Handelspraktijken en consumentenbescherming:
recente topics onder de loep
Dr. Stijn Claeys en mr. Arne Baert (Racine)
Webinar op vrijdag 30 augustus 2024
Aandachtspunten bij het opstellen
en analyseren van ICT-contracten
Mr. Lynn Pype en mr. Liesa Boghaert (Timelex)
Webinar op donderdag 16 mei 2024
Cyberrisico’s voorkomen met gepaste technische en organisatorische maatregelen is ook een plicht onder GDPR (Sirius Legal)
Cyberrisico’s zijn een steeds groter wordende bedreiging voor bedrijven van alle groottes en in alle sectoren. Om je hiertegen in te dekken, kan en moet je als bedrijf heel wat maatregelen nemen. Sommige van die maatregelen zijn zeer specifiek cybersecurity georiënteerd en volgen uit specifieke wetgeving zoals de NIS en NIS 2 Richtlijnen voor essentiële, belangrijke en digitale dienstverleners of uit de DORA-wetgeving voor financiële dienstverleners.
Maar jezelf beveiligen tegen hacking en gegevensdiefstal is in de eerste plaats een verplichting onder GDPR voor élke onderneming die persoonsgegevens verwerkt. GDPR verplicht elk bedrijf om “passende technische en organisatorische maatregelen” te nemen om een gepast niveau van veiligheid en overeenstemming met de GDPR te garanderen. Die regels zijn specifiek voor de verwerking van persoonsgegevens, maar ze zijn bij uitbreiding natuurlijk bruikbaar voor het beveiligen van alle kritieke data in je bedrijf zoals je knowhow en bedrijfsgeheimen, financiële gegevens, je intellectuele eigendom, je R&D projecten, etc…
Passende technische en organisatorische maatregelen
Artikel 24 van de GDPR, of AVG in het Nederlands, verplicht verwerkingsverantwoordelijken om “rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen” […] “passende technische en organisatorische maatregelen” [te nemen] “om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”
Het moeilijke voor vele bedrijven bij GDPR is dat de verordening niet zegt wélke maatregelen je precies moet nemen en wát precies een gepast niveau van veiligheid is. Daar bestaan immers weinig concrete richtlijnen voor, behalve de zeer algemene bewoordingen van artikel 32 GDPR en de voorafgaande overwegingen bij dat artikel. Eigenlijk komt het aan elk bedrijf of organisatie toe om binnen de eigen context, en rekening houdend met de eigen situatie en de eigen middelen de best mogelijke veiligheidsmaatregelen te voorzien.
Hou er rekening mee dat de bewijslast bij jou als bedrijf ligt. We zien in heel wat recente beslissingen van gegevensbeschermingsautoriteiten in verschillende lidstaten dat bedrijven gesanctioneerd worden omdat ze niet kunnen aantonen dat ze voldoende passende maatregelen hebben genomen onder artikel 24. Heel vaak blijken er intern wel maatregelen genomen te zijn, maar zijn die niet of onvoldoende gestructureerd en gedocumenteerd.
Dat betekent met andere woorden dat je als bedrijf moet werken aan een gestructureerde aanpak voor dataveiligheid in je bedrijf, zowel vanuit GDPR oogpunt als vanuit puur cybersecurity oogpunt. Zorg voor een voorafgaande uitoefening om risico’s en zwaktes in kaart te brengen en werk op basis daarvan aan een gestructureerd actieplan op basis van prioriteiten, waarbij je de grootste risico’s en zwaktes als eerste aanpakt.
Bij Sirius Legal bieden we onze cliënten al jarenlang GDPR én cybersecurity audits aan. Op onze webshop bijvoorbeeld vind je GDPR audits, Cybersecurity Legal quickscans en samen met Vlaio en de Vlaamse Gemeenschap bieden we gesubsidieerde Cybersecurity verbetertrajecten aan voor KMO’s in Vlaanderen.
Concrete tips onder GDPR
We gaven al hoger aan dat de context van elke organisatie verschillend is en dat de te nemen maatregelen dus ook erg uiteenlopend kunnen zijn. Bedrijven met veel thuiswerk en waar heel wat gevoelige persoonsgegevens verwerkt worden hebben vanzelfsprekend heel andere belangen dan bvb winkelketens met een winkelnetwerk.
