1. Home
  2. Expertises & sectoren
  3. Cybersecurity

Expertise Cybersecurity

Een universiteit die criminelen een enorm bedrag aan bitcoins betaalt om alle back-upsystemen terug te krijgen. Een gemeente die het slachtoffer is van een grote cyberaanval en digitale afpersing. Cybercrime en dergelijke cyberincidenten nemen de laatste jaren in aantal en ernst toe. Alle reden om per direct aandacht te besteden aan cybersecurity. Maar waar te beginnen? Het Cybersecurity Team van Dirkzwager kan u begeleiden bij het hele proces, van preventieve maatregelen tot juridische bijstand achteraf.

Cybersecurity 

Bedrijven en instellingen zijn steeds afhankelijker van digitale processen en ICT. En sinds coronatijd is het belang van het gedigitaliseerd (thuis)werken alleen nog maar toegenomen. De samenleving kan niet meer zonder digitale oplossingen, maar deze afhankelijkheid maakt organisaties ook kwetsbaarder. Het gevaar van datalekken groeit en cybercriminelen grijpen waar mogelijk hun kans. De gevolgen voor de getroffen organisaties zijn niet te onderschatten: reputatieschade, bedrijfsstilstand, aansprakelijkheid. Door bijtijds te onderzoeken welke cyberrisico’s uw organisatie loopt, passende beveiligingsmaatregelen te treffen en noodplannen te maken voor als het toch misgaat, vergroot u uw cyberweerbaarheid.

Definitie cybersecurity

Cybersecurity zijn alle beveiligingsmaatregelen die een bedrijf of organisatie neemt om schade te voorkomen door storing, uitval of misbruik van een informatiesysteem of computer.

Veel voorkomende cybersecurity issues

Bedrijfsuitval en/of datalekken door:

  • Uitval van systemen, bijvoorbeeld door fouten of niet tijdig doorvoeren van systeemupdates.
  • Indirecte aanvallen, bijvoorbeeld door phishing, social engineering, virussen, malware.
  • Directe aanvallen, zoals een hack, Ddos-aanval, bedrijfsspionage.
  • Malafide medewerkers (‘insider threats), die misbruik maken van bevoegdheden die zij hebben voor de uitvoering van hun werkzaamheden.
  • Kwetsbaarheden in het systeem, bijvoorbeeld vanwege verouderde systemen (‘legacy systems’) en niet-tijdig updaten en patchen.

Cybersecurity Wet- en regelgeving

Wetgeving

Ieder bedrijf dat persoonsgegevens verwerkt moet voldoen aan de eisen uit de Europese Algemene Verordening Gegevensbescherming (AVG). In die wet is onder andere opgenomen dat bedrijven voor de bescherming van persoonsgegevens ‘passende technische en organisatorische maatregelen’ moeten treffen. Is er sprake van een datalek, dan moet het bedrijf dat in veel gevallen melden aan de Autoriteit Persoonsgegevens. Op overtreding van de AVG staan forse boetes.

Bedrijven en organisaties in de zogeheten vitale infrastructuur zijn bovendien gebonden aan de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze bedrijven en organisaties hebben een wettelijke zorgplicht om maatregelen te treffen om beveiligingsrisico’s voor de ICT-systemen zoveel mogelijk te verkleinen. Doet zich toch een cyberincident voor, dan moeten ze dat melden. Vitale aanbieders en aanbieders van essentiële diensten doen dat bij het Nationaal Cyber Security Centrum (NCSC). Aanbieders van essentiële diensten moeten daarnaast ook melden bij de sectorale toezichthouders en digitale dienstverleners bij het CSIRT (Computer Security Incident Response Team). Ook op overtreding van deze wet staan forse boetes.

Los van deze wetten rusten op ieder bedrijf dat van gebruikmaakt van ICT en computersystemen (ongeschreven) zorgplichten voor een goede cybersecurity. Bedrijven en organisaties maken vaak deel uit van een digitale keten met daarin andere bedrijven en soms ook consumenten. Ieder bedrijf is zelf verantwoordelijk voor de gebruikte ICT. Door de ketenafhankelijkheid zijn goede, duidelijke afspraken en risico-inschattingen heel belangrijk.

