Datalek door Cyberaanval? En wat nu te doen?

| NL Law

| Leestijd: 3 minuten
cyberaanval en datalek

De Autoriteit Persoonsgegevens publiceerde in mei 2022 een nieuwsbericht. In het bericht werd gemeld dat 9% van alle gemelde datalekken waren veroorzaakt door een cybervaanval. Dit was bijna een verdubbeling ten opzichte van het jaar ervoor. Ook blijkt wat de impact van een cyberaanval kan zijn.

Cyberaanval en Datalek, wat betekent het?

Een cyberaanval is eigenlijk elke aanval die zich richt op computersystemen of netwerken. Een systeem kan besmet worden met een virus of criminelen kunnen toegang krijgen tot het systeem. Het is mogelijk dat een cyberaanval bedoeld is om het systeem helemaal plat te leggen. Om toegang te krijgen tot het systeem zal dan vaak losgeld – veelal in cryptovaluta – moeten worden betaald.

Een ander gevolg van de cyberaanval kan zijn dat er data wordt buit gemaakt. Dit kan bijvoorbeeld gaan om persoonsgegevens, waarmee criminelen andere slachtoffers mee kunnen maken. Als dat het geval is, is sprake van een datalek. De Autoriteit Persoonsgegevens hanteert deze definitie om een brede definitie te kunnen geven. Dit voorkomt dat specifieke datalekken buiten de definitie vallen.

Hoe te handelen bij een Cyberaanval en mogelijk datalek?

Als u vermoedt dat er sprake is van een cyberaanval, is het allereerst van belang dat u de juiste IT dienstverleners inschakelt. Zij kunnen uw systemen mogelijk nog beschermen en erger voorkomen en anders in ieder geval de schade vaststellen. Het inschakelen van een advocaat is echter geen gekke gedachte, er zijn namelijk verplichtingen waarmee u rekening mee moet houden. Zo dient een datalek te worden gemeld binnen 72 uur na het ontdekken van het lek. Onze specialisten kunnen u in dat geval van raad en daad voorzien.

Wetgeving omtrent Cyberaanvallen en Datalekken

Daarnaast is er steeds meer Europese wetgeving op het gebied van cyberveiligheid. Op 14 december 2022 werd de NIS 2-richtlijn aangenomen. Zoals de naam doet vermoeden strekt deze tot wijziging van de eerdere NIS 1-richtlijn. Een van de redenen om de eerdere richtlijn te vervangen door een nieuwe richtlijn, is gelegen in de mate van harmonisatie. Er zijn grote verschillen ontstaan tussen lidstaten over hoe moet worden omgaan met cyberveiligheid. Dit heeft invloed op de werking van de interne markt tussen de lidstaten.

Artikel 2 van de NIS 2-richtlijn geeft aan op welke entiteiten de richtlijn van toepassing is. Daaruit valt op te maken dat het voornamelijk ziet op specifieke dienstverleners. Het bepalen van het toepassingsbereik is van belang, omdat er ook toezichtrechtelijke en handhavende vraagstukken kunnen spelen. Zo moeten lidstaten een toezichthouder hebben. De toezichthouder moet vervolgens de mogelijkheid hebben om bindende instructies te bevelen en administratieve boetes op te leggen.

Hoogstwaarschijnlijk zal het nog even duren voordat de richtlijn is omgezet in nationale wetgeving, de lidstaten hebben daarvoor tot 17 oktober 2024.

Beschermingsmaatregelen tegen Cyberaanvallen en Datalekken

Entiteiten op wie de NIS 2-richtlijn van toepassing is, moeten er rekening mee houden dat zij maatregelen dienen te treffen. Het niet naleven van de bepalingen kan er immers toe leiden dat de toezichthouder ingrijpt. Uit artikel 34 van de NIS 2-richtlijn, volgt onder meer dat er in dat geval boetes kunnen worden opgelegd. Voor essentiële entiteiten gaat het om boetes met een maximum van € 10.000.000 of 2% van de wereldwijde jaaromzet (afhankelijk van welke hoger is). Voor belangrijke entiteiten om boetes met een maximum van € 7.000.000 of 1,4% van de wereldwijde jaaromzet.

NIS 2-richtlijn en Datalekken

Artikel 35 van de NIS 2-richtlijn gaat nog specifiek in op Datelekken. Als de toezichthouder ontdekt dat de entiteit een inbreuk heeft gemaakt op bepalingen uit de NIS 2-richtlijn, moet de toezichthouder dit melden bij de toezichthoudende autoriteit op grond van de AVG. In dat geval kan er maar door een van de twee toezichthouders een boete worden opgelegd. Desondanks, kan er wel op andere manieren handhavend worden opgetreden, om toekomstige overtredingen van de NIS 2-richtlijn te voorkomen.

Cyberaanval of Datalek, wat gaat u doen?

In deze bijdrage werd uiteengezet welke gevolgen cyberaanvallen en datalekken kunnen hebben. Daarnaast is aandacht besteed aan de wijze waarop toekomstige wetgeving daarop invloed uit kan oefenen. Het is wenselijk dat u vroeg tijdig aandacht besteed aan de veiligheid van uw systemen, maar ook aan de toepasselijke wetgeving. Aarzel daarom niet om contact met ons op te nemen, zodat u voldoet aan de laatste wet- en regelgeving.

Beoordeel bericht
0 / 5

Your page rank:

Article Contact Form (Short Form)

Kunnen wij helpen?

Privacy *