Bedrijven lijden miljoenenschade door datalekken

Share on linkedin
Share on facebook
Share on twitter
Share on whatsapp
Share on email

Bij circa 10.000 Nederlandse bedrijven is de afgelopen vijf jaar gevoelige informatie op straat komen te liggen. Niet alleen staat de continuïteit van het bedrijf hierdoor op het spel, het kost het bedrijfsleven jaarlijks circa 115 miljoen euro. Dat blijkt uit onderzoek van TNS Nipo in opdracht van Nationale-Nederlanden.

Bedrijven onderschatten volgens de onderzoekers het risico van de schade door het weglekken van bedrijfsgevoelige informatie zoals financiële gegevens en vertrouwelijke informatie over klanten.

Preventie

Het bedrijfsleven neemt vooralsnog vooral preventieve maatregelen als het gaat om risico’s zoals ziekteverzuim, brand en schade. Het is volgens de onderzoekers echter ook belangrijk om de risico’s voor het weglekken van gevoelige informatie goed af te dekken. ‘Bedrijven onderschatten dit risico, want de kans dat dit gebeurt is groter dan gedacht’, aldus Berco Zijlmans, manager Team Risicodeskundigen bij Nationale-Nederlanden. ‘De bedrijfscontinuïteit kan hierdoor in gevaar komen, want de schade loopt in de miljoenen. Verzekeren is niet altijd de oplossing’, zo geeft Zijlmans eerlijk toe. Bijna de helft van de bedrijven die hiermee te maken heeft gehad, geeft aan dat de invloed van het lekken van informatie (zeer) nadelig heeft uitgepakt.

Slordig

Er worden door bedrijven talloze voorbeelden aangehaald van schade die ze hebben geleden als gevolg van het lekken van bedrijfsgevoelige informatie. Veel genoemd zijn een klantendatabase die in handen van concurrent komt en ontwerpen of vertrouwelijke informatie van klanten die op straat komen te liggen. Ook raken bedrijven regelmatig klanten kwijt aan een concurrent wanneer hun medewerkers daar gaan werken. Meestal is de bedrijfsgevoelige informatie naar buiten gekomen doordat medewerkers overstappen naar een concurrent (58 procent). Daarnaast worden slordig gedrag (31 procent), diefstal (17 procent) en onoplettendheid (11 procent) als oorzaken genoemd voor het op straat liggen van gevoelige gegevens.

Concurrentiebeding

Opvallend is dat maar relatief weinig bedrijven (40 procent) hun werknemers een geheimhoudingsverklaring en/of concurrentiebeding laten tekenen in een poging bedrijfsgevoelige informatie veilig te stellen. Ook blijkt dat meer dan de helft van de bedrijven belangrijke papieren niet achter slot en grendel bewaart. Het risico hiervan wordt door 28 procent van de bedrijven onderkend. Zij noemen het laten slingeren van documenten in de top 5 van belangrijkste risico’s voor het weglekken van bedrijfsgevoelige informatie.

Digitale inbraak

Een inbraak in het ICT-systeem wordt als belangrijkste risico genoemd (48 procent) voor het ongewenst weglekken van bedrijfsgevoelige informatie. Verder worden in de top 5 aangegeven: het naar huis sturen van bestanden door medewerkers via e-mail (27 procent), het kopiëren van belangrijke documenten (26 procent) en het versturen van onbeveiligde e-mails en bestanden (26 procent). De grootste schades die bedrijven vrezen bij het weglekken van bedrijfsgevoelige informatie is omzetverlies door klanten die weglopen of het verliezen van de unieke positie op de markt.

Moraal

Overigens lijkt het met de moraal van de Nederlandse bedrijven beter gesteld. Op de vraag wat men zou doen als ze gevoelige informatie van de concurrent in handen krijgen, antwoord slechts 1 procent van de ondervraagden dit zeker te zullen gebruiken. Drie op de tien bedrijven zal hier misschien gebruik van maken; 56 procent zeker niet. Opvallend is dat zelfs de helft van de bedrijven aangeeft de concurrent hiervan op de hoogte te brengen.

