Even voorstellen: Niels

De Amerikaanse CLOUD-Act: wat betekent dat voor Privacy in de Europese Unie?

Op 23 maart 2018 ondertekende President Trump de ’Clarifying Overseas Use of Data act’ (CLOUD-Act). Het gevolg van de CLOUD-Act is dat een Europese (cloud service)provider of communicatiedienstverlener (hierna: Europese provider) moet voldoen aan een verzoek van de Amerikaanse overheid om gegevens over te dragen, zelfs als deze gegevens zich buiten de VS bevinden. In dit blog behandelen we kort de inhoud en de gevolgen van de CLOUD-Act.

Wat is de CLOUD-Act?
De CLOUD-Act is een federale wet van de Verenigde Staten die in feite neerkomt op een uitbreiding van de huidige Amerikaanse dataretentiewet, de zogenoemde ‘Stored Communications Act’ uit 1986. De CLOUD-Act geeft de Amerikaanse overheid de bevoegdheid om via een bevelschrift of dagvaarding providers te dwingen persoonsgegevens over te dragen, ongeacht waar deze persoonsgegevens zich bevinden. Daarnaast maakt de CLOUD-act het ook mogelijk om bilaterale afspraken te maken tussen de VS en andere landen om persoonsgegevens uit te wisselen in het kader van opsporing.

De CLOUD-Act is geïntroduceerd nadat de FBI problemen ondervond bij het verkrijgen van persoonsgegevens vanuit Ierland. In deze zaak weigerde Microsoft persoonsgegevens over te dragen in een strafzaak. Destijds maakte de dataretentiewet het niet mogelijk om persoonsgegevens die zich buiten de VS  bevinden op te vragen. Door de inwerkingtreding van de CLOUD-Act is dat onder bepaalde omstandigheden nu wel mogelijk.

‘’A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such providers possession, custody, or control, regardless of whether such communication, record or other information is located within or outside of the United States’’

Voor wie is de CLOUD-Act van belang?
De CLOUD-Act heeft extraterritoriale werking. Dit houdt in dat de Amerikaanse overheid zich de bevoegdheid toeschrijft om gegevens op te vragen buiten haar eigen territoriale grondgebied. Dit geldt onder bepaalde omstandigheden dus ook voor Europese providers. Uit een onderzoek van GreenbergTraurig dat zij voor het Nationaal Cyber Security Centrum (NCSC) uitvoerde blijkt dat een Europese provider in twee gevallen niet aan een verzoek van de Amerikaanse overheid hoeft te voldoen. Allereerst hoeven Europese providers niet te voldoen aan verzoek op grond van de CLOUD-Act als deze geen enkele zakelijke relatie of contacten heeft met een bedrijf die actief is in de VS. Ten tweede zijn providers uitgesloten waarbij geen enkel Amerikaans bedrijf toegang, bezit of controle heeft over de opgeslagen persoonsgegevens in Europa. Europese providers waarvan het moederbedrijf Amerikaans is, vallen echter altijd onder de CLOUD-Act. Dit komt omdat niet kan worden uitgesloten dat dit moederbedrijf toegang tot de gegevens heeft.

Wat zijn de vereisten van een informatieverzoek op grond van de CLOUD-Act?
Een informatieverzoek op grond van de CLOUD-Act hangt af van verschillende factoren. Ten eerste moet er sprake zijn ‘probable cause’. Dit houdt in dat er een verwachting is dat de opgevraagde persoonsgegevens bewijs opleveren in een onderliggende strafzaak. Ten tweede moet de Amerikaanse overheid aantonen dat de Europese provider continue en systematische aanwezigheid in de VS had of dat de Europese provider ‘minimum contacts’ had met bedrijven uit de VS. Tot slot moeten de persoonsgegevens wel in bezit of controle van de Europese provider zijn.