Branchespecifieke regelgeving

Regelgeving kan zeer branchespecifiek zijn. Een goede cybersecurity is sterk afhankelijk van de aard van het bedrijf of organisatie, de mate waarin (bijzondere) persoonsgegevens worden verwerkt en de mate van afhankelijkheid van technologie. Een ziekenhuis werkt met grote hoeveelheden gevoelige gegevens én is sterk afhankelijk van technologie. Dan maak je andere afwegingen in de cybersecuritystrategie dan voor bijvoorbeeld een productiebedrijf, waarbij de gevoeligheid van persoonsgegevens een minder prominente rol speelt. Overheden of kennisinstellingen moeten op hun beurt weer op een andere wijze omgaan met cybersecuritystrategie.

Multidisciplinaire benadering 

Cyber is een onderwerp dat op bestuursniveau aandacht dient te krijgen vanuit een multidisciplinaire benadering: bestuurders moeten om de tafel met het management, IT-ers en afgevaardigden van de juridische, commerciële en communicatieafdeling.

Alle organisaties met digitale processen in alle denkbare branches lopen cyberrisico’s. Het Cybersecurity Team is in al die branches actief:

  • IT- en internetbedrijven
  • universiteiten en onderwijsinstellingen
  • verzekeraars en verzekeringsmakelaars
  • overheden
  • zorginstellingen
  • bedrijfsleven

Multidisciplinair team

Het is dus belangrijk om cyber vanuit alle verschillende perspectieven te bekijken. Daarom is ook het Cybersecurity Team multidisciplinair samengesteld met experts van diverse disciplines van Dirkzwager: IE/IT, Aansprakelijkheid, Schade en Verzekering en Gezondheidszorg. Door alle specialistische kennis op zowel juridisch gebied als van de specifieke branches samen te voegen, heeft het Cybersecurity Team het volledige overzicht.

Onze diensten

Het Cybersecurity Team kan uw organisatie begeleiden bij het hele proces, van preventie tot juridische afwikkeling.

  • Contractmanagement: Welke afspraken heeft u gemaakt en hoe zijn de (cyber)risico’s verdeeld?
  • Risicomanagement: Hoe implementeer je cybersecurity in het risicomanagement van de organisatie?
  • Incident response: Verzorging van het volledige procesmanagement op het moment dat zich een calamiteit (ransomware, datalek) voordoet. Indien nodig doen wij dit in samenwerking met externe deskundigen zoals IT-forensisch experts en communicatieadviseurs. Daarnaast begeleiden we bij specifieke juridische zaken, zoals melden bij de toezichthoudende autoriteit bij datalekken en ernstige cyberincidenten. Of bepalen van de juridische positie ten opzichte van derden, bijvoorbeeld contractpartijen.
  • Corporate compliance: Voldoet de organisatie aan de regelgeving? Cybersecurity is onderdeel van corporate governance en heeft raakvlakken met privacywetgeving. Niet naleven van de regels kan ingrijpende gevolgen hebben.
  • Nazorg: Juridische bijstand bij de afwikkeling van schadeclaims en bij geschillen. We verlenen verzekeraars bijstand in dekkingsgeschillen. Bij schadevergoedingen wegens overtredingen van de AVG staan wij de aangesproken partij bij.

Het Cybersecurity Team

Het Cybersecurity Team combineert brede ervaring met digitale technologieën en IT-systemen met diepe kennis van de verschillende branches zoals gezondheidszorg en verzekeringen. Het team staat onder leiding van cybersecurityspecialist Mark Jansen, gespecialiseerd in cybersecurity en privacyrecht

Verder bestaat het team uit: Ernst-Jan van de Pas, Mark Jansen, Marloes Roetert Steenbruggen-Hulshof, Jeroen Lubbers, Dafne de Boer en Sven Wakker.

Wilt u meer informatie over het cyberteam, cybersecurity, incident response of cyberverzekeringen of wilt u een afspraak maken? Dan kunt u contact opnemen met Mark Jansen of mail naar m.jansen@dirkzwager.nl.

 

Gerelateerde artikelen

1 filter(s) actief

Expertise

Selecteer de gewenste filteritems

  • U heeft geselecteerd:
  • Combineren met:
  • Combinatie niet mogelijk met:

Sector

Selecteer de gewenste filteritems

Thema

Selecteer de gewenste filteritems

  • Combinatie niet mogelijk met:

Auteur

Selecteer de gewenste filteritems

  • Combinatie niet mogelijk met:
Zoekopdracht delen:
Aantal resultaten: 60

Checklist voor IT-contracten onder DORA

Onlangs berichtten we al over de komst van DORA. DORA stelt allerlei eisen aan financiële entiteiten op het gebied digitale operationele weerbaarheid, cyberrisico’s en uitbestedingsrisico’s. Ook IT-contracten moeten straks dankzij DORA aan strenge eisen voldoen. Zowel op financiële entiteiten als IT-bedrijven die daar diensten aan verlenen komt veel af. In deze blog staan we hier alvast bij stil.

Illegaal gebruik van softwarelicenties: niet zonder prijskaartje

Professionele softwareproducten, denk aan tekenprogramma’s als AutoCAD of SolidWorks of ERP-systemen als Exact, kunnen erg prijzig zijn. D verleiding om dergelijke software op illegale wijze kosteloos te downloaden is groot. Ook het op ‘creatieve’ wijze gebruiken van licentiesleutels, bijvoorbeeld door met deze sleutel de software op meerdere apparaten te registreren, komt geregeld voor. Het behoeft geen uitleg dat dit in de regel onrechtmatig is. Maar welk prijskaartje hangt daaraan?

Verordening Digitale operationele veerkracht (DORA) aangenomen

De Europese Commissie (EC) heeft op 24 september 2020 een voorstel gepubliceerd voor de verordening digitale operationele veerkracht, in het Engels: Digital Operational Resilience Act ofwel DORA. DORA is na aanpassing van de initiële tekst op 28 november 2022 door de Raad van Europa aangenomen en getekend op 14 december 2022. DORA is gepubliceerd op 27 december 2022 onder het kenmerk EU 2022/2554 en is op 16 januari 2023 in werking getreden. DORA is per 17 januari 2025 van toepassing.

Zorg is kwetsbaar voor cyberaanvallen

De zorgsector moet veel meer aandacht hebben voor cybersecurity. De risico’s nemen toe, maar de beveiliging blijft vaak achter. Dirkzwager heeft een gespecialiseerd Cybersecurity Team dat met raad en daad klaar staat voor en na een cyberaanval.

Aangescherpte regels rondom cyberveiligheid in aantocht (NIS2)

Op 14 december 2022 is de NIS2-richtlijn aangenomen. Deze richtlijn voorziet onder meer in meer coördinatie en samenwerking tussen lidstaten op het gebied van cyberveiligheid. Ook zullen (deels al bestaande) regels over cyberveiligheid op veel meer bedrijven en instellingen van toepassing worden. Wat betekent dit voor u?

AP legt de politie boete op: privacyschending bij de inzet van camera-auto’s

Op 21 december 2022 heeft de Autoriteit Persoonsgegevens (AP) een boete van 50.000 euro opgelegd aan de politie. De politie had namelijk camera-auto’s ingezet in Rotterdam, zonder eerst de privacyrisico’s goed in kaart te brengen. Een dergelijke inventarisatie is bij impactvolle gegevensverwerkingen wel verplicht. Wat heeft de AP in haar boetebesluit precies gezegd? En welke lessen kunnen u en uw bedrijf hiervan leren?

Gebruik van echte persoonsgegevens in OTAP-teststraten: biedt het Hof wel voldoende ruimte voor de praktijk?

Het gebruik van echte persoonsgegevens voor testdoeleinden kan risicovol en soms zelfs verboden zijn, zo schreef ik onlangs al. Tegelijkertijd is de praktijk dat veel bedrijven bij de ontwikkeling en onderhoud van IT werken met verschillende omgevingen (OTAP) en dat daarbinnen regelmatig toch met echte data wordt gewerkt. Zijn de strenge regels met de praktijk te verenigen? In deze blog verken ik dit nader.

AI-regelgeving vanuit de Europese Unie: waar staan we nu?

De afgelopen jaren werkt de Europese Unie (EU) aan wet- en regelgeving om de ontwikkeling van artificial intelligence (AI) in goede banen te leiden. AI-systemen kunnen namelijk de nodige risico’s opleveren, maar bieden ook mooie mogelijkheden voor bijvoorbeeld de gezondheidszorg, vervoer en automatisering. In dit blog bespreek ik twee recente voorstellen van de EU: de AI Act en de Richtlijn AI-aansprakelijkheid.

Gebruik van echte persoonsgegevens voor testdoeleinden: soms toegestaan, vaak risicovol

Het gebruik van echte persoonsgegevens voor testdoeleinden is risicovol. Hoe meer kopieën er immers circuleren, hoe eerder persoonsgegevens uitlekken of er versieverschillen gaan optreden. Dit risico is ook reëel; zo belandde recent een kwestie over een datalek op testdata bij het Hof van Justitie. Het Hof gaf vervolgens interessante kaders voor zowel de regels van doelbinding als bewaartermijnen.

1 2 3 4 5
Terug naar alle expertises en sectoren