1. Home
  2. Expertises & sectoren
  3. Cybersecurity

Expertise Cybersecurity

Een universiteit die criminelen een enorm bedrag aan bitcoins betaalt om alle back-upsystemen terug te krijgen. Een gemeente die het slachtoffer is van een grote cyberaanval en digitale afpersing. Cybercrime en dergelijke cyberincidenten nemen de laatste jaren in aantal en ernst toe. Alle reden om per direct aandacht te besteden aan cybersecurity. Maar waar te beginnen? Het Cybersecurity Team van Dirkzwager kan u begeleiden bij het hele proces, van preventieve maatregelen tot juridische bijstand achteraf.

Cybersecurity anno 2021

Bedrijven en instellingen zijn steeds afhankelijker van digitale processen en ICT. En sinds coronatijd is het belang van het gedigitaliseerd (thuis)werken alleen nog maar toegenomen. De samenleving kan niet meer zonder digitale oplossingen, maar deze afhankelijkheid maakt organisaties ook kwetsbaarder. Het gevaar van datalekken groeit en cybercriminelen grijpen waar mogelijk hun kans. De gevolgen voor de getroffen organisaties zijn niet te onderschatten: reputatieschade, bedrijfsstilstand, aansprakelijkheid. Door bijtijds te onderzoeken welke cyberrisico’s uw organisatie loopt, passende beveiligingsmaatregelen te treffen en noodplannen te maken voor als het toch misgaat, vergroot u uw cyberweerbaarheid.

Definitie cybersecurity

Cybersecurity zijn alle beveiligingsmaatregelen die een bedrijf of organisatie neemt om schade te voorkomen door storing, uitval of misbruik van een informatiesysteem of computer.

Veel voorkomende cybersecurity issues

Bedrijfsuitval en/of datalekken door:

  • Uitval van systemen, bijvoorbeeld door fouten of niet tijdig doorvoeren van systeemupdates.
  • Indirecte aanvallen, bijvoorbeeld door phishing, social engineering, virussen, malware.
  • Directe aanvallen, zoals een hack, Ddos-aanval, bedrijfsspionage.
  • Malafide medewerkers (‘insider threats), die misbruik maken van bevoegdheden die zij hebben voor de uitvoering van hun werkzaamheden.
  • Kwetsbaarheden in het systeem, bijvoorbeeld vanwege verouderde systemen (‘legacy systems’) en niet-tijdig updaten en patchen.

Cybersecurity Wet- en regelgeving

Wetgeving

Ieder bedrijf dat persoonsgegevens verwerkt moet voldoen aan de eisen uit de Europese Algemene Verordening Gegevensbescherming (AVG). In die wet is onder andere opgenomen dat bedrijven voor de bescherming van persoonsgegevens ‘passende technische en organisatorische maatregelen’ moeten treffen. Is er sprake van een datalek, dan moet het bedrijf dat in veel gevallen melden aan de Autoriteit Persoonsgegevens. Op overtreding van de AVG staan forse boetes.

Bedrijven en organisaties in de zogeheten vitale infrastructuur zijn bovendien gebonden aan de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze bedrijven en organisaties hebben een wettelijke zorgplicht om maatregelen te treffen om beveiligingsrisico’s voor de ICT-systemen zoveel mogelijk te verkleinen. Doet zich toch een cyberincident voor, dan moeten ze dat melden. Vitale aanbieders en aanbieders van essentiële diensten doen dat bij het Nationaal Cyber Security Centrum (NCSC). Aanbieders van essentiële diensten moeten daarnaast ook melden bij de sectorale toezichthouders en digitale dienstverleners bij het CSIRT (Computer Security Incident Response Team). Ook op overtreding van deze wet staan forse boetes.

Los van deze wetten rusten op ieder bedrijf dat van gebruikmaakt van ICT en computersystemen (ongeschreven) zorgplichten voor een goede cybersecurity. Bedrijven en organisaties maken vaak deel uit van een digitale keten met daarin andere bedrijven en soms ook consumenten. Ieder bedrijf is zelf verantwoordelijk voor de gebruikte ICT. Door de ketenafhankelijkheid zijn goede, duidelijke afspraken en risico-inschattingen heel belangrijk.