De vraag of een Europese provider ‘minimum contacts’ of banden met de VS heeft kan worden ontleed in drie onderdelen. Allereerst moet onderzocht worden of het verzoek direct verband houdt met activiteiten in de VS. Daarnaast moet worden nagegaan of de Europese provider redelijkerwijs mocht verwachten dat haar Amerikaanse contacten voor een Amerikaanse rechter kon worden opgeroepen voor de activiteiten die zij uitvoeren in de VS. Tot slot moet de Amerikaanse overheid nagaan of de uitoefening van haar jurisdictie redelijk is.

Kan een Europese provider een verzoek van de Amerikaanse overheid aanvechten? 
Voor de ontvanger van een informatieverzoek is het moeilijk om een verzoek op grond van de CLOUD-Act aan te vechten, ondanks dat de CLOUD-Act wel deze mogelijkheid biedt. Uit de CLOUD-Act volgt dat een bezwaar van een provider aan twee cumulatieve vereisten moet voldoen. Allereerst moeten zij aantonen dat de gegevens niet van een Amerikaanse staatsburger zijn. Vervolgens moet de Europese provider aantonen dat toezegging aan het verzoek materiële schade oplevert en er een wet wordt overtreden van een ‘Qualifying Foreign Government’. Ten slotte is alleen de Amerikaanse rechter bevoegd om de rechtmatigheid van een verzoek op grond van de CLOUD-Act te beoordelen.

De eis dat er een wet van een ‘Qualifying Foreign Government’ moet worden overtreden maakt het voor Europese providers momenteel onmogelijk om een informatieverzoek van de Amerikaanse overheid aan te vechten. Dit komt omdat de Amerikaanse overheid momenteel nog geen enkel land als ‘Qualifying Foreign Government’ bestempeld.

Heb je nog vragen naar aanleiding van dit blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. Wil je meer lezen over dit onderwerp, lees dan het artikel van het NCSC.

Data Privacy en Data Protection: integraal onderdeel van het ESG framework

De Algemene Verordening Gegevensbescherming (AVG) is voor veel ondernemingen een thema geworden in de ESG-duurzaamheidsrapportages. Het wordt steeds vaker een integraal onderdeel van de bedrijfsvoering waaraan werknemers, sollicitanten en aandeelhouders steeds meer waarde hechten. Wat gebeurt er met de persoonsgebonden data en hoe verhoudt zich dat tot de transparantie waar bedrijven op worden getoetst?

Toenemende digitalisering biedt kansen en risico’s
De verwerking van onze persoonsgegevens door bedrijven neemt in rap tempo toe door de toenemende digitalisering en de mogelijkheden van data-analyse. Deze verwerkingen bieden veel bedrijven (commerciële) kansen en inzichten. Dit gebeurt vaak door gebruik te maken van data-analyses, profilering en algoritmes waarbij verschillende persoonskenmerken gecombineerd en verrijkt worden. Daarnaast kunnen bedrijven bijvoorbeeld ook fraudeurs of witwassers opsporen, risico’s inschatten of gerichte commerciële aanbiedingen doen aan de hand van de verzamelde en verrijkte persoonsgegevens en data.

Bedrijven zitten vaak op een schat aan (gevoelige) persoonsgegevens en hebben een plicht hier zorgvuldig mee om te gaan en deze te beschermen. Zij moeten hierover transparant zijn en er verantwoording over kunnen afleggen. Risico’s van een onzorgvuldige – of niet veilige bescherming van de persoonsgegevens – zijn voorkomende datalekken, phishing en ransomware, dat steeds vaker in het nieuws komt. Dit kan een onmiddellijke weerslag hebben op de reputatie van een bedrijf en zelfs het voortbestaan hiervan bedreigen. Ook individuele privacy inbreuken en boetes van de externe toezichthouders liggen op de loer.

De AVG reguleert een zorgvuldige verwerking en bescherming van onze persoonsgegevens
Vanuit Europa is er wetgeving van kracht die dit alles reguleert en invulling aan de zorgplicht geeft. De bekendste wet is de AVG, die diep ingrijpt bij bedrijven waar persoonsgegevens van klanten, medewerkers of andere betrokkenen worden verwerkt. Naar mate het bedrijf meer bijzondere of gevoelige persoonsgegevens verwerkt, zullen er meer maatregelen moeten worden getroffen om aan de verwachte zorgvuldigheid invulling te kunnen geven.

