarmee de uitvoering praktisch is geregeld.
De AVG is niet nieuw. Haar voorloper, de Wet bescherming persoonsgegevens (Wbp), trachtte ook de privacy van betrokkenen te regelen. Echter, de AVG gaat veel verder door haar Europese werking en door bijvoorbeeld verplichtingen om te draaien. Waar de wetgever het in de Wbp niet noodzakelijk achtte om datalekken te melden of te documenteren, tenzij er een groot nadelig effect aan kleefde, is dit nu via de AVG andersom geregeld. Elk datalek moet in de basis binnen 72 uur na ontdekking worden gemeld, tenzij er geen nadelige effecten aan kleven.
Aan Booking.com werd recent nog een boete van € 475.000 opgelegd, omdat het bedrijf een datalek te laat had gemeld. Elk datalek en incident moet worden geregistreerd, zodat organisaties zich bewust worden van terugkerende fouten en daar hun bedrijfsvoering op aanpassen. Vanzelfsprekend zijn er meer (aankomende) wetten en verordeningen te noemen als het gaat om de waarborg van privacy. Denk aan de ePrivacyverordening, die met name ziet op elektronische communicatie, en aan de Telecommunicatiewet, waarin onder meer regels zijn gesteld voor telemarketing. Het voert echter voor dit artikel te ver om op al deze afzonderlijke wetten en verordeningen in te gaan.
Risico’s
Hiervoor werd al kort gesproken over de risico’s die kleven aan digitalisering en de opslag van (persoons)gegevens. Deze gegevens kunnen inhoudelijk erg interessant zijn voor concurrenten en afpersers. Dit soort cybercriminelen is heel gericht op zoek naar informatie over een bedrijf of persoon. Jij beschikt als adviseur over deze informatie en daarom ben jij helaas ook een logisch, aantrekkelijk doelwit. Of jouw eigen organisatie is het doelwit. De criminelen verdiepen zich bijvoorbeeld in een van je klanten en sturen je bericht dat zijn of haar rekeningnummer is gewijzigd, waarbij ze je verzoeken om vanaf dat moment je administratie aan te passen. Bol.com tuinde hier eerder in.
Schade
Maar er zijn ook genoeg cybercriminelen, die geen idee hebben wie zij voor zich hebben. Zij weten nog net in welke taal ze jou moeten aanschrijven, maar meer informatie hebben zij doorgaans niet. Er wordt dan een schot hagel afgevuurd, in de hoop iemand te raken die op de malafide link in een e-mail of vergaderuitnodiging klikt. Je data worden daarna achter slot en grendel geplaatst, waarna je vriendelijk wordt verzocht in bitcoins te betalen om ze terug te krijgen. Je hebt op dat moment te maken met één of meerdere vormen van schade:
- bedrijfsstilstand
- aansprakelijkstelling voor het lekken van data of andere schade, zoals bedrijfsstilstand bij derden
- onderzoekskosten en kosten voor juridische bijstand
- reputatieschade
- losgeld
- boete van de Autoriteit Persoonsgegevens
Ook het verliezen van toegang tot persoonsgegevens moet worden gezien als een datalek. Een boze medewerker die op de laatste dag van zijn dienstverband besluit om alle data van de harde schijf te wissen of cruciale clouddata te deleten, veroorzaakt dus ook een datalek als je die data niet binnen korte termijn kan terugplaatsen. Overigens is dit risico van alle tijden. Toen er nog uitsluitend gebruik werd gemaakt van papieren dossiers, moest je oppassen dat je er geen koffie op liet vallen. En toen er nog met floppy’s werd gewerkt, was het risico aanwezig dat zo’n floppy overschreven werd en alle data op die manier verloren gingen.
Oplossingen
Natuurlijk is het niet mijn bedoeling om je vanaf nu met angst en beven je werk te laten verrichten. In veel gevallen is er echter nog wel werk aan de winkel. Vanuit de AVG ben je gehouden om inzicht te hebben in je organisatie en de mate waarin je persoonsgegevens verwerkt. Dit leg je vast in een zogenaamd verwerkingsregister. Dit is dus als het ware de blauwdruk van je organisatie, waar het om de verwerking van persoonsgegevens gaat. En het verwerken van persoonsgegevens is dus echt elke handeling waar je een natuurlijke persoon aan kunt linken. Van de ontvangst van een sollicitatie of offerteverzoek tot en met het moment dat je het klantdossier uit je archief verwijdert. Hiermee dwing je jezelf privacybewust te worden.
Toegang en beleid
Als je eenmaal inzicht hebt in de processen, afdelingen en/of tools waarbij persoonsgegevens komen kijken, dan is het zaak om de toegang hiertoe te beperken. Hier zal vaak de techniek een grote rol spelen, maar even zo belangrijk is je beleid. Wie moet toegang hebben tot welke gegevens? Hoe vaak moeten medewerkers wachtwoorden vervangen? Zoomen we in op de techniek, dan moet je met name je cyberweerbaarheid onder de loep nemen. Is alle digitale toegang voor onbevoegden onmogelijk gemaakt? Heb je een goede spamfilter, zodat medewerkers geen nepberichten zien?
De menselijke kant
En tot slot is er aandacht nodig voor de menselijke kant van je organisatie. Want helaas veroorzaakt menselijk handelen nog altijd de meeste datalekken. Een mail die iemand verkeerd zendt, een medewerker die toch een nepmail niet herkent of een laptop die een inbreker steelt uit een auto. Train je personeel of collega’s op de verplichtingen die de AVG met zich meebrengt en op cyberweerbaarheid. Blijf dit ook periodiek herhalen.
Cyber-adviespakket
Fiscount helpt je middels het cyber-adviespakket om inzicht te krijgen in bovengenoemde categorieën beleid en organisatie, techniek, menselijk handelen en wetgeving en contractuele verplichtingen. We inventariseren wat er binnen jouw kantoor speelt en hoe goed de verschillende onderdelen geregeld zijn. In een persoonlijk gesprek lichten we de resultaten toe. Daarna ben je vrij om de verbeterpunten zelf beet te pakken of (deels) aan ons uit handen te geven. Zie de uitgebreide flyer.
Mr. Melanie Hermes is directeur van Fiscount Juristen en adviseur arbeids- en privacyrecht.
Wil je de eerste stappen in het samenstellen van een AVG kantoorbeleid zetten? Volg dan de cursus AVG in je kantoorbeleid – voor accountants en (salaris)adviseurs.
Geef een antwoord