Er zijn echter zeker wel een aantal standaard tips waarmee je als onderneming alvast de eerste stappen kan zetten naar een passend niveau van bescherming voor de door jou verwerkte persoonsgegevens. Hier zijn alvast een aantal technische en organisatorische maatregelen die je als bedrijf eigenlijk moet nemen:
Technische maatregelen:
- Gebruik van up-to-date beveiligingssoftware: zorg ervoor dat alle software (zoals besturingssystemen, applicaties, en antivirussoftware) regelmatig wordt geüpdatet met de laatste beveiligingspatches en -updates.
- Sterke wachtwoorden: laat medewerkers sterke en unieke wachtwoorden gebruiken voor al hun accounts, met een minimale lengte van 8 karakters.
- Gebruik van twee-factor-authenticatie (2FA): voeg een extra beveiligingslaag toe door 2FA in te stellen voor alle accounts waar mogelijk.
- Gebruik van firewalls: stel firewalls in om onbevoegde toegang tot jouw netwerk te voorkomen.
- Hou je software up-to-date: waak erover dat alle software op je systemen (zoals besturingssystemen, browsers en andere applicaties) altijd up-to-date is met de nieuwste beveiligingspatches.
- Installeer en gebruik een betrouwbare antivirussoftware: gebruik antivirussoftware die regelmatig wordt bijgewerkt en die bescherming biedt tegen verschillende soorten malware.
- Gebruik encryptie om gegevens te beschermen, zowel in rust (bijvoorbeeld opgeslagen op een harde schijf) als in transit (bijvoorbeeld tijdens het verzenden via het internet).
- Monitoring van netwerkverkeer: Houd je netwerkverkeer goed in de gaten om verdachte activiteiten te detecteren en snel te kunnen reageren op eventuele inbreuken.
Organisatorische maatregelen:
- Informatieveiligheidsbeleid: Ontwikkel een beleid voor informatiebeveiliging en zorg ervoor dat alle medewerkers dit begrijpen en naleven. Werk hierin met dataclassificatie om de gevoeligheid van bepaalde datasets te identificeren, zorg voor duidelijke policies rond dataopslag, e-mail, afdrukbeleid, gebruik van eigen devices, thuiswerk, bezoekers in de gebouwen, …
- Training van medewerkers: Zorg ervoor dat medewerkers getraind zijn in informatiebeveiliging en zich bewust zijn van de risico’s van cyberrisico’s, bijvoorbeeld door regelmatige phishing-simulaties uit te voeren.
- Beperk toegang tot gevoelige gegevens: Beperk de toegang tot gevoelige gegevens tot alleen de medewerkers die deze gegevens nodig hebben om hun werk te kunnen doen.
- Back-up van gegevens: Maak regelmatig back-ups van belangrijke gegevens en sla deze op een veilige locatie op.
- Incident Response Plan: Werk een incident response plan uit om snel en effectief te kunnen reageren op een inbreuk op de beveiliging als deze zich voordoet.
Globale en continue aanpak
Het is belangrijk om mee te nemen dat geen enkele maatregel op zichzelf zaligmakend is en dat de dataveiligheid van je bedrijf maar zo sterk is als de zwakste schakel. Bedrijven moeten dan ook best een globale of holistische aanpak hanteren bij het nemen van maatregelen om zich in te dekken tegen cyberrisico’s en GDPR compliance. Dat betekent dat planning op lange termijn, een gestructureerde aanpak, een duidelijk plan met prioriteiten en een aaneengeschakeld geheel van zowel technische als organisatorische maatregelen nodig zijn.
GDPR compliance en cybersecurity zijn overigens ook geen eenmalige oefening. Beiden zijn een permanent proces en vereisen continue evaluatie en bijwerking om de veranderende risico’s bij te houden. Je wil als bedrijf immers kwaadwillige hackers liefst een stapje voor blijven, niet enkel vandaag maar ook morgen, volgende week en volgend jaar.
Bron: Sirius Legal
» Bekijk alle artikels: Privacy & Gegevensbescherming, IT & IP