Privacy en data protection passen in het ESG framework
Bovenstaande is een reden om dit onderwerp serieus te nemen en toe te voegen aan het ESG framework van het bedrijf. De AVG als stuk wetgeving is hier op zichzelf al een goede reden voor. Maar de maatschappij verwacht ook dat bedrijven vanuit hun integriteit hun sociale voelsprieten uit hebben staan over wat voor soort verwerkingen acceptabel worden geacht en welke niet. Dit betekent dus niet dat als iets van de wet wel mag, dit ook automatisch door klanten of de maatschappij zal worden geaccepteerd. Bovendien is privacy één van de grondrechten uit de Grondwet en moet daarom worden nageleefd.

Een bedrijf dient vanuit haar governance structuur ook een goede Privacy & Data Protection policy te formuleren, waarin duidelijk is gemaakt hoe met persoonsgegevens wordt omgegaan en hoe persoonsgegevens worden verwerkt. De meeste bedrijven zullen privacy- en informatiebeveiliging als een compliance riskmanagementonderwerp benaderen. Binnen het bestaande riskmanagementprogramma worden de privacy – en data protection risico’s inzichtelijk, vindt monitoring plaats en worden beheersmaatregelen genomen. Tegelijkertijd is bijvangst van privacy en data protection wetgeving, dat gegevens niet langer bewaard mogen worden bewaard dan strikt noodzakelijk en daarna vernietigd moeten worden. Hierdoor draagt dit ook bij aan doelstelling van een bedrijf om ‘electronic waste’ te beperken.

De Functionaris Gegevensbescherming is onderdeel van de governance
Een belangrijke rol binnen de governance is weggelegd voor de binnen veel bedrijven wettelijk verplichte Functionaris Gegevensbescherming (FG), in het Engels de Data Protection Officer (DPO). Dit is een soort Compliance Officer die advies geeft en toezicht houdt op de verwerkingen van persoonsgegevens binnen het bedrijf. Dit kan zowel een interne als een externe FG zijn.

Heeft u vragen over de AVG, Privacy of Data Protection of de Functionaris Gegevensbescherming? Lumen Group kan u daarbij helpen. Neem contact op via info@lumengroup.nl of 030- 88965 75.

Even voorstellen: Michiel

2FA, de veiligheidsgordel voor persoonsgegevens

Inloggen met tweefactorauthenticatie (2FA) verkleint de kans dat hackers toegang krijgen tot je accounts of persoonsgegevens en voorkomt datalekken. In 2021 is het aantal meldingen van cyberaanvallen met 88% gestegen volgens het Rapportage Datalekken 2021 van de Autoriteit Persoonsgegevens (AP). Dit aantal lijkt ieder jaar opnieuw exponentieel verder te stijgen. De AP heeft in 2021 een boete opgelegd van 400.000 euro aan de luchtvaartmaatschappij Transavia, onder andere omdat 2FA ontbrak. 2FA is mede door deze ontwikkelingen een basisvereiste voor de beveiliging van je persoonsgegevens: Géén 2FA is als autorijden zonder het dragen van een veiligheidsgordel.

Uit onze praktijk blijkt al te vaak bezwaar te zijn op het installeren of het gebruik van 2FA. Lumen Group heeft daarom voor jou de meest voorkomende bezwaren in deze blog weerlegd. Lees ze in deze blog en gebruik het in de eigen praktijk.

 

  1. Ik heb niet meer beveiliging nodig, ik heb niets te verbergen.

Iedereen kan een doelwit zijn, omdat persoonlijke informatie waardevol is voor hackers die zij gebruiken voor fraudeleuze activiteiten. Alle accounts met persoonlijke informatie, slimme huishoudelijke apparaten en zelfs particuliere bankrekeningen zijn niet veilig. Je wilt toch ook niet jouw bankrekeningnummer en pincode afstaan?

