Verslag security round table

Waarom je erbij had moeten zijn

Rotterdam, 27 september – Zet een advocaat, een consultant, een Chief Risk Officer, wat Youwe-mensen en zo’n twintig e-commerce managers bij elkaar tijdens een round table, bespreek de nieuwe privacywetgeving AVG en je weet één ding zeker: dit wordt een heel inspirerend event. En dat werd het ook, op donderdag 21 september jl. in het Rotterdamse Spaces. Vanwege de grote belangstelling voor het onderwerp boekten we voor het gemak de grootste zaal die beschikbaar was. En dat was gezien de hoge opkomst maar goed ook.

 

Het is 10:00 uur en dagvoorzitter Rogier Hosman (CMO bij Youwe) trapt af. Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR), een feit. Dit betekent dat er vanaf dat moment in heel Europa dezelfde privacywetgeving geldt. Nu is hét moment om vast voorbereidingen te treffen voor die betreffende datum in mei. Want wat komt er nu precies allemaal op ons af?

 

Cybersecurity is essentieel

Ady van Nieuwenhuizen, Senior Privacy Advocate bij Kneppelhout & Korthals Advocaten, licht toe: “Het is niet meer de vraag óf er een wereldwijde hack gaat plaatsvinden, maar wanneer. Hoogste tijd dus om te zorgen dat de security op orde is.” En dat online security steeds belangrijker wordt, werd ook afgelopen Prinsjesdag nog eens benadrukt: de overheid trekt in 2018 nog meer geld uit voor cyberveiligheid en voor de automatisering van persoonsgegevens.

 

Maak melding van datalekken

Ady staat ook stil bij datalekken, waarbij persoonlijke gegevens van gevoelige aard verloren zijn gegaan en op straat komen te liggen. Volgens de nieuwe wet ben je als bedrijf verplicht om datalekken binnen 72 uur te melden. Doe je dit niet, dan riskeer je een flinke boete. Ady: “Zorg ervoor dat je een draaiboek hebt klaarliggen voor het geval dat je onverhoopt te maken krijgt met een datalek. Zo weet je wat je moet doen en kom je niet voor verrassingen te staan. Zorg er daarnaast voor dat alleen de mensen die toegang moeten hebben tot bepaalde gegevens, toegang krijgen tot de database en dat alle data goed versleuteld zijn. Awareness creëren onder het personeel is cruciaal. Let tenslotte ook op mensen die uit dienst gaan. Ex-medewerkers kunnen meer kwaad aanrichten dan je misschien denkt.”

 

AVG: één privacywet voor heel Europa

Terug naar de AVG, ofwel de GDPR. Het doel van deze wet is om de privacy van de burgers te beschermen. Er komt dus één wet die voor ieder Europees land geldt. De Autoriteit Persoonsgegevens heeft een stappenplan opgesteld om Nederlandse bedrijven klaar te stomen voor deze wet. In de praktijk blijkt het echter nog lastig om dit stappenplan uit te voeren. Meer dan de helft van de Nederlandse organisaties is nu nog niet voorbereid op de GDPR en weet vooralsnog niet hoe hiermee moet worden omgegaan. Toch riskeer je als bedrijf een fikse boete als je niet voldoet aan de nieuwe wet-en regelgeving. Deze boete kan oplopen tot 4% van de wereldwijde omzet of 20 miljoen euro. Van de Autoriteit Persoonsgegevens worden echter meer guidelines verwacht zodat bedrijven straks in mei daadwerkelijk klaar zijn voor de nieuwe wet. Ady tipt: “Zorg er hoe dan ook als onderneming voor dat je privacy policy up-to-date is.”

 

Alles valt te hacken

Ook Olav Bleijenberg, Business & Management Consultant bij Atos, vertelt: “Zakendoen gaat over vertrouwen. En om vertrouwen te krijgen, moet je voldoen aan de wet-en regelgeving. Je hebt security nodig. In de wereld waarin wij leven, gaan criminelen steeds geavanceerder te werk. Alles gebeurt tegenwoordig online. Je gegevens worden bewaard in de cloud, je hebt zelf geen controle meer. De vroegere virusscan van McAfee voldoet vandaag de dag niet meer. Websites worden gehackt, consumenten krijgen te maken met social engineering en vooral ziekenhuizen worden getroffen door malware. Eigenlijk valt alles te hacken.”

