1. Home
  2. Expertises & sectoren
  3. Cybersecurity

Expertise Cybersecurity

Een universiteit die criminelen een enorm bedrag aan bitcoins betaalt om alle back-upsystemen terug te krijgen. Een gemeente die het slachtoffer is van een grote cyberaanval en digitale afpersing. Cybercrime en dergelijke cyberincidenten nemen de laatste jaren in aantal en ernst toe. Alle reden om per direct aandacht te besteden aan cybersecurity. Maar waar te beginnen? Het Cybersecurity Team van Dirkzwager kan u begeleiden bij het hele proces, van preventieve maatregelen tot juridische bijstand achteraf.

Cybersecurity 

Bedrijven en instellingen zijn steeds afhankelijker van digitale processen en ICT. En sinds coronatijd is het belang van het gedigitaliseerd (thuis)werken alleen nog maar toegenomen. De samenleving kan niet meer zonder digitale oplossingen, maar deze afhankelijkheid maakt organisaties ook kwetsbaarder. Het gevaar van datalekken groeit en cybercriminelen grijpen waar mogelijk hun kans. De gevolgen voor de getroffen organisaties zijn niet te onderschatten: reputatieschade, bedrijfsstilstand, aansprakelijkheid. Door bijtijds te onderzoeken welke cyberrisico’s uw organisatie loopt, passende beveiligingsmaatregelen te treffen en noodplannen te maken voor als het toch misgaat, vergroot u uw cyberweerbaarheid.

Wat is cybersecurity?

Cybersecurity zijn alle beveiligingsmaatregelen die een bedrijf of organisatie neemt om schade te voorkomen door storing, uitval of misbruik van een informatiesysteem of computer.

Veel voorkomende cybersecurity issues

Bedrijfsuitval en/of datalekken door:

  • Uitval van systemen, bijvoorbeeld door fouten of niet tijdig doorvoeren van systeemupdates.
  • Indirecte aanvallen, bijvoorbeeld door phishing, social engineering, virussen, malware.
  • Directe aanvallen, zoals een hack, Ddos-aanval, bedrijfsspionage.
  • Malafide medewerkers (‘insider threats), die misbruik maken van bevoegdheden die zij hebben voor de uitvoering van hun werkzaamheden.
  • Kwetsbaarheden in het systeem, bijvoorbeeld vanwege verouderde systemen (‘legacy systems’) en niet-tijdig updaten en patchen.

Cybersecurity Wet- en regelgeving

Wetgeving

Ieder bedrijf dat persoonsgegevens verwerkt moet voldoen aan de eisen uit de Europese Algemene Verordening Gegevensbescherming (AVG). In die wet is onder andere opgenomen dat bedrijven voor de bescherming van persoonsgegevens ‘passende technische en organisatorische maatregelen’ moeten treffen. Is er sprake van een datalek, dan moet het bedrijf dat in veel gevallen melden aan de Autoriteit Persoonsgegevens. Op overtreding van de AVG staan forse boetes.

Bedrijven en organisaties in de zogeheten vitale infrastructuur zijn bovendien gebonden aan de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze bedrijven en organisaties hebben een wettelijke zorgplicht om maatregelen te treffen om beveiligingsrisico’s voor de ICT-systemen zoveel mogelijk te verkleinen. Doet zich toch een cyberincident voor, dan moeten ze dat melden. Vitale aanbieders en aanbieders van essentiële diensten doen dat bij het Nationaal Cyber Security Centrum (NCSC). Aanbieders van essentiële diensten moeten daarnaast ook melden bij de sectorale toezichthouders en digitale dienstverleners bij het CSIRT (Computer Security Incident Response Team). Ook op overtreding van deze wet staan forse boetes.

