Dit is een gastblog door Perrée & Partners
"Mijn IT-er regelt dit. Ik werk in de cloud. Er valt echt helemaal niets bij mij te halen. Wij doen niets met persoonsgegevens. Ik heb het druk genoeg met andere zaken.” Dit zijn redenen die wij vaak van ondernemers horen als argument om niet om te kijken naar cybersecurity en een cyberverzekering voor hun bedrijf.
Is dat gek? Nee. Is het gevaarlijk? Ja. We leggen je uit waarom.
1. Mijn IT-leverancier regelt dit
Veel ondernemers besteden hun IT uit. Je hebt dit waarschijnlijk uitbesteed aan Claranet of overweegt dit. Vaak worden er diverse onderdelen aan verschillende partijen uitbesteed. Denk aan een website bouwer, netwerkbeheerder, iemand die de computers onderhoudt en een hosting partij. Zij leveren wat je als ondernemer vraagt en nemen daar soms ook wat security maatregelen in mee. Technische maatregelen welteverstaan, maar meestal géén organisatorische maatregelen. En dat terwijl 90% van alle hacks en datalekken door fouten en/of onzorgvuldigheden van mensen komt.
2. Alles staat in de cloud
Oke, hier kunnen we kort over zijn. Je gaat er nog steeds naar toe via de eigen computer. En alles wat op een lokale computer mis kan gaan op het gebied van wachtwoorden, verkeerde linkjes en data delen die niet gedeeld mag worden… juist, dat is in de cloud niet anders zonder extra beveiligingsinstellingen en maatregelen. Dus ook hier kan het mis gaan. Alle data van jouw klanten zijn en blijven jouw verantwoordelijkheid, of je nu wel of niet in de cloud werkt.
3. Bij mij valt toch niets te halen
Het gaat niet om de waarde voor de crimineel. Het gaat om de waarde die jouw spullen voor je hebben. Ben je bereid te betalen om gestolen of gegijzelde bestanden terug te krijgen? Dan bent je een target. En nee, de hacker aast hoogstwaarschijnlijk niet op jou persoonlijk. Zoals een tandarts met zijn haakje zoekt en net zo lang prikt tot hij een zwakke plek heeft gevonden, zo zoekt een hacker naar dat ene poortje dat hem toegang verschaft tot jouw belangrijke bestanden.
4. Wij doen niets met persoonsgegevens
Als je een bedrijf hebt met betalende klanten, dan is het zeer waarschijnlijk dat je de details daarvan ergens registreert. Daarnaast heb je de persoonlijke gegevens van de mensen die bij je werken en zelfs de namen en e-mailadressen van inschrijvers op de nieuwsbrief dien je te beschermen.
5. Ik heb het druk genoeg met andere zaken
Het probleem van elke goede ondernemer. Zo veel te doen, zo veel kansen en bijna alles kost geld. Iedere dag moet je weer keuzes maken.
Zijn jouw klanten gevoelig voor het idee dat je serieus met hun gegevens om gaat? Vragen ze er wel eens naar hoe je daar mee om gaat en heb je zelf wel eens gecontroleerd of laten controleren of je voldoet aan de wettelijke eisen hiervoor? Ken je die wettelijke eisen eigenlijk wel?
Wat als je op het verkeerde linkje klikt en de cloud wordt gehacked? Kan je jouw IT-leverancier of cloudprovider dan aansprakelijk stellen voor de schade die daaruit voortvloeit? Kan je jouw leverancier of cloudprovider überhaupt aansprakelijk stellen voor alle geleden schade als je gehackt bent? Wie betaalt de stilstand van jouw bedrijf door een hack? Wie betaalt het verlies van belangrijke data en werk dat opnieuw gedaan moet worden? Het moeten melden van een datalek/hack aan jouw klanten en de Autoriteit Persoonsgegevens zorgt vaak voor ernstige imago- en reputatieschade. Wie helpt je met het beperken van de imagoschade? Wie moet je eigenlijk bellen als er een vermoeden bestaat dat je gehackt bent? Weet je welke specialisten er allemaal ingeschakeld moeten worden om een lopende hack te bestrijden? Herkennen jouw werknemers en jijzelf wel phishingmailtjes? En heeft jouw organisatie ook gratis wifi en ben je je bewust van de risico’s hiervan? En tenslotte: wat betekent de AVG-wetgeving nu eigenlijk voor jou persoonlijk, jouw klanten en voor jouw organisatie?
Kan je veel van deze vragen niet meteen duidelijk beantwoorden? Neem dan eens contact op met een onafhankelijk adviseur om je op dit gebied weer een gezonde nachtrust te bezorgen. Een adviseur met ervaring op het gebied van (cyber)verzekeringen en financiële vraagstukken.
Dit blog is eerder verschenen in ons Security Magazine editie zomer 2020. Geïnteresseerd in dit magazine? Vraag het magazine dan hier aan!