 

  1. Mijn wachtwoord is sterk genoeg.

Sterke wachtwoorden kunnen ook gestolen worden. Alleen een sterk wachtwoord is onvoldoende om datalekken te voorkomen en je account te beschermen van hackers. Het Nationaal Cyber Security Centrum (NCSC) heeft dit in haar factsheet benadrukt. Met 2FA zal je account niet zo snel worden overgenomen mocht je wachtwoord gestolen worden.

 

  1. Ik wil mijn privé telefoon(nummer) niet gebruiken voor het 2FA inloggen.

Het aanleveren van je telefoonnummer of emailadres is niet nodig voor 2FA. Gebruik hiervoor eenvoudig een authenticatie app. Deze app kun je zelf downloaden en daarna log je super snel in met de ontvangen code via de authenticatie app. Lees meer hierover in het artikel “Mag ik van mijn werknemers verwachten dat zij een app installeren op hun eigen mobiel om 2FA mogelijk te maken?

Ook bestaat er als alternatief voor de applicatie een hardware token. Dit is een apparaatje die een unieke code genereert zodat je daarmee kan inloggen. Veel voorkomende tokens zijn smartcards, een USB-stick, of een nummergenerator. Dit zou een perfecte oplossing zijn voor de mensen die geen applicatie op hun telefoon willen installeren.

 

  1. Het risico is niet hoog genoeg om te investeren in 2FA.

Door onder meer het werken vanuit de Cloud en het thuiswerken zijn de tijden veranderd. Tegelijkertijd blijft het aantal cyberaanvallen exponentieel toenemen volgens het Rapportage Datalekken 2021 van de AP. Als 2FA niet wordt opgenomen in de beveiligingsstrategie, blijft jouw organisatie blootgesteld aan interne bedreigingen of externe inbreuken. Hiermee voorkom je onnodige schade. Het NCSC adviseert werkgevers daarom om 2FA te implementeren. Lees hierover meer in haar factsheet ‘Gebruik tweefactorauthenticatie’.

 

  1. Mijn privé telefoonnummer wordt gebruikt voor marketing of verkocht aan derden.

De AVG schrijft voor dat jouw persoonsgegevens alleen mogen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel.

Jouw organisatie heeft beleid om te voorkomen dat jouw persoonsgegevens voor andere doeleinden worden gebruikt. Dit kun je terugvinden in het privacybeleid van jouw organisatie. Kijk hiervoor bijvoorbeeld in jullie privacyreglement of privacy statement.

 

  1. 2FA is te nieuw en onbewezen.

Het is zeker niet nieuw, ook niet voor jou. Betalingen gebeuren bijvoorbeeld met 2FA door middel van je bankpas met een pincode. Ook jij hebt dit via jouw bank en gebruik je bijna dagelijks.

 

  1. Het IT-team is al overladen met het oplossen van problemen met een hogere prioriteit.

Het IT-team zal veel meer overbelast raken als een ransomware-aanval iedereen uit het systeem blokkeert. Hackers worden steeds beter in het ontfutselen van wachtwoorden, door bijvoorbeeld social engineering technieken. Door hier niet in mee te gaan, wordt de veiligheid van de gehele organisatie op het spel gezet. Dit is het laatste wat het IT-team zou willen.

 

  1. 2FA instellen is teveel gedoe.

Tegenwoordig is het een belangrijk onderdeel in de aanmeldingsprocedure en met één klik geregeld. De meeste applicaties en websites maken nu gebruik van API’s  (Application Programming Interfaces), die eenvoudig kunnen schakelen met een ja of nee-vraag: ‘Wilt u push-authenticatie inschakelen, een op tijd gebaseerde, eenmalig tijdelijk wachtwoord, e-mailverificatie, sms-verificatie?”, enzovoorts.

 

  1. 2FA ondersteunt niet de oude applicaties en systemen.

Oude applicaties en systemen hoeven hier niet voor worden aangepast. De technische ontwikkelingen hebben ervoor gezorgd dat er op verschillende manieren 2FA kan worden ingesteld. 2FA werkt als twee van de drie factoren correct zijn gebruikt:

  • Iets wat weet – Dit is je wachtwoord, pincode, toegangszin of een vergelijkbare code.
  • Iets wat je hebt – Hierbij kun je denken aan een smartcard, een pas of andere hardware.
  • Iets wat je “bent” – Dit is bijvoorbeeld je vingerafdruk, patroon van je iris, stemherkenning of je hartslag.