Los van deze wetten rusten op ieder bedrijf dat van gebruikmaakt van ICT en computersystemen (ongeschreven) zorgplichten voor een goede cybersecurity. Bedrijven en organisaties maken vaak deel uit van een digitale keten met daarin andere bedrijven en soms ook consumenten. Ieder bedrijf is zelf verantwoordelijk voor de gebruikte ICT. Door de ketenafhankelijkheid zijn goede, duidelijke afspraken en risico-inschattingen heel belangrijk.

Branchespecifieke regelgeving

Regelgeving kan zeer branchespecifiek zijn. Een goede cybersecurity is sterk afhankelijk van de aard van het bedrijf of organisatie, de mate waarin (bijzondere) persoonsgegevens worden verwerkt en de mate van afhankelijkheid van technologie. Een ziekenhuis werkt met grote hoeveelheden gevoelige gegevens én is sterk afhankelijk van technologie. Dan maak je andere afwegingen in de cybersecuritystrategie dan voor bijvoorbeeld een productiebedrijf, waarbij de gevoeligheid van persoonsgegevens een minder prominente rol speelt. Overheden of kennisinstellingen moeten op hun beurt weer op een andere wijze omgaan met cybersecuritystrategie.

Multidisciplinaire benadering 

Cyber is een onderwerp dat op bestuursniveau aandacht dient te krijgen vanuit een multidisciplinaire benadering: bestuurders moeten om de tafel met het management, IT-ers en afgevaardigden van de juridische, commerciële en communicatieafdeling.

Alle organisaties met digitale processen in alle denkbare branches lopen cyberrisico’s. Het Cybersecurity Team is in al die branches actief:

  • IT- en internetbedrijven
  • universiteiten en onderwijsinstellingen
  • verzekeraars en verzekeringsmakelaars
  • overheden
  • zorginstellingen
  • bedrijfsleven

Multidisciplinair team

Het is dus belangrijk om cyber vanuit alle verschillende perspectieven te bekijken. Daarom is ook het Cybersecurity Team multidisciplinair samengesteld met experts van diverse disciplines van Dirkzwager: IE/IT, Aansprakelijkheid, Schade en Verzekering en Gezondheidszorg. Door alle specialistische kennis op zowel juridisch gebied als van de specifieke branches samen te voegen, heeft het Cybersecurity Team het volledige overzicht.

Onze diensten

Het Cybersecurity Team kan uw organisatie begeleiden bij het hele proces, van preventie tot juridische afwikkeling.

  • Contractmanagement: Welke afspraken heeft u gemaakt en hoe zijn de (cyber)risico’s verdeeld?
  • Risicomanagement: Hoe implementeer je cybersecurity in het risicomanagement van de organisatie?
  • Incident response: Verzorging van het volledige procesmanagement op het moment dat zich een calamiteit (ransomware, datalek) voordoet. Indien nodig doen wij dit in samenwerking met externe deskundigen zoals IT-forensisch experts en communicatieadviseurs. Daarnaast begeleiden we bij specifieke juridische zaken, zoals melden bij de toezichthoudende autoriteit bij datalekken en ernstige cyberincidenten. Of bepalen van de juridische positie ten opzichte van derden, bijvoorbeeld contractpartijen.
  • Corporate compliance: Voldoet de organisatie aan de regelgeving? Cybersecurity is onderdeel van corporate governance en heeft raakvlakken met privacywetgeving. Niet naleven van de regels kan ingrijpende gevolgen hebben.
  • Nazorg: Juridische bijstand bij de afwikkeling van schadeclaims en bij geschillen. We verlenen verzekeraars bijstand in dekkingsgeschillen. Bij schadevergoedingen wegens overtredingen van de AVG staan wij de aangesproken partij bij.

Het Cybersecurity Team

Het Cybersecurity Team combineert brede ervaring met digitale technologieën en IT-systemen met diepe kennis van de verschillende branches zoals gezondheidszorg en verzekeringen. Het team staat onder leiding van cybersecurityspecialist Mark Jansen, gespecialiseerd in cybersecurity en privacyrecht

Verder bestaat het team uit: Ernst-Jan van de Pas, Marloes Roetert Steenbruggen-Hulshof, Jeroen Lubbers, Dafne de Boer en Sven Wakker.

