Een Data Breach Response Service verzekering wordt steeds meer een ‘must have’. Steeds vaker worden organisaties getroffen door cybercriminaliteit: diefstal van data, een aanval op computersystemen, chantage met ransomware, virussen en e-fraude. Definities en statistieken variëren, maar het staat vast dat cybercriminaliteit elk jaar toeneemt.

Het zijn niet alleen cybercriminelen die ervoor zorgen dat vertrouwelijke gegevens openbaar kunnen worden. Ook slordig gebruik van gegevensdragers zoals USB-sticks, online data opslag, het delen van accountinformatie en menselijke fouten leiden ertoe dat gegevens openbaar worden gemaakt. Een cyberincident kan leiden tot het stilleggen van activiteiten en tot aanzienlijke claims van zakenpartners.

Meldplicht datalekken

Een duidelijk voorbeeld van een cyberincident is wat in de praktijk ‘datalekken’ worden genoemd. Sinds 1 januari 2016 bevat de Wet bescherming persoonsgegevens (Wbp) een verplichting om datalekken te melden bij de Autoriteit Persoonsgegevens (de AP).

Een datalek omvat alle inbreuken op de beveiliging van persoonsgegevens als bedoeld in artikel 13 Wbp (artikel 34a lid 1 Wbp). Op grond van artikel 13 Wbp is een verantwoordelijke verplicht passende beveiligingsmaatregelen te treffen teneinde persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Ook bij verlies van persoonsgegevens moet derhalve een melding worden gedaan bij de AP (artikel 34a juncto artikel 13 Wbp). Een dergelijke melding moet (binnen 72 uur) worden gedaan indien sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens.

Een verantwoordelijke is voorts gehouden de betrokkenen (dat wil zeggen: degenen op wie de persoonsgegevens betrekking hebben) te informeren indien het datalek waarschijnlijk ongunstige gevolgen zal hebben voor hen. De AP verlangt dat betrokkenen steeds worden geïnformeerd indien sprake is van een datalek met betrekking tot gevoelige persoonsgegevens. Financiële gegevens (leningen, uitkeringen, salarisgegevens, etc.) zijn ook gevoelige persoonsgegevens, aldus de AP.

Andere gevolgen van een cyberincident

Een cyberincident heeft ook andere gevolgen voor de getroffen organisatie. Allereerst zal een organisatie moeten weten wat er is gebeurd: zijn er externe hackers? Is het datalek veroorzaakt door een werknemer? Was dat een bewuste actie? Welke gegevens zijn getroffen? Is het lek gedicht? Om dergelijke en andere vragen te beantwoorden, is veelal bijstand vereist van externe IT forensische deskundigen. Niet alleen omdat de kennis vaak niet (in voldoende mate) aanwezig is binnen de organisatie, maar ook omdat sprake kan zijn van een ‘inside job’. Een datalek kan daarnaast aanzienlijke reputatieschade veroorzaken, zeker indien de betrokkenen moeten worden geïnformeerd. In dat geval is de kans groot dat ook de media er aandacht aan zullen besteden. Extern PR-advies is in dergelijke gevallen van groot belang.

Ten slotte zijn er diverse juridische aspecten, waaronder:

  • Het schenden van contractuele verplichtingen (in de overeenkomst met een opdrachtgever is opgenomen dat de persoonsgegevens die van de opdrachtgever worden verkregen adequaat worden beveiligd).
  • Moeten contractspartijen worden geïnformeerd? De Wbp meldplicht richt zich tot de verantwoordelijke. Indien een datalek bij een bewerker plaatsvindt, zal die de verantwoordelijke moeten informeren.
  • Moet actie worden ondernomen tegen werknemers die (mogelijk) betrokken zijn bij het cyberincident?
  • Moeten er andere meldingen plaatsvinden (AFM/DNB, andere sectorale toezichthouders, creditcardmaatschappijen, etc.)?
  • Is de schade verzekerd (first-party en third-party)?

Cyberincidenten komen altijd onverwacht. Er moet veel gebeuren in korte tijd. Het is voor organisaties vaak lastig om snel een volledig crisisteam op te tuigen, en voor diverse aspecten is externe hulp nodig.

Meer en meer zien we dat Data Breach Response Services worden opgezet, waarin advocaten, IT forensische experts en PR adviseurs worden gecombineerd. Er is een noodnummer beschikbaar dat 24/7 kan worden gebeld. Een organisatie heeft op die manier direct toegang tot een vast team van deskundigen. Diverse verzekeraars bieden deze dienst aan als onderdeel van een cybersecurity polis waarbij de kosten worden gedekt onder die polis.

Een Data Breach Response Service komt niet in de plaats van goede beveiliging en interne bewustwording, maar is een eenvoudige en efficiënte manier om de gevolgen van een cyberincident te mitigeren. Een getroffen organisatie hoeft niet op zoek eerst naar de juiste deskundigen: één telefoontje is genoeg.

Voor meer info: klik hier

Over de auteur:

Marc Elshof

Marc Elshof heeft als partner Commercial Law een brede commerciële praktijk, met een focus op IT en privacy.

Marc adviseert cliënten op het gebied van nationale en grensoverschrijdende privacy-issues, waaronder ten aanzien van informatiebeveiliging en cyberincidenten. Daarnaast is Marc betrokken bij IT-zaken, zoals ontwikkelovereenkomsten voor software, cloud computingovereenkomsten, softwarelicenties, de verkoop van hardware en geschillen die voortkomen uit mislukte IT-projecten. Marc maakt deel uit van Boekel’s Data Breach Response Team, ReSecure.