Uw USB-stick is zoek? Gehackt maar niet gemeld? Uw medewerker is zijn smartphone van de zaak verloren? U dient plotseling te betalen om uw bestanden te mogen inzien? Uw klantenbestand stond “heel even” onbeveiligd, wat nu? Zomaar enkele praktijkvoorbeelden die ook u als ingenieur kunnen overkomen, echter met mogelijke impactvolle gevolgen. U denkt nu vast, dit gebeurt mij niet, maar wat als dit toch bij u of bij uw medewerkers voorvalt?
Onze wetgever heeft per 1 januari 2016 zowel voor de publieke als private ondernemingen die persoonsgegevens verwerken een wettelijke verplichting om inbreuken op de beveiliging te melden die mogelijk leiden tot diefstal, verlies of misbruik van persoonsgegevens. De achterliggende gedachte van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen. De Autoriteit Persoonsgegevens mag boetes opleggen die kunnen oplopen tot € 820.000,- of 10% van uw jaaromzet.
Wij horen het u denken: “Wij zijn geen multinational, dus wij hoeven ons geen zorgen te maken”. Aangezien grotere organisaties hun beveiligingssystemen blijven optimaliseren, gaan criminelen steeds meer op zoek naar “makkelijkere” doelwitten. 75% van de datalekken vinden plaats bij organisaties met minder dan 100 werknemers. Vaak zijn de financiële middelen niet toereikend om een effectieve beveiliging ter preventie van datalekken op te zetten, of om na een zogenaamd cyberincident effectieve herstelmaatregelen te treffen.
Andere kosten als gevolg van een data inbreuk die uw liquiditeit in gevaar kunnen brengen zijn zowel de eigen kosten als ook de kosten van derden die op u worden verhaald.
Eigen kosten als gevolg van een inbreuk of een datalek: Kosten van digitaal forensisch onderzoek (om de omvang en reikwijdte van de inbreuk of van het gegevensverlies vast te stellen) – de kosten kunnen sterk uiteenlopen, afhankelijk van hoe groot of ingrijpend de inbreuk is;
- Melden en inlichten van gedupeerden – de tarieven kunnen nogal verschillen maar veel aanbieders hebben tarieven afgesproken die uiteenlopen van € 1,25 to € 5 per persoon;
- Kosten voor public relations en crisismanagement;
- Ransomware betalingen door cyberafpersing;
- Kosten van herstel van ICT-systemen.
Kosten van derden die worden gemaakt door inbraak of aansprakelijkheid:
- Kosten van fraude met een betaalkaart;
- PCI boetes (In de boete kunnen de kosten zijn verwerkt van het opnieuw uitgeven van kaarten en van niet-verhaalbare frauduleuze geldopnames met de gestolen kaarten);
- Boetes / schadevergoedingen van andere instanties (CPB zoals hierboven aangegeven);
- Vanwege identiteitsdiefstal;
- Vanwege verlies van intellectueel eigendom of vertrouwelijke bedrijfsgegevens van derden;
- Vanwege netwerkverstoring;
- Lichamelijk letsel als gevolg van verloren gegevens;
- Psychische en emotionele schade door openbaarmaking van privégegevens;
- Overdracht of verspreiding van een computervirus/-worm of schadelijke software als gevolg van onachtzaamheid;
Een voorbeeld uit de praktijk: Elektrische huishoudelijke toestellen
Een hacker beweert 200.000 e-mailadressen en telefoonnummers van de website van een elektronica concern geplukt te hebben. Als gevolg hiervan kwam het bedrijf erachter dat de veiligheid van hun microsites (websites door hun gebruikt voor advertenties en andere acties) niet up to date was. De server van de websites was voor het laatst drie jaar geleden bijgewerkt, dat het succes van de hack verklaart. De hacker heeft een deel van de adressen en telefoonnummers uit de database online gezet en de rest van de gegevens verkocht aan spammers.
Wat zullen de kosten omvatten?
- Forensisch onderzoek;
- Juridische kosten;
- Notificatie data inbreuk aan stakeholders;
- Herstelkosten database;
- Claims van consumenten;
- Contactgegevens van de slachtoffers achterhalen;
- Het verzenden van een mailing;
- Een callcenter inschakelen om meteen vragen te kunnen beantwoorden;
- Media en PR campagne om de kosten en schade aan het merk te beperken.
Totaal kostenplaatje data inbreuk: € 1.600.000
Voorkomen is vanzelfsprekend altijd beter dan genezen, maar wat als bovenstaande casus u toch overkomt? Heeft u een reservering voor een dergelijk incident? Staat er een interventieteam klaar? Kan verzekeren perspectief bieden en uit welke dekkingen kunt u dan kiezen? Zorg dat het niet te laat is en laat u nu adviseren omtrent cyberrisico’s. Ook bieden wij u op digitaal gebied bedrijfscontinuïteit aan. Wenst u meer productinformatie of een premie indicatie? Kijk snel op https://www.saa.nl/cyberrisk/