Gegevens van klanten of relaties in je computersysteem? Zorg dan dat je beveiliging op en top in orde is! Sinds 1 januari kun je een enorme boete krijgen als die gegevens (door een hack bijvoorbeeld) op straat belanden.
In deze column vertelt Raymond van der Heide over de verscherpte wet van de Autoriteit Persoonsgegevens. Raymond van der Heide is risico-expert bij Interpolis.
Er was een tijd dat hackers (denk bijvoorbeeld aan de Russische of Chinese geheime diensten, maar ook aan Wikileaks van Julian Assange) het vooral gemunt hadden op overheden. Inmiddels is het aandachtsgebied van hackers uitgebreid naar het bedrijfsleven.
Omdat grote bedrijven hun beveiliging meestal wat beter geregeld hebben dan kleine, zien wij bij Interpolis een verschuiving naar het hacken van computers van MKB-bedrijven, tot de slager om de hoek aan toe. Bijna iedere dag is het wel ergens raak.
MKB’ers bagatelliseren deze risico’s, merk ik vaak. Ze denken dat alles in orde is als ze hun ICT hebben uitbesteed aan een extern bedrijf. Helaas, dat is niet zo. ICT-bedrijven weten veel van hard- en software, maar meestal bar weinig van cybersecurity. Dat is een compleet ander – en veel nieuwer – vakgebied.
Ransomware is de laatste trend onder criminele hackers. Die malware blokkeert jouw toegang tot belangrijke bestanden (bijvoorbeeld klantgegevens). Alleen door losgeld te betalen krijg je een sleutel waarmee je er weer bij kunt. Om tracering door de politie van het losgeld te bemoeilijken, laten de afpersers zich vaak betalen in bitcoins.
Als MKB’er heb je in zo’n geval een behoorlijk probleem. En dat is sinds 1 januari nog veel groter geworden. Sinds die dag is de Wet bescherming persoonsgegevens (Wbp) fors aangescherpt. Ondernemers kunnen megaboetes krijgen als persoonsgegevens (bijvoorbeeld van klanten) uit hun computer op straat belanden.
De Autoriteit Persoonsgegevens (de nieuwe naam van het College Bescherming Persoonsgegevens) kan in zo’n geval een boete opleggen tot 810 duizend euro, of 10 procent van je jaaromzet!
Bovendien ben je verplicht zo’n datalek zelf direct te melden aan de Autoriteit – de nieuwe Meldplicht datalekken die ook geldt sinds 1 januari. Dat melden moet niet alleen bij een geslaagde aanval door hackers, maar ook bij verlies of diefstal van bijvoorbeeld een laptop of usb-stick waarop persoonsgegevens staan.
Om mij heen hoor ik dat het sinds 1 januari zulke meldingen régent bij de Autoriteit Persoonsgegevens: alleen al in de eerste week van januari zouden er twintig meldingen gedaan zijn. Bedrijven die niet opzettelijk gelekt hebben of niet ernstig nalatigheid verweten kan worden, krijgen in eerste instantie een ‘bindende aanwijzing’ van de Autoriteit. Maar als ze die niet nauwkeurig en snel opvolgen, volgt de boete onherroepelijk.
Ik zie dat veel ondernemers niet goed raad weten met dit probleem – je ertegen verzekeren kan zelden. Daarom een aantal tips om je te wapenen tegen gehackte persoonsgegevens en immense boetes te voorkomen.
5 Tips tegen hacken persoonsgegevens
1. Installeer malwarebescherming
Malware protection doet meer dan een traditionele virusscanner. Naast het tegenhouden van virussen houdt malwarebescherming ook het gedrag van de machine goed in de gaten. Overigens hebben de meeste leveranciers van virusscanners sinds kort ook malwarebescherming aan hun product toegevoegd. De gratis versies zijn een goede instapper, de betaalde varianten werken natuurlijk beter.
2. Maak iedere dag een back-up
Bijvoorbeeld met een encrypted externe harde schijf die je iedere avond even inplugt, kopieer je met een druk op de knop alle bestanden. Blokkeert ransomware jou de toegang tot cruciale bestanden, dan plaats je eenvoudig de versies van gisteravond weer terug.
3. Versleutel belangrijke bestanden
Voorzie belangrijke (klant)bestanden van een wachtwoord. In Word bijvoorbeeld doe je dat door op ‘Bestand’ te klikken, vervolgens op ‘Info’ en dan op ‘Document beveiligen’. Met Bitlocker kun je zelfs de complete schijf in één klap versleutelen. Raak het wachtwoord niet kwijt, want dan kun je er echt niet meer in. Beveilig ook de back-upbestanden.
4. Betaal geen losgeld
Is je computer eenmaal gegijzeld door kwaadaardige ransomware, doe dan onmiddellijk aangifte. En betaal geen losgeld aan de afpersers. Goede kans dat ze daarna méér vragen. Of later opnieuw terugkomen, ze zitten immers nog in je systeem.
5. Kijk op www.alertonline.nl
Deze uitstekende site van de overheid geeft goede en praktische tips ter voorkoming van een hack van je bedrijfssysteem. Ook handig is de site van de Autoriteit persoonsgegevens: www.autoriteitpersoonsgegevens.nl. Hier lees je wanneer je een datalek wel of niet moet melden.
Raymond van der Heide is risico-expert bij Interpolis. In een reeks bijdragen laat Interpolis bedrijven zien hoe ze doordacht kunnen omgaan met risico’s. Interpolis is partnerexpert van Business Insider Nederland.
Dit artikel is oorspronkelijk verschenen op z24.nl