Adviseren is voor een deel gebaseerd op de visie van de adviseur op de maatschappij en de mens. Voor een ander deel op de wijze waarop gedacht wordt. Dat is de reden dat ik bij mijn blogs ook de categorie “Opinie” ben gestart. Ik wil hier laten zien hoe ik denk. Je hoeft het uiteraard niet met mij eens te zijn. Liever niet zelfs, want een goede discussie slijpt de geest. Het gaat in deze rubriek niet om mijn mening, maar meer om de wijze waarop ik denk. Ik zie jouw commentaar graag. Dat ik modereer is beslist geen censuur, het is alleen maar bedoeld om spam weg te houden.

Van het kalf en de put.

CybercrimeAfgelopen maandag (24 oktober) stond er een interessant artikel en interview in het Financieel Dagblad. Een advocaat (en ex-officier van Justitie) gaf bedrijven het advies om bij cybercrime (datalekken) niet de verplichte melding bij de overheid te doen. Feitelijk dus een advocaat die adviseert om de wet te overtreden. Dit trek de aandacht.

De motivatie voor dit advies is het feit dat slachtoffer volgens de advocaat niets wijzer wordt van de aangifte. Het is immers een zeldzaamheid dat cybercrime opgelost wordt. Het slachtoffer loopt wel het risico dat hij na onderzoek door de Autoriteit Persoonsgegevens aan de schandpaal wordt genageld, wanneer de Autoriteit na onderzoek van mening is dat de IT beveiliging niet op orde was. Ik vind dit een merkwaardig advies. Er kunnen voor het bedrijf de negatieve gevolgen zijn, zoals een stevige boete en mogelijk verlies van klanten en omzet. Wanneer het slachtoffer dit overleeft, dan zijn er minder middelen beschikbaar om de IT op niveau te brengen. Het dempen van de put wordt bemoeilijkt door het kadaver van het kalf…

Mijn advies zou daarom zijn: stel als bedrijf een soort APK in voor jouw IT. Zijn de systemen up-to-date? Is de beveiliging volgens de stand der techniek? Laat een onafhankelijke IT specialist een rapportje maken over jouw beveiliging en volg de aanbevelingen op. Demp de put voordat het kalf in de buurt komt. Het kost natuurlijk geld, maar de kosten hiervan staan in verhouding tot kosten van een inbraak. Ook het achterwege laten van de melding kan een fikse boete (tot € 820.000) opleveren. Uiteraard kan niemand een garantie geven dat een connected systeem voor 100% veilig is, maar de risico’s aantoonbaar serieus nemen kan eventuele boetes op afstand brengen.

Pro-actief gedrag loont, omdat de ontwikkeling van de techniek een rat-race is: het gaat razendsnel. Wanneer je achteraf “betrapt” wordt op het niet melden van een datalek, dan is de techniek waarschijnlijk al veel verder. Het wordt dan lastiger om aan te tonen dat je aan je zorgplicht hebt voldaan.