Advocatenkantoren met beleidsregels rondom informatierisico’s moeten erop toezien dat de informatieveiligheidsmaatregelen ook daadwerkelijk worden nageleefd. Anders hebben ze geen enkele zin en bestaat het risico dat gevoelige en vertrouwelijke gegevens in verkeerde handen vallen. Technische maatregelen alleen zijn bovendien niet voldoende. “Het is zinloos te investeren in informatieveiligheid wanneer de betrokkenen er persoonlijk geen acht op slaan.”
Informatiemanager Iron Mountain en PwC deden onderzoek naar informatiebeveiliging onder 600 middelgrote bedrijven (met 250 tot 2500 werknemers) in zeven Europese landen, waaronder Nederland. Een deel van de respondenten komt uit de juridische sector. 42 procent van de Europese advocatenkantoren heeft geen idee of er de afgelopen drie jaar sprake is geweest van een datalek. Al met al constateren de onderzoekers een ‘laag risicobewustzijn’. De juridische sector blijkt bovendien het laagst te scoren op de zogenaamde Information Risk Maturity Index.
Technologie
De onderzoeksresultaten laten volgens de onderzoekers zien dat veel organisaties bijzonder slecht zijn voorbereid om het hoofd te bieden aan informatierisico’s zoals datalekken, dataverlies en het niet voldoen aan wet- en regelgeving. In het onderzoeksrapport wordt het zorgwekkend genoemd dat 59 procent van de respondenten gelooft dat investeren in technologie voldoende is voor de bescherming van informatie.
Directeur Jeroen Strik van Iron Mountain in een persbericht over het onderzoek: “Onze studie naar informatierisico’s laat zien dat de Europese advocatuur, ook in Nederland, zich amper bewust is van, of gevolg geeft aan de veiligheidsrisico’s. De houding is dat het een technisch probleem is, maar het is zinloos te investeren in informatieveiligheid wanneer de betrokkenen er persoonlijk geen acht op slaan. Alle geld en technologie van de wereld kan gevoelige data niet beschermen, zolang medewerkers niet afdoende worden getraind, gecontroleerd en ondersteund om de informatieveiligheid voorop te plaatsen. Het bestuur zelf moet hiertoe op het hoogste niveau het voortouw nemen. Informatieveiligheid moet onderdeel zijn of worden van de bedrijfscultuur.”
Cyberaanval
Advocatenkantoren die in het onderzoek melding maakten van een datalek, noemden als belangrijkste ingrijpende gevolgen reputatieschade, juridische aansprakelijkheid en negatieve publiciteit. Een cyberaanval kan de reputatie van een merk schaden, het vertrouwen van klanten en aandeelhouders ondermijnen en concurrentievoordelen teniet doen. De kosten om de gevolgen te herstellen kunnen bovendien enorm zijn.
Dat gebrekkige bescherming van informatie kan leiden tot cyberaanvallen, bleek vorig jaar toen computers van grote Canadese en Amerikaanse advocatenkantoren werden gehackt vanuit China. Hackers kunnen het gemunt hebben op gegevens met betrekking tot belangrijke deals, waarmee partijen hun voordeel doen. Afgelopen november organiseerde FBI een bijeenkomst voor de top 200 kantoren van de VS om ze te informeren over het risico van hacken. Het geheimhouden van klantinformatie is immers een van de kernprincipes van de advocatuur.