De Autoriteit Persoonsgegevens constateert dat bedrijven die gehackt zijn niet altijd de gebruikers van wie de gegevens gestolen zijn, informeren. Dit stelt Dr. Martin Krämer, Security Awareness Advocate bij KnowBe4. “Maar organisaties moeten een datalek ook altijd melden bij toezichthoudende autoriteiten. Die datalekken worden echter te vaak niet gemeld.”
Wetgeving vereist dat organisaties toezichthoudende autoriteiten zonder onnodige vertraging op de hoogte stellen in het geval van datalekken. In het geval van de AVG is dat de Autoriteit Persoonsgegevens als gegevensbeschermingsautoriteit. Organisaties die vallen onder de Cyberbeveiligingswet (voorheen de NIS 2-richtlijn genoemd) moeten dat doen bij een sectoraal Computer Security Incident Response Team (CSRT). De Informatiebeveiligingsdienst (IBD) is dat bijvoorbeeld voor alle Nederlandse gemeenten.
“Ik raad het organisaties ten zeerste aan zich hieraan te houden,” zegt Krämert ferm. “Ook omdat cybercriminelen hiervan op de hoogte zijn. Ransomware-groepen weten dat als ze dreigen een melding te maken van niet-naleving aan de relevante autoriteit ze hiermee de druk op hun slachtoffer vergroten. En hun onderhandelingspositie voor het verkrijgen van losgeld versterken.”
Gegevensstromen in kaart brengen
Organisaties moeten bereid zijn om aan de rapportageverplichtingen te voldoen bij datalekken. En zo hun compliance aan te tonen door hun kennis van zaken te vergroten. Krämer: “In het geval van de AVG kan dit betekenen dat ze alle gegevensstromen binnen hun bedrijf in kaart brengen en dat ze een Data Protection Impact Assessment (DPIA) maken. Ook moeten organisaties zich voorbereiden op een inbreuk.” Bedrijfscontinuïteitsbeheer en rapporteren van incidenten zijn daarbij volgens Krämer twee twee kernactiviteiten. “Verder kunnen ze het Nationaal Cyber Security Centrum of het Digital Trust Center raadplegen voor concrete adviezen en hulpmiddelen om hun cyberweerbaarheid te vergroten.”
Het is tijd om cyberveiligheid serieus te nemen, is de overtuiging van Krämer. “Organisaties moeten hun cyberbeveiliging aanpakken, omdat geopolitieke verschuivingen en opkomende technologieën zoals kunstmatige intelligentie de druk op organisaties vergroten om veerkrachtig te blijven. Potentiële gevolgen zoals grote financiële schade, boetes van toezichthouders en reputatieverlies zijn te ernstig.”