5 tips voor een effectieve security awareness training
14/05/2021Dataverlies binnen het MKB: hoe een goede back-up en disaster recovery strategie helpt beschermen
31/05/2021Door van de compliance first-aanpak je eerste stap te maken, kun je voldoen aan de minimale wettelijke vereisten én die van aansprakelijkheidsverzekeringen. Zo voorkom je hoge boetes. Compliance heeft simpel gezegd te maken met alles waar iemand anders jou toe verplicht. Dit kunnen wetten, voorschriften, contracten en zelfs de voorwaarde van een cyberverzekering zijn. Als je hier niet naar handelt kan dit ernstige gevolgen hebben, zoals forse boetes, rechtszaken, onderzoeken en je verzekering die grote claims van meer dan 1 miljoen euro niet dekt.
Je moet niet denken dat compliance onbelangrijk is of alleen van toepassing op grote ondernemingen. Geen enkel bedrijf is immuun voor compliance voorschriften. En dat is in feite een goede zaak. Als je zorgt dat je bedrijf compliant is voorkom je boetes en straffen. Daarnaast verbeter je je cyberveiligheid, verbeter je de public relations en voorkom je uitval. En – het belangrijkste – je zorgt ervoor dat je aansprakelijkheidsverzekering de claims uitbetaalt in het geval van een incident. Compliance heeft een meetbaar rendement op investering (ROI).
Bij een compliance first-strategie kijk je bij het kiezen van oplossingen en leveranciers eerst naar welke partijen aan je compliance criteria voldoen. Je maakt vervolgens een keuze uit de partijen die aansluiten op de door jou gestelde eisen. Daarnaast evalueer je ook je huidige oplossingen en leveranciers en vervang je deze als ze niet (meer) aan je eisen voldoen. De volgende stap is het nalevingsbeleid verder verbeteren door aanvullende maatregelen te treffