Informatiebeveiling, cyber security en data protection zijn begrippen die vrijwel inwisselbaar worden gebruikt door de media. Toch bestaat er een belangrijk verschil tussen de drie. Voor General Counsels is het cruciaal om te denken in termen van informatiebeveiliging en dat vereist een verbreding van hun visie en een aanpak in de preventie, detectie en reactie fase.

GC’s krijgen een steeds belangrijkere positie op het digitale speelveld

Eind vorig jaar maakte de Amerikaanse zoekmachine, Yahoo, bekend dat kwaadwillende hackers van ruim een half miljard gebruikers gevoelige gegevens hadden buitgemaakt. Pas kort geleden bleek dat dit incident ertoe geleid heeft dat Yahoo’s General Counsel, Ron Bell, zijn baan is verloren. Door dit beveiligingsincident kwam namelijk de fusie met telecomgigant, Verizon in gevaar.

Bell zal als GC formeel niet verantwoordelijk zijn geweest voor de beveiliging, dat lijkt meer binnen het domein van de CIO te vallen. Het voorval maakt wel duidelijk dat GC’s geacht worden een sleutelrol te spelen bij de afhandeling van beveiligingsincidenten. Het is dan ook belangrijk voor een GC om de breedte van het speelveld te overzien. We verduidelijken dat speelveld hierna aan de hand van drie begrippen: data protection, cyber security en informatiebeveiliging.

Wat is het verschil?

‘Data protection’ is wellicht het meest bekende begrip. Het omvat de bescherming van “persoonsgegevens”, dat wil zeggen; ‘ieder gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’.

Voor wat betreft het begrip ‘cyber security’ ontbreekt een universeel geaccepteerde definitie. In de industrie wordt hieronder verstaan de bescherming van elektronische gegevens. Ruimer dan persoonsgegevens, maar wel beperkt tot virtuele objecten.

Informatiebeveiliging is – in tegenstelling tot de vorige twee begrippen – object-agnostisch; het omvat de bescherming van alle informationele assets van een bedrijf (fysiek en virtueel) op drie vlakken: geheimhouding, integriteit en beschikbaarheid[1].

Waarom is het van belang?

Het onderscheid maakt duidelijk waarom volgens ons de GC verder moet kijken dan privacybescherming en cybercrime. De GC zou het borgen van informatiebeveiliging tot doel moet stellen; onder de kroonjuwelen van een goedlopend bedrijf wordt namelijk meer gerekend dan alleen persoonsgegevens. Denk bijvoorbeeld aan de waarde van know-how of het uitlekken van een protoype van een nieuw product.

Informatiebeveiliging vereist bovendien een meer holistische aanpak. We leggen onze aanpak graag hieronder uit.

Preventie, detectie en reactie

Wij adviseren cliënten in beginsel gedurende drie fasen: preventie, detectie en reactie. Essentieel is daarbij dat we gaan voor een multi-stakeholder approach. Informatiebeveiliging is een agendapunt voor meer dan alleen Legal en effectief beleid is alleen mogelijk als iedereen ervan op de hoogte is (en het toepast).

In de preventie-fase onderzoeken we samen met de cliënt welke assets een bedrijf heeft, wie er toegang toe heeft of zou kunnen hebben, en welke maatregelen in dat kader getroffen moeten worden. Men kan denken aan thema’s zoals:

  • NDA’s. Wat is de scope van onze geheimhoudingsovereenkomsten en leggen we die wel consequent op aan alle werknemers en onderaannemers die toegang hebben tot de assets van ons bedrijf?
  • Industrienormen. In hoeverre voldoen we aan industrienormen, zoals ISO/IEC-27001, en is dat eigenlijk wel voldoende? Geldt voor onze specifieke industrie misschien een zwaardere norm?
  • Garanties vs. eigen oordeel. Willen we weten hoe de beveiliging van onze dienstverleners is verleend zodat wij daar zelf – vooraf – ons eigen oordeel over kunnen vellen, of vragen we dienstverleners simpelweg om een garantie dat het wel goed zit (en houden we ze eventueel achteraf aansprakelijk)?
  • Verzekering. Beschikken we nu over een informatiebeveiligingspolis bij een gerenommeerde verzekeraar? In hoeverre dekt deze al onze assets? In welke gevallen keert de verzekeraar niet uit en hoe gaat ons bedrijf met die situatie om?

De detectie-fase gaat er vanuit dat er een beveiligingsincident is geweest. We denken dan na over de methode en snelheid van detectie, en hoe we – op dat moment – met het incident omgaan. Men kan dan denken aan thema’s die horen bij een Incident Response Plan zoals:

  • Weerstand. Welke onderdelen van de bedrijfsvoering zijn geraakt? In hoeverre kunnen we eventuele onveilige onderdelen makkelijk uitschakelen?.
  • Bereidheid. Zijn we eventueel bereid om geld te betalen in het geval van ransomware? Bij welke data wel, welke niet?
  • Global Criminal Compliance. Hoe gaan we om met verzoeken van justitie en toezichterhouders om gegevens te krijgen over onze klanten of medewerkers?
  • Crisis communicatie. Hoe (snel) reageren wij als bedrijf naar buiten toe bij het constateren van een beveiligingsinbreuk?

De reactie-fase is minstens even belangrijk als de voorgaande fasen. Het gaat dan om de fase kort na een incident. Daarin evalueren wij samen met klanten welke lessen er getrokken kunnen worden uit het incident en welke verbeteringen aangebracht kunnen worden in het informatiebeveiligingsbeleid.

Over de auteurs

Patrick Wit en Martijn Loth zijn IT-recht advocaten bij het Amsterdamse advocatenkantoor Kennedy Van der Laan. Zij maken deel uit van het team binnen Kennedy Van der Laan dat zich specialiseert in de juridische en commerciële kanten van informatiebeveiliging, global criminal compliance, bescherming van persoonsgegevens en complexe automatiseringsgeschillen en IT- en outsourcingprojecten.

Bij de advisering van hun cliënten kunnen beiden putten uit een uitgebreide technische achtergrond. Patrick werkte na zijn studie Technische Bedrijfskunde onder meer als softwareontwerper, consultant en projectmanager bij Capgemini. Martijn werkte onder meer als softwareontwerper en security-specialist bij diverse open source-projecten en als Linux-systeembeheerder bij Bits of Freedom.

 

 

[1] In de vakliteratuur ook wel eens aangeduid als de CIA-triad op basis van de kernwaarden Confidentiality, Integrity and Availability.