Wilt u meer informatie over het cyberteam, cybersecurity, incident response of cyberverzekeringen of wilt u een afspraak maken? Dan kunt u contact opnemen met Mark Jansen of mail naar m.jansen@dirkzwager.nl.

Gerelateerde artikelen

1 filter(s) actief

Expertise

Selecteer de gewenste filteritems

  • U heeft geselecteerd:
  • Combineren met:
  • Combinatie niet mogelijk met:

Sector

Selecteer de gewenste filteritems

Thema

Selecteer de gewenste filteritems

  • Combinatie niet mogelijk met:

Auteur

Selecteer de gewenste filteritems

  • Combinatie niet mogelijk met:
Zoekopdracht delen:
Aantal resultaten: 84

Aandachtspunten bij het gebruik van AI in de zorg (deel I)

Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan automatisering een goede uitkomst zijn. Maar waar moet je eigenlijk op letten als je AI gaat inzetten binnen een zorginstelling? In deze tweedelige blogreeks bespreken wij een aantal aandachtspunten waarmee rekening moet worden gehouden bij de inzet van AI. In dit deel: welke privacyrechtelijke regels gelden er?

Aansprakelijkheid en schadevergoeding bij verlies persoonsgegevens door cyberaanval?

Aansprakelijkheid en schadevergoeding vanwege een inbreuk op de AVG blijft een heet hangijzer. Het Hof van Justitie van de Europese Unie (hierna: het Hof) wees op 14 december 2023 opnieuw een arrest over dit onderwerp. Het Hof beantwoordt in zijn arrest onder andere de vraag of het enkele feit dat een datalek heeft plaatsgevonden als gevolg van een cyberaanval betekent dat de AVG is overtreden en dat een betrokkene recht heeft op schadevergoeding.

"Computer says no" - een deel van de AI-wetgeving bestaat al lang in de vorm van de AVG

Er is veel te doen over aanstaande AI-wetgeving vanuit Europa. Door alle berichtgeving over nieuwe wetgeving sneeuwt het bestaande kader wel eens wat onder. Want een deel van wat de AI-wetgeving wil bereiken (bescherming tegen de risico's van autonomie digitale systemen) wordt al door bestaande wetgeving afgevangen. De AVG verbiedt (reguleert) immers nu al geautomatiseerde besluitvorming.

Dat er iets mis gaat met persoonsgegevens wil niet direct zeggen dat de betrokkene (dus) recht op geld heeft

Er is veel te doen over het welke schadevergoeding er tegenover een privacyschending zou moeten staan. Hierover wordt steeds meer, en ook steeds vaker collectief, geprocedeerd. Dit verklaart dan ook dat er steeds meer uitspraken verschijnen. Een recente uitspraak van het Hof maakt duidelijk dat de betrokkene niet "zomaar" geld kan claimen: een incident is nog geen bewijs van structurele misstanden en de vermeende schade moet wel echt geleden zijn. Een korte beschouwing.

ACM mag Marktverkenning naar ICT in de zorg (en de rol van Chipsoft) alsnog publiceren

Op 21 november 2023 heeft de ACM de Marktverkenning ICT in de zorg gepubliceerd die KPMG in 2020 voor haar heeft uitgevoerd. Publicatie heeft even op zich laten wachten omdat Chipsoft (hoger) beroep had ingesteld tegen het besluit om de volledige verkenning te publiceren. Tussen het moment van uitvoering van de marktverkenning en de uiteindelijke publicatie heeft de ACM niet stilgezeten. Een update.