Branchespecifieke regelgeving

Regelgeving kan zeer branchespecifiek zijn. Een goede cybersecurity is sterk afhankelijk van de aard van het bedrijf of organisatie, de mate waarin (bijzondere) persoonsgegevens worden verwerkt en de mate van afhankelijkheid van technologie. Een ziekenhuis werkt met grote hoeveelheden gevoelige gegevens én is sterk afhankelijk van technologie. Dan maak je andere afwegingen in de cybersecuritystrategie dan voor bijvoorbeeld een productiebedrijf, waarbij de gevoeligheid van persoonsgegevens een minder prominente rol speelt. Overheden of kennisinstellingen moeten op hun beurt weer op een andere wijze omgaan met cybersecuritystrategie.

Multidisciplinaire benadering 

Cyber is een onderwerp dat op bestuursniveau aandacht dient te krijgen vanuit een multidisciplinaire benadering: bestuurders moeten om de tafel met het management, IT-ers en afgevaardigden van de juridische, commerciële en communicatieafdeling.

Alle organisaties met digitale processen in alle denkbare branches lopen cyberrisico’s. Het Cybersecurity Team is in al die branches actief:

  • IT- en internetbedrijven
  • universiteiten en onderwijsinstellingen
  • verzekeraars en verzekeringsmakelaars
  • overheden
  • zorginstellingen
  • bedrijfsleven

Multidisciplinair team

Het is dus belangrijk om cyber vanuit alle verschillende perspectieven te bekijken. Daarom is ook het Cybersecurity Team multidisciplinair samengesteld met experts van diverse disciplines van Dirkzwager: IE/IT, Aansprakelijkheid, Schade en Verzekering en Gezondheidszorg. Door alle specialistische kennis op zowel juridisch gebied als van de specifieke branches samen te voegen, heeft het Cybersecurity Team het volledige overzicht.

Onze diensten

Het Cybersecurity Team kan uw organisatie begeleiden bij het hele proces, van preventie tot juridische afwikkeling.

  • Contractmanagement: Welke afspraken heeft u gemaakt en hoe zijn de (cyber)risico’s verdeeld?
  • Risicomanagement: Hoe implementeer je cybersecurity in het risicomanagement van de organisatie?
  • Incident response: Verzorging van het volledige procesmanagement op het moment dat zich een calamiteit (ransomware, datalek) voordoet. Indien nodig doen wij dit in samenwerking met externe deskundigen zoals IT-forensisch experts en communicatieadviseurs. Daarnaast begeleiden we bij specifieke juridische zaken, zoals melden bij de toezichthoudende autoriteit bij datalekken en ernstige cyberincidenten. Of bepalen van de juridische positie ten opzichte van derden, bijvoorbeeld contractpartijen.
  • Corporate compliance: Voldoet de organisatie aan de regelgeving? Cybersecurity is onderdeel van corporate governance en heeft raakvlakken met privacywetgeving. Niet naleven van de regels kan ingrijpende gevolgen hebben.
  • Nazorg: Juridische bijstand bij de afwikkeling van schadeclaims en bij geschillen. We verlenen verzekeraars bijstand in dekkingsgeschillen. Bij schadevergoedingen wegens overtredingen van de AVG staan wij de aangesproken partij bij.

Het Cybersecurity Team

Het Cybersecurity Team combineert brede ervaring met digitale technologieën en IT-systemen met diepe kennis van de verschillende branches zoals gezondheidszorg en verzekeringen. Het team staat onder leiding van cybersecurityspecialist Nynke Brouwer, gespecialiseerd in cybersecurity, privacy en aansprakelijkheids- en verzekeringsrecht. Hierop zal zij in de loop van 2021 promoveren aan de Radboud Universiteit in Nijmegen. Met haar specialistische kennis begeleidt Nynke Brouwer verzekeraars bij de (door)ontwikkeling van cyberpolissen.

Verder bestaat het team uit: Ernst-Jan van de Pas, Mark Jansen, Marloes Roetert Steenbruggen-Hulshof, Jeroen Lubbers, Dafne de Boer en Sven Wakker.

Wilt u meer informatie over het cyberteam, cybersecurity, incident response of cyberverzekeringen of wilt u een afspraak maken? Dan kunt u contact opnemen met Nynke Brouwer, 026 353 83 12 of mail naar brouwer@dirkzwager.nl.

 

Events


Bekijk alle events over Cybersecurity

Gerelateerde artikelen

1 filter(s) actief

Expertise

Selecteer de gewenste filteritems

  • U heeft geselecteerd:
  • Combineren met:
  • Combinatie niet mogelijk met:

Sector

Selecteer de gewenste filteritems

Thema

Selecteer de gewenste filteritems

  • Combinatie niet mogelijk met:

Auteur

Selecteer de gewenste filteritems

  • Combinatie niet mogelijk met:
Zoekopdracht delen:
Aantal resultaten: 36

Betrokkenen identificeren bij uitoefening AVG-rechten: wat mag je vragen?