 

  1. Ik weet onvoldoende over 2FA om er comfortabel mee te zijn.

Voorlichting over het belang van nieuwe, effectieve beveiligingsmethoden is van groot belang voor jouw organisatie. Lumen Group helpt je graag verder hierbij.

Tip: Lees bijvoorbeeld meer over 2FA in het artikel 2FA, hoe werkt het? en in de factsheet ‘Gebruik tweefactorauthenticatie’ van het NCSC.

Vragen?

Heeft u vragen of opmerkingen, of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

 

 

Been bijtrekken op AVG door tijdelijke ondersteuning?

Lumen Group biedt een breed netwerk van professionals die interim werk kunnen verrichten vanaf het eerste moment. Onze interim professionals bieden doeltreffende, snelle en krachtige oplossingen en waarborgen de continuïteit van de werkzaamheden. Naast dat we onze klanten een breed netwerk aan interim professionals bieden, proberen wij voor onze professionals ook de juiste plek te vinden, zodat zij kunnen doen waar ze goed in zijn. In deze blog vertelt Anita van Ekris wat zij doet als interim professional bij Lumen Group.

‘Ik ben Anita van Ekris en ik werk als interim Privacy Officer bij een VO-school in het midden van het land. Nadat Lumen Group bij de betreffende school een AVG-steekproef had gedaan, werd duidelijk dat zij wat achterstand hadden in te halen om aan de minimale vereisten van de AVG te voldoen; niveau 3 van de privacy volwassenheidsladder van Lumen Group.

Met de steekproefrapportage ben ik nu samen met de ICT-manager aan de slag om met wat reparatie-acties te kunnen voldoen aan niveau 3. Dit betreft het opstellen, of aanvullen met wettelijke vereisten, van 6 procedures, het aanvullen van de autorisatiematrix en het opstellen van een bewustwordings- en trainingsplan.

Ik heb veel gesprekken gevoerd met verschillende functiegroepen en daar komen ook heel wat adviezen uit. Denk aan een sleutelbeleid of een clean desk policy. Compliant zijn aan de AVG gaat niet alleen over de verplichte procedures of registers hebben. Het is juist belangrijk als een persoon met kennis van de AVG veel gesprekken voert om de bewustwording te vergroten en vraagbaak te zijn. En de school merkt het ook. Zo liet de directeur weten: “We merken dat papieren van bureaus aan het verdwijnen zijn, dus het AVG-spook waart al rond.” Dat maakt mij dan weer trots. Lekker met humor en praktische oplossingen, de werkomgeving AVG-proof maken.’

Als je meer wilt weten over onze interim-diensten, kijk dan op deze pagina of neem eens contact met ons op. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. 

Even voorstellen: Florence

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Florence Frequin. Wij stelden haar wat vragen, zodat je haar meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Als Privacy Consultant bij Lumen Group krijg ik veel verantwoordelijkheid en ben ik eigenaar van mijn eigen klantenportefeuille. Zo ondersteun ik klanten op het gebied van privacy- en gegevensbescherming door vragen van onze klanten over de toepassing hiervan te beantwoorden en bied ik ondersteuning bij de afhandeling van datalekken en beveiligingsincidenten. Ook kan ik in de rol van een onafhankelijke FG verrichten voor klanten in meerdere sectoren zoals onderwijs, gemeenten, zorg, financiële instellingen en private bedrijven.  

Daarnaast geef en neem ik deel aan trainingen en seminars voor en bij klanten. Ik begeleid projecten en implementeer privacy wet- en regelgeving bij onze klanten. Ik mede-ontwikkel onze producten en diensten en draag bij aan het behalen van de doelstellingen van Lumen Group.

Hoe zien jouw werkdagen eruit?

