De afgelopen weken is er flinke paniek ontstaan bij verschillende bedrijven; tienduizenden servers wereldwijd zijn besmet door grote gaten in de beveiliging. Een groep cybercriminelen, door Microsoft de ‘Hafnium-groep’ genoemd, heeft gebruik gemaakt van 4 ernstige kwetsbaarheden in de Exchange-servers. Deze kwetsbaarheden zijn door Microsoft verder toegelicht in een blog.
Volgens het Nationaal Cyber Security Centrum (NCSC) komt het, kort gezegd, erop neer dat als gevolg van kwetsbaarheden gegevens worden gestolen, malware wordt geplaatst, achterdeurtjes worden ingebouwd en mailboxen te koop worden aangeboden op de zwarte markt. Daarnaast geeft het Nationaal Cyber Security Centrum aan dat het vrijwel zeker is dat minimaal 1.200 Nederlandse servers geïnfecteerd zijn. Wereldwijd zou het gaan om een veelvoud hiervan.
Dat Nederlandse bedrijven de gevolgen hiervan nu al ondervinden, blijkt uit een onlangs verschenen reactie van de Autoriteit Persoonsgegevens. Bij de Autoriteit Persoonsgegevens zijn er al meer dan 75 meldingen binnen gekomen van datalekken als gevolg van bovengenoemd beveiligingslek. Deze meldingen zullen naar verwachting de komende periode flink stijgen; veel inbraken zijn op dit moment namelijk nog niet opgemerkt. De mogelijke gevolgen zijn niet te onderschatten; denk hierbij aan imago-/reputatieschade, bedrijfsstilstand en aansprakelijkheid.
Het is dus belangrijk om als organisatie passende beveiligingsmaatregelen te treffen en noodplannen te maken, mocht er onverhoopt een beveiligingsincident in de toekomst plaatsvinden.
De privacy
Bij een beveiligingsincident wordt er vaak meteen gedacht aan privacy. De technologie bedreigt onze privacy op vele manieren. Daarom heeft de wetgever op dat gebied een ingrijpende verandering doorgevoerd. In mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht en verplicht organisaties om direct een melding te doen bij de Autoriteit Persoonsgegevens op het moment als er sprake is van een datalek. Bij een datalek gaat het om toegang, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is.
Organisaties die verantwoordelijk zijn voor de verwerking van persoonsgegevens moeten normaliter binnen 72 uur, nadat zij een lek hebben ontdekt, dat melden aan de Autoriteit Persoonsgegevens. In de praktijk zijn organisaties vaak huiverig om een datalek te melden. Het niet op tijd melden van een datalek kan duur uitvallen. Uber kreeg daarvoor een boete van € 600.000,-. Ook in andere gevallen is de toezichthouder bevoegd een hoge boete uit te delen aan organisaties die de Algemene Verordening Gegevensbescherming (AVG) overtreden. Deze boete kan oplopen tot maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet van de organisatie. Verder is het zo dat als personen schade leiden vanwege een datalek, de organisatie aansprakelijk kan worden gehouden die verantwoordelijk is voor het lek. Het kan zelfs verder reiken; ook bestuurders van een organisaties kunnen mogelijk aansprakelijk worden gesteld.
Bestuurdersaansprakelijkheid
Het is de vraag of een bestuurder van een organisatie persoonlijk aansprakelijk kan worden gesteld. Op dit moment zijn er ons nog geen praktijkzaken bekend, maar het is niet ondenkbaar dat in de (nabije) toekomst hier juridische procedures over worden gevoerd. In de politiek wordt er al geopperd om van persoonsgegevens een topprioriteit te maken en een politieke partij heeft zelfs het standpunt ingenomen om bestuurders persoonlijk aansprakelijk te stellen bij een gebrekkige databescherming. Je kunt hierbij denken aan bijvoorbeeld het (bewust) overtreden van de AVG-wetgeving en het niet melden van datalekken. Ook kan je denken aan een bestuurder die zijn taak om adequate en passende beveiligingsmaatregelen te nemen onbehoorlijk heeft vervuld en hem daarmee een ernstig verwijt kan worden gemaakt. Daarnaast kan ook sprake zijn van een onrechtmatige daad. Hiervoor geldt eveneens dat er sprake moet zijn van een ernstig verwijt.
Als bestuurder is het dus belangrijk om je verantwoordelijkheid te nemen en de informatiebeveiliging op orde te hebben.
Voor het correct functioneren, optimaliseren van deze website en t.b.v. commerciële doeleinden maakt StackSecure gebruik van cookies. Meer hierover kunt u lezen in ons privacy statement