 

Hacking is een businessmodel

Dat is nogal wat. Als er iets fout gaat, zoals onlangs bij Maersk, dan kan het je als bedrijf heel veel geld kosten. Olav: “Ook als iemand anders je systemen beheert, kun jij gehackt worden. We weten niet waarom mensen ons gaan hacken, we weten ook niet hoe een hacker eruit ziet, maar we weten wel dat we een keer worden aangevallen en dat een persistente aanval bijna altijd succesvol is. Hacking is een business model, een illegale manier om geld te verdienen.”

Maar kun je als bedrijf dan helemaal niets doen? Zeker wel! “Het begint met het op orde hebben van je security. Zorg dat je straks voldoet aan de wet-en regelgeving en als er iets gebeurt, reageer er dan vooral op. Meld datalekken. En beter nog: neem vooraf de juiste maatregelen. Breng de bedreigingen die in de toekomst mogelijk zijn in kaart en bereid je hier goed op voor. Waar zitten de gaten? Hoe ziet de ICT architectuur eruit? Leg de verantwoordelijkheid neer bij de mensen die er verantwoordelijk voor zijn.”

 

Wat gaat security mij kosten?

Een terechte vraag uit de zaal volgt: “Het verhaal klinkt heel leuk, ik start liever vandaag dan morgen, maar wat kost het me? Ik moet personeel gaan trainen en systemen aanpassen. Waar kan ik als MKB’er de balans vinden tussen de boete die ik riskeer en de maatregelen die nodig zijn om compliant te zijn?” Het antwoord van Youwe’s Rogier is duidelijk: “Wanneer je als bedrijf het onderwerp security serieus neemt, moet je hier ook budget voor vrijmaken. Youwe is zelf ISO-gecertificeerd en dat was een flinke investering. Wil je dat als bedrijf? Breng allereerst de risico’s in kaart en investeer dan geld in zaken waar de investering daadwerkelijk effect heeft. Acteer vooral niet vanuit de wetgeving, maar vanuit het continueren van de bedrijfsactiviteit en zorg ervoor dat die niet in gevaar komt.” Olav vult tot slot aan: “Het is niet erg als je nu nog niet voldoet aan de nieuwe wetgeving, maar zorg er wél voor dat je aantoonbaar kunt maken dat je ermee bezig bent. Je moet jezelf ook de tijd geven om zaken op orde te brengen. Zorg dat je deze zaken op termijn regelt en begin nu met de belangrijkste stap: creëer awareness bij iedereen die betrokken is bij de nieuwe wet-en regelgeving.” En ja, daar kan Youwe zich natuurlijk alleen maar bij aansluiten.

 

Je ziet het: het was een inspirerende ochtend in het Rotterdamse. Omdat er veel interesse is in de nieuwe privacywetgeving en de gevolgen hiervan, zal Youwe op meerdere locaties in Nederland dergelijke round tables organiseren. Houd hier onze website voor in de gaten. En wil jij nu alvast meer weten over de AVG en de gevolgen hiervan voor jouw bedrijf? Lees dan ons recente artikel ‘De Algemene verordening gegevensbescherming (AVG): wat betekent het voor jou?’ of neem vrijblijvend contact met op Gert-Jan Jansma, Security Officer bij Youwe. Gert-Jan zit klaar voor al je vragen en is bereikbaar op telefoonnummer (010) 466 86 38.

 

Security round table: 23 november 2017

Vanwege de enorme belangstelling organiseren we op 23 november a.s. nogmaals een security round table, ditmaal in Groningen. Aanmelden kan via onderstaande button.

Klik hier om je aan te melden

SECURITY ROUND TABLE
23 NOVEMBER 2017
GRONINGEN

Klik hier om je aan te melden