Voor mij en mijn collega’s is geen enkele dag hetzelfde! Ik begin de dag met een dagstart waar ik samen met mijn collega’s de doelen voor de dag bespreek. Als aanspreekpunt beantwoord ik gedurende de dag de vragen op het gebied van privacy- en gegevensbescherming van verschillende klanten.

Bij klanten breng ik de bescherming van persoonsgegevens en informatiebeveiliging aan het licht door bijvoorbeeld het uitvoeren van risicoanalyses en mogelijke bevindingen met klanten te bespreken en dit vast te leggen middels rapportages, zodat zij hiermee risico’s beter kunnen beheersen en op de toekomst voorbereid zijn.

Verder ben ik veel in contact met onze klanten, beantwoord ik vragen en adviseer ik op een praktische wijze. Dit doe ik zowel op afstand als op locatie van onze klanten verspreid over heel Nederland.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

De huidige ontwikkelingen op het gebied van big data, informatietechnologie, de komst van een nieuwe ePrivacy-verordening en tegelijkertijd een toename van het aantal cyberaanvallen brengen de vraag om adequate zorg hiervoor met zich mee. Net als Lumen Group draag ik graag mijn steentje bij om de digitale samenleving eerlijker en veiliger te maken.

Wat zijn jouw 3 opvallendste eigenschappen?

Teamplayer met doorzettingsvermogen en oog voor detail.

Heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

“Never let a good crisis go to waste.”

Is het raadzaam om een cyberverzekering af te sluiten?

Voor een optimale uitvoering van werkzaamheden zijn organisaties voortdurend bezig met het automatiseren en digitaliseren van processen en strategieën. Naast de grote voordelen die dit met zich meebrengt, gaat het ook gepaard met (nieuwe) risico’s. Cyberaanvallen, hacks, en ransomware zijn tegenwoordig voor veel organisaties niet meer onbekend. Het afsluiten van een cyberverzekering om de risico’s te dekken, lijkt daarom een logische stap. Cyber begon voor veel verzekeraars als een rendabele markt. Tegenwoordig blijkt juist dat cyberpolissen heel verlieslatend kunnen zijn, zeker in het geval van cyberschade bij grote bedrijven.[1] Dit is een reden voor cyberverzekeraars om extra kritisch te zijn bij het aannemen van nieuwe klanten. Zeker omdat cyberrisico’s zich de afgelopen jaren steeds vaker voordoen, met als gevolg een stijging van het aantal claims. In dat licht krijgt Lumen Group dan ook vaak de vraag of het nuttig is een dergelijke verzekering af te sluiten. Op deze vraag is geen eenduidig antwoord te geven, aangezien dat per situatie zal verschillen. Het is daarom voor organisaties van belang om een doordachte afweging te maken. Om hierbij te helpen, hebben wij onze visie met betrekking tot de cyberverzekering uiteengezet. Zo kunt u op basis hiervan zelf een afweging maken of een cyberverzekering voor uw organisatie wenselijk is. Wij raden wel aan om hiervoor ook advies in te winnen bij een assurantieadviseur.

Cyberverzekering

Met een goede cyberverzekering kunnen bepaalde kosten worden gedekt op het moment dat uw organisatie te maken heeft met een cyberincident. Schade anders dan financiële schade, zoals reputatieschade na een datalek, wordt niet gedekt door een cyberverzekering. Als onderdeel van een cyberverzekering ondersteunt de cyberverzekeraar meestal bij het crisismanagement na een aanval. Daarnaast ondersteunen de meeste cyberverzekeraars bij risicopreventie om het risico op cyberincidenten voor uw organisatie te verkleinen. Naast de omzet of het budget van een organisatie is dit een belangrijke factor in het bepalen van de hoogte van de verzekeringspremie. Sterker nog, dit is vaak een basisvoorwaarde om in aanmerking te komen voor de verzekeringsdekking. Pas bij een goede risico-inventarisatie is er zicht op de risico’s en kunt u een kosten-batenanalyse maken voor uw organisatie. In het licht hiervan kunt u bepalen welke beheersmaatregelen voor uw organisatie nodig zijn. Het raadplegen van een assurantieadviseur is daarnaast aan te raden.