Hoge lat voor uitbesteding kritieke en belangrijke functies in concept RTS onder DORA

In het kader van het verlenen van ICT-diensten aan financiële entiteiten is er niet zelden sprake van een complexe keten van ICT-uitbesteding waarbij externe ICT-dienstverleners een of meer onderaannemingsovereenkomsten kunnen sluiten met andere externe ICT-dienstverleners. Deze onderuitbesteding van ICT-diensten doet echter niet af aan de verantwoordelijkheden van de financiële entiteiten en hun bestuursorganen om hun risico's te beheren. Vandaar ook dat in artikel 30 lid 2 sub a van de DORA staat dat in IT-contracten met een derde aanbieder van ICT-diensten o.m. worden vastgelegd of onderuitbesteden van ICT-diensten is toegestaan bij kritieke of belangrijke functies. Hierover verscheen onlangs een concept RTS; een document met aanvullende regelgeving. Deze RTS gaat in op de vraag wanneer uitbesteding is toegestaan en waaraan dan voldaan moet worden. Een korte analyse.

Betekent het verrichten van onderhoudswerkzaamheden aan software van een derde een auteursrechtinbreuk?

In een recent gepubliceerd arrest komt de vraag aan de orde of onderhoudswerkzaamheden aan software van een derde een auteursrechtinbreuk oplevert. Centraal staat daarbij de vraag of rechtsgeldig een beroep gedaan is op de uitzondering uit artikel 45j Auteurswet. Vrij vertaald komt deze uitzondering erop neer dat beoogd (normaal) gebruik van software door een rechtmatige verkrijger niet door een softwareproducent kan worden tegengehouden op grond van het auteursrecht, waaronder ook het (laten) verbeteren van fouten valt.

Overzicht toegewezen schadevergoedingen onder de AVG

Bij schendingen van de Algemene Verordening Gegevensbescherming (hierna: AVG), hebben betrokkenen op grond van artikel 82 AVG in beginsel recht op materiële of immateriële schadevergoeding. In dit blog wordt een overzicht gegeven van Nederlandse uitspraken vanaf 25 mei 2018 waarin een schadevergoeding op basis van een overtreding van de AVG is toegewezen. Het overzicht is bijgewerkt tot 19 december 2023 en wij beogen dit actueel te houden.

AI, data en cyber: Europese wetten om in de gaten te houden

Begin december heeft de Europese Unie dan eindelijk een politiek akkoord bereikt over de AI Act. Deze wet zal grote veranderingen met zich brengen voor de toekomst van AI. De AI Act is echter onderdeel van een veel groter pakket aan AI-, data- en cyberwetgeving vanuit de EU. Veel van die wetten zijn minstens net zo interessant als de AI Act. Op welke moet u als bedrijf gaan letten? En op welke regels kunt u zich alvast voorbereiden?

HvJEU: zonder schuld geen privacyboete, maar de lat hiervoor ligt niet heel hoog

Het Hof van Justitie heeft op 5 december 2023 opnieuw een paar principiële knopen over het privacyrecht doorgehakt. (1) Wie een app laat ontwikkelen is in beginsel verantwoordelijk voor de daarmee verband houdende dataverzameling, ook al ligt de uitvoering bij die ontwikkelaar. (2) Er moet feitelijk worden getoetst of er sprake is van gezamenlijke verantwoordelijkheid, het al dan niet bestaan van de (daarvoor verplichte) contractuele regeling is hiervoor irrelevant. (3) Bij het verwerken van niet-herleidbare persoonsgegevens is de AVG niet meer van toepassing. (4) Voor het opleggen van een boete is enige schuld van de verwerkingsverantwoordelijke vereist, maar dat vergt niet een handelen of wetenschap van de leiding. (5) Een verwerkingsverantwoordelijke kan beboet worden voor gedrag door de verwerker, tenzij die verwerker de opdracht te buiten gaat. Dit levert een paar strategische aandachtspunten op.

1 2 3 4 5 6 7
Terug naar alle expertises en sectoren