Cyber security

De impact van digitale inbraken en dreigingen is dus groot en neemt toe. Om deze dreigingen het hoofd te bieden, lanceerde ICT~Office onlangs het Cyber Security Manifest. Slechts een op de tien klanten heeft daadwerkelijk meer geld over voor sterkere beveiliging van de ICT-producten en -diensten. ICT~Office acht het noodzakelijk dat Nederland in de vorm van een gemeenschappelijk deltaplan cyber security een pakket maatregelen ontwikkelt dat vooral gericht is op de bescherming van belangen met grote impact. Het gaat dan om bijvoorbeeld continuïteit van de vitale infrastructuur, bescherming van cruciaal intellectueel eigendom of grote hoeveelheden (privacygevoelige) gegevens.

Budget

Alle organisaties die ICT gebruiken zouden standaard een vast percentage van hun budget moeten reserveren ten bate van beveiliging. Voor de overheid als beleidsmaker ziet ICT~Office een rol om binnen sectoren concretere beveiligingsrichtlijnen te stimuleren. Als ICT-gebruiker heeft de overheid zelfs een voorbeeldfunctie. ICT~Office ziet het Nationaal Cyber Security Centrum als de plek waar organisaties vertrouwelijk incidenten kunnen melden en van elkaars best practices en incidenten kunnen leren.

Zorg- en meldplicht

Op 8 mei jl. werd een wetsvoorstel behandeld in de Eerste Kamer dat betrekking heeft op een wijziging van de Telecommunicatiewet. Zie ook ons BTG-bericht hierover. Zodra de wijziging van kracht gaat, gelden voor aanbieders van openbare netwerken voor elektronische communicatie of van diensten op een openbaar communicatienetwerk, een aantal nieuwe verplichtingen:

  • de zorgplicht en meldplicht voor de continuïteit van telecommunicatie;
  • de plicht om melding te maken van beveiligingsincidenten die te maken hebben met bescherming van persoonsgegevens.

NRF

In Europa is het besef gegroeid dat het van zeer groot belang is dat burgers en bedrijven moeten kunnen vertrouwen op het continu beschikbaar zijn van telecommunicatiediensten en internet. Hiervoor is een Europees regelgevend kader voor elektronische communicatie opgesteld: het New Regulatory Framework (NRF). Van alle EU-landen wordt verwacht dat ze de richtlijn uit het NRF omzetten in de nationale regelgeving. In Nederland is deze opgenomen in het nieuwe hoofdstuk 11a van de Telecommunicatiewet. Agentschap Telecom is belast met uitvoering van en toezicht op deze wet. Aanbieders van openbare netwerken en diensten moeten zorgen voor de continuïteit van hun dienstverlening. Mocht er ondanks de voorzorgsmaatregelen onverhoopt binnen organisaties zich een incident voordoen waardoor diensten toch onderbroken worden, dan zijn ze voortaan verplicht dit te melden bij Agentschap Telecom. Deze nieuwe verplichtingen gelden alleen voor aanbieders van openbare diensten. Ook zijn de telecomproviders verplicht inbreuken op de privacy van hun klanten (abonnees of gebruikers) te melden. Het agentschap geeft dergelijke meldingen door aan OPTA, de daarvoor aangewezen toezichthouder.

De meldplicht die in werking treedt bij datalekken, treft slechts een gedeelte van de organisaties die te kampen (kunnen) hebben met het weglekken van data, namelijk de aanbieders  van openbare netwerken en diensten. De roep om een bredere meldplicht, voor zowel de overheid als de private sector, klinkt echter steeds luider. Ook Eurocommissaris Kroes geeft in de digitale agenda aan dat er op EU-niveau in ieder geval nagedacht wordt over een bredere meldplicht.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Najaar 2019
Lees de allerlaatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.