Twee zijden van dezelfde medaille

Uiteraard kan het voor bepaalde organisaties nuttig zijn om een cyberverzekering af te sluiten. Hierbij is er echter ook een andere kant van de medaille. Het uitgangspunt is dat organisaties sowieso verplicht zijn om aan wettelijke eisen zoals de AVG te voldoen. Dit is niet ‘af te kopen’ waarbij een cyberverzekering als ‘aflaat’ dient. Het is goed om hierbij aan te geven dat een cyberverzekering vaak alleen financiële schade dekt. Met cyberverzekering worden dus bijvoorbeeld niet (altijd) reputatierisico’s beheerst. Een cyberverzekering moet dus eigenlijk worden gezien als een sluitstuk voor het restrisico: een soort vangnet waarbij organisaties zich verzekeren tegen schade die zij niet willen of kunnen dragen.

Ook eisen cyberverzekeraars, zoals hierboven ook al aangegeven, doorgaans dat organisaties de risico’s goed in kaart hebben gebracht en beheersmaatregelen hebben getroffen als voorwaarde voor het afsluiten van een verzekering. Bovendien willen ze dat een organisatie zijn noodprocedures op orde heeft voor het geval er toch een cyberincident plaatsvindt, anders komt een organisatie niet in aanmerking voor een verzekering of zullen minder kosten worden gedekt. Daarbij komt dat er niet altijd consensus bestaat omtrent de omvang van de dekking van de risico’s. De schadedekking is dus verlaagd en daarbij zijn de premies verhoogd. Vanwege deze hogere premies en extra eisen die worden gesteld, kan niet elke organisatie zomaar een cyberverzekering afsluiten of zich herverzekeren.

Risico-inventarisatie en risicobeheersing

Het uitvoeren van een risicoanalyse is een logische eerste stap. In de meeste gevallen worden organisaties zich pas bewust van cyberrisco’s op het moment dat ze gehackt zijn of getroffen worden door een datalek. Dit is eigenlijk te laat, aangezien voorkomen beter is dan genezen. Belangrijk is dus om terug te gaan naar de kern en dat betekent een gedegen risico-aanpak. Een goede risico-inventarisatie en risicobeheersing is dan ook de eerste stap. Enerzijds om zodoende op adequate wijze risico’s te beheersen. Anderzijds omdat een verzekeraar hier doorgaans om zal vragen alvorens ze hun premie opgeven. Bovendien krijgt u op deze wijze inzicht in welke gegevens voor uw organisatie van belang zijn en welke processen hieraan zijn gekoppeld. Het is van groot belang dat deze gegevens op de juiste manier beveiligd zijn, om de risico’s van een cyberaanval te voorkomen of in te perken. Lumen Group kan uw organisatie hierbij ondersteunen. Hier vindt u meer informatie wat wij voor u kunnen betekenen in het kader van risico-inventarisatie.

Beheersmaatregelen

Nadat de risico’s in kaart zijn gebracht, is het belangrijk om te bepalen hoe dergelijke risico’s beheerst kunnen worden. Hiervoor nemen organisaties in lijn met hun risicohouding (risk appetite) beheersmaatregelen. Afhankelijk van de risicohouding kunnen organisaties beheersmaatregelen nemen op het gebied van preventie, detectie, repressie, correctie, acceptatie of het overdragen van risico’s. Het afsluiten van een cyberverzekering valt bijvoorbeeld onder het overdragen van risico’s. Andere voorbeelden van beheersmaatregelen zijn het tijdig of automatisch uitvoeren van beveiligingsupdates of het toepassen van twee-factor-authenticatie (2FA). Ook kunt u netwerken segmenteren en de toegang van personen tot systemen en persoonsgegevens verscherpen. Daarnaast kunt u controleren welke apparaten en diensten bereikbaar zijn vanaf het internet en deze beschermen met een goede firewall en virusscanners. Het versleutelen van gegevensdragers kan bijvoorbeeld met een online passwordmanager. Een andere maatregel is het regelmatig maken van back-ups en deze testen. Bovendien dient u ervoor te zorgen dat elke applicatie en elk systeem voldoende loginformatie genereert. Tenslotte is het van belang dat het beleid omtrent cyberveiligheid in orde is en dat werknemers zich tevens bewust zijn van dit beleid. Lumen Group kan uw organisatie hierbij ondersteunen. Hier vindt u meer informatie wat wij voor u kunnen betekenen in het kader van het nemen van beheersmaatregelen.

