'Organisaties moeten een datalek altijd melden bij toezichthoudende autoriteiten'

17 APR 2024 08:00 | KnowBe4
Dit is een expertquote via ANP Expert Support

Martin Krämer

Aanleiding:
Privacywaakhond: bedrijven melden ernstige cyberaanvallen te vaak niet

De Autoriteit Persoonsgegevens constateert dat bedrijven die gehackt zijn niet altijd de gebruikers van wie de gegevens gestolen zijn, informeren. Maar organisaties moeten een datalek ook altijd melden bij toezichthoudende autoriteiten. Zo kunnen ze boetes en negatieve publiciteit voorkomen.

Wetgeving vereist dat organisaties toezichthoudende autoriteiten zonder onnodige vertraging op de hoogte stellen in het geval van een datalek. In het geval van de AVG is dat de Autoriteit Persoonsgegevens als gegevensbeschermingsautoriteit. Organisaties die vallen onder de NIS 2-richtlijn moeten dat doen bij een sectoraal Computer Security Incident Response Team (CSRT). De Informatiebeveiligingsdienst (IBD) is dat bijvoorbeeld voor alle Nederlandse gemeenten. 

Ik raad het organisaties ten zeerste aan zich hieraan te houden, ook omdat cybercriminelen hiervan op de hoogte zijn. Ransomware-groepen weten dat als ze dreigen een melding te maken van niet-naleving aan de relevante autoriteit ze hiermee de druk op hun slachtoffer vergroten en hun onderhandelingspositie voor het verkrijgen van losgeld versterken. 

Organisaties moeten bereid zijn om aan de rapportageverplichtingen te voldoen en hun compliance aan te tonen door hun kennis van zaken te vergroten. In het geval van de AVG kan dit betekenen dat ze alle gegevensstromen binnen hun bedrijf in kaart brengen en dat ze een Data Protection Impact Assessment (DPIA) maken. Ook moeten organisaties zich voorbereiden op een inbreuk. Bedrijfscontinuïteitsbeheer en rapporteren van incidenten zijn twee kernactiviteiten. Verder kunnen ze het Nationaal Cyber Security Centrum of het Digital Trust Center raadplegen voor concrete adviezen en hulpmiddelen om hun cyberweerbaarheid te vergroten. 

Het is tijd om cyberveiligheid serieus te nemen. Organisaties moeten hun cyberbeveiliging aanpakken, omdat geopolitieke verschuivingen en opkomende technologieën zoals kunstmatige intelligentie de druk op organisaties vergroten om veerkrachtig te blijven. Potentiële gevolgen zoals grote financiële schade, boetes van toezichthouders en reputatieverlies zijn te ernstig.

Dr. Martin J. Krämer, Security Awareness Advocate, KnowBe4

Meer binnen de rubriek IT, tech en social media