Boete van 90 Miljoen euro? Cyber Security: Ramp of Redzaam?

10 November 2014
Categorie:
646

Stelt u zich voor: U heeft een prima idee om gegevens van potentiële klanten te verzamelen via een website. Door iets aan te bieden waar de klant blij van wordt: een gratis advies, passende informatie of een voorstel voor een opleidingsplan. U zoekt een partner die een website voor u kan regelen inclusief de vastlegging van de gegevens. Software As A Service (SAAS) dus.

Natuurlijk geeft u op de website keurig aan waarvoor de gegevens gebruikt gaan worden. U laat de klant akkoord gaan met de voorwaarden en biedt hem de ruimte om zijn toestemming weer in te trekken. Met de leverancier stelt u een contract op met voorwaarden en een SLA. Allemaal netjes zoals het hoort. U denkt: dit is helemaal goed. Tot uw gegevens op straat blijken te liggen. Of u in het nieuws komt omdat iemand inbreuk heeft gemaakt op uw gegevens.

Dan blijkt dat u een boete kunt krijgen van maximaal 4.500 Euro per keer.(en als de wet die nu in Europa op tafel ligt doorgaat, gaat het straks om maximaal 10% van uw wereldwijde omzet!) Ook al is de schuldige de derde partij waarmee u dacht goede afspraken te hebben gemaakt. Als u als data-eigenaar geen goede afspraken heeft gemaakt over het beveiligingsniveau en hierover geen sluitende overeenkomst heeft afgesloten met de service provider bent u de klos!

De voorwaarden, waaronder de  Opt-in en Opt-out mogelijkheid, waren met inbreng van Juridische zaken snel geregeld. De geselecteerde derde partij had een uitstekende naam in markt. Ook op Cyber Security gebied. In eerste instantie dachten we als project dat we er daarmee wel waren. Gelukkig schakelden we ter controle onze Corporate Security officer nog even in. Die gaf aan dat het toch nog niet voldoende was. Met haar inbreng werd een gezamenlijk beveiligingsniveau vastgesteld en een overeenkomst opgesteld waarbinnen informatie security afspraken zoals privacy, intrusion prevention en rapportage werden geregeld.

Wij waren er op tijd bij, dat wil zeggen, vóór dat er ellende optrad. Je moet er niet aan denken echt een claim te krijgen (en als de nieuwe wetgeving van kracht wordt zou dat voor ons dus zomaar 90 Miljoen kunnen zijn), of in het nieuws te komen met je bedrijf als overtreder van de WBP, nog helemaal los van de financiële gevolgen.

Dat is mede de reden dat Capgemini Academy op Security trainingen is ingesprongen. Natuurlijk ook gedreven vanuit onze achtergrond en vakkennis: tenslotte zijn we nauw betrokken bij het Cyber Security Center en hebben een pool met ervaren Security specialisten die als trainer optreden. En het is erg goed om te zien dat we in ieder geval zelf ook bewust genoeg bezig zijn om problemen voor te zijn.

Recent hebben we twee niveaus op ISO27002 gebaseerde trainingen in het portfolio opgenomen. De basis is de ISFS en de Advanced ISMAS geeft hier verdieping aan. De basis module is geschikt voor iedereen die meer van Security moet weten.

Auteur

Frank Geerling