Conclusie

Een cyberverzekering kan een goede beheersmaatregel zijn. Het is aan organisaties zelf om te besluiten of zij een cyberzekering een wenselijke beheersmaatregelen achten. Een eerste noodzakelijke stap is dus dat organisatie hun risico’s goed in kaart brengen. Vervolgens moeten organisaties in lijn met hun risicohouding besluiten welke beheersmaatregelen zij willen nemen, om deze daarna ook daadwerkelijk te nemen. Hiertoe kan het afsluiten van een cyberverzekering horen. In deze afweging is het belangrijk om in het achterhoofd te houden dat een cyberverzekering geen ‘aflaat’ is. Organisaties moeten namelijk altijd aan de AVG voldoen en de nodige beheersmaatregelen nemen. Daarbij komt dat de premies voor cyberverzekeringen vaak hoog zijn. U kunt zich daarom afvragen of het betalen van de premie voor uw organisatie opweegt tegen het risico dat met de verzekering wordt gedekt. 

Vragen?

Heeft u vragen of opmerkingen, of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.


[1] S. van Gils, ‘Cyberverzekeraars zien aantal claims sterk stijgen en verhogen premie’, fd.nl. https://fd.nl/tech-en-innovatie/1412525/cyberverzekeraars-zien-aantal-claims-sterk-stijgen-en-verhogen-premie#:~:text=Verzekeraars%20zien%20het%20aantal%20claims,en%20cyberveiligheidsbedrijf%20Kivu%20werd%20opgesteld.

Even voorstellen: Kristy

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Kristy Wong. Wij stelden haar wat vragen, zodat je haar meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Bij Lumen Group ben ik werkzaam als Management Assistant. Dit is naar mijn mening best een breed begrip, maar de taken zijn dan ook erg uiteenlopend. Kort gezegd, ik ondersteun waar nodig.

Hoe zien jouw werkdagen er ongeveer uit?

Mijn collega’s en ik beginnen de dag met de dagstart. Tijdens dit half uur bespreken we belangrijke punten en de dagplanning per collega. Dit is fijn, want dan ben je meteen op de hoogte van elkaar. Lekker overzichtelijk! Vervolgens houd ik mij bezig met verschillende taken om het management van Lumen Group bij te staan, zodat alles in goede banen wordt geleid. Eigenlijk is geen dag voor mij hetzelfde.

Omdat ik nog studeer (master Internet, IE en Privacy aan de Vrije Universiteit Amsterdam), volg ik zo nu en dan online college op kantoor of plan ik een studie-uurtje in op het einde van de werkdag.


Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

Na het afronden van de bachelor Rechtsgeleerdheid aan de Universiteit van Utrecht, besloot ik dat het tijd werd om het werken in de horeca een klein beetje los te laten en iets meer praktijkervaring op te doen in het bedrijfsleven. Gelukkig is Lumen Group erg flexibel en kan ik deze twee banen prima combineren.

Ik heb gekozen voor Lumen Group, omdat het een bedrijf is wat groeit, maar waar ook ruimte is voor persoonlijke groei. De vele contactmomenten binnen ons team zorgen ervoor dat kennis wordt gedeeld en iedereen zijn persoonlijke bijdrage kan leveren. Ik heb het idee dat ik elke dag een stukje wijzer word en dat is precies waar ik naar op zoek was. Bovendien is het hier op kantoor heel gezellig en is iedereen heel toegankelijk! Een goede (werk)sfeer is voor mij een groot plus punt.

Wat zijn jouw 3 opvallendste eigenschappen?

Ik zit vol energie! Daarnaast ben ik oprecht en werk ik met oog voor detail.

Heb je misschien nog een leuke boodschap voor de lezers van deze blog?

You’re never too important to be nice to people!