Organisaties zijn verplicht om de uitoefening van de rechten van betrokkenen onder de Algemene verordening gegevensbescherming (AVG), zoals het recht op inzage of gegevenswissing, te faciliteren. Bij dergelijke verzoeken geldt een identificatieplicht: verwerkingsverantwoordelijken moeten op grond van de AVG de identiteit van de verzoekende betrokkenen vaststellen. Maar de AVG geeft niet aan hoe een organisatie dat moet doen. Dat deze verplichting niet in alle gevallen ingevuld mag worden met het opvragen van een kopie identiteitsbewijs (paspoort, rijbewijs of ID-kaart) blijkt uit het recente boetebesluit van de Autoriteit Persoonsgegevens aan DPG Media. In dit blog nemen we het besluit onder de loep en beantwoorden wij de vraag hoe aan de identificatieplicht uit de AVG kan worden voldaan.

Principeakkoord gegevensuitwisseling EU en VS: driemaal is scheepsrecht?

De laatste jaren zijn er op het gebied van internationale gegevensuitwisseling vele ontwikkelingen. Een van de laatste ontwikkelingen is dat de EU en de VS een principeakkoord hebben bereikt over een nieuwe regeling voor de doorgifte van persoonsgegevens vanuit de EU naar de VS. Het principeakkoord is de derde poging die wordt gedaan om een grondslag te bieden voor de gegevensuitwisseling tussen de EU en VS. De Safe Harbor en het Privacy Shield gingen al voor. In deze blog geef ik een overzicht van de ontwikkelingen met als (tijdelijk) eindstation het principeakkoord.

Microsoft moet blokkade OneDrive-account opheffen

Een OneDrive-account kan geblokkeerd worden vanwege ongepaste afbeeldingen, maar Microsoft moet deze keuze wel voldoende overtuigend onderbouwen. Zo oordeelde de rechtbank Rotterdam in een zaak van maart 2022. Deze uitspraak vormt een nieuwe bouwsteen in de leer omtrent het blokkeren van accounts bij clouddiensten.

Loot boxes in FIFA toch géén verboden kansspel; dwangsom onterecht opgelegd

Inmiddels twee jaar geleden schreven we in eerder blogartikel op onze website al over de uitspraak van de rechtbank Den Haag waarin geoordeeld werd dat de pakjes met voetballers (zgn. packs) in de populaire voetbalgame FIFA kwalificeerden als verboden kansspel. In hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State (‘de Afdeling’) is die uitspraak vernietigd.

Rechtbank: afspraken maken over een IT-project is verantwoordelijkheid van beide partijen

In een recente uitspraak ging de rechtbank Amsterdam in op de verdeling van verantwoordelijkheden bij een IT-project. Eiseres meende dat een IT-ondernemer onrechtmatig handelde door geen goede afspraken te maken over een IT-project. Waar we regelmatig zien dat de zorgplicht met succes wordt tegengeworpen aan de opdrachtnemer, oordeelde de rechtbank hier in het voordeel van de IT-specialist. Beide partijen zijn volgens de rechtbank verantwoordelijk voor het maken van afspraken.

Schadevergoeding onder de AVG vergt (nog steeds) concrete nadelige gevolgen

Uit een recente kwestie bij de Afdeling Bestuursrechtspraak van de Raad van State volgt andermaal dat voor schadevergoeding onder de AVG in beginsel (nog steeds) concrete nadelige gevolgen vereist zijn. Indien een betrokkene deze gevolgen niet aantoont, en deze ook niet zodanig voor de hand liggen dat immateriële schade kan worden aangenomen, bestaat geen recht op schadevergoeding.

Hof Leeuwarden: 100% beschikbaarheid of storingsvrij is geen redelijke uitleg van SLA

IT-storingen zijn uitermate hinderlijk. In een recente zaak voor het hof Leeuwarden stond de vraag centraal of de afnemer er vanuit mocht gaan dat zij 100% gegarandeerde beschikbaarheid mocht verwachten van haar werkomgeving die extern werd gehost en beheerd, althans dat dit nagenoeg storingsvrij beschikbaar moest zijn. Het hof oordeelde dat dit niet het geval is omdat dat geen redelijke uitleg van de SLA was. Ook was er geen sprake van schending van de zorgplicht. Een interessante uitspraak waar de nodige lessen uit te trekken zijn voor het opstellen en managen van SLA’s.

1 2 3
Terug naar alle expertises en sectoren