Fronsende wenkbrauwen en sceptische reacties op kantoor als het gaat over cyberrisico’s. Hacken is toch iets wat een andere organisatie overkomt? “Wat valt er bij ons te halen?” is een veelgehoorde uitspraak. Maar kloppen deze beweringen eigenlijk wel? We zetten de vijf hardnekkigste misverstanden op een rij.
#1 Ons kantoor is niet interessant voor cybercriminelen
Het gaat er niet om of je interessant bent, maar hoe makkelijk het is om een netwerk binnen te dringen. Gelegenheid maakt de dief, ook bij cybercrime. Ieder kantoor beschikt over klantgegevens of andere vertrouwelijke informatie, al betreft het alleen maar het eigen personeelsbestand. Ook draait het voor criminelen niet altijd om diefstal van gegevens. Wat zich steeds meer voordoet is digitale afpersing met behulp van ransomware. Deze kwaadaardige software versleutelt data en eist losgeld voor het vrijgeven van de data.
#2 We hebben een firewall, dus we zijn beschermd
Een firewall is vaak de eerste verdedigingslinie, maar biedt geen 100% bescherming. Hoe goed een firewall ook is, deze is niet unhackable. Hetzelfde geldt voor een spamfilter of virusscanner. Cyberincidenten kunnen ook uit een heel andere hoek komen. Denk aan het openlijk praten over vertrouwelijke bedrijfsgegevens in openbare ruimtes, een gestolen laptop of dossiers die in de trein blijven liggen. Een hightech firewall biedt dan geen bescherming. Daarom zijn preventieve maatregelen belangrijk, evenals het verzamelen van de juiste partners om je heen. Zo kan er bij een cyberincident snel geschakeld worden in het kader van damage control.
#3 Bij een cyberincident leg ik een aansprakelijkheidsclaim neer
Het is niet altijd te achterhalen wie verantwoordelijk is voor een cyberincident. Daarnaast is het zeer de vraag of er direct een claim kan worden neergelegd. Reputatieschade, door bijvoorbeeld een datalek, is lastig kwantificeerbaar en hackers zijn veelal onvindbaar. Ook het inschakelen van een externe netwerkbeheerder vrijwaart de organisatie niet van wettelijke aansprakelijkheid.
#4 Gevolgen van cyberincidenten zijn te overzien
Veel kantoren onderschatten de risico’s. De schade bij een cyberincident is vaak groot: bedrijfsprocessen stagneren, er is kans op reputatieschade of gedupeerden stellen het kantoor aansprakelijk. Dan zijn professionals die je snel op weg helpen en een verzekering die de omzetderving dekt zeer welkom. Daarnaast geldt sinds 1 januari 2016 de Meldplicht Datalekken. Deze meldplicht houdt in dat kantoren direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra er sprake is van een ernstig datalek. Wanneer deze melding niet plaatsvindt, kan dit een boete tot gevolg hebben die kan oplopen tot ruim € 800.000 of 10% van de jaaromzet. Deze boete geldt ook voor persoonsgegevens die niet op een zorgvuldige manier zijn verwerkt of bij een ondeugdelijke beveiliging.
#5 Cyberrisico’s zijn verzekerd op de beroepsaansprakelijkheidsverzekering
Cybercrime of cyberincidenten zijn geen beroepsfouten en de risico’s hiervan zijn niet gedekt op een beroepsaansprakelijkheidsverzekering (BAV) voor advocaten. Cyberverzekeringen bieden in een dergelijk geval wel uitkomst. Bijkomend voordeel van een cyberverzekering is de service en dienstverlening die je ontvangt op het moment dat er een cyberincident zich voordoet. Een gespecialiseerd crisisteam staat het kantoor bij om zo snel mogelijk weer up and running te zijn. In het kader van ‘behoorlijk bestuur’ draagt een cyberverzekering ook bij aan beleidvorming en beschermt het de continuïteit van het kantoor.
Meer informatie? Neem contact op met de adviseurs van Mutsaerts of vraag hier een kennismakingsgesprek aan.
Mutsaerts, adviseur en verzekeringsmakelaar voor de advocatuur
mr. Viktor T. Kühne
Tel: 013 – 594 28 28
Website: www.mutsaerts.nl
E-mail: info@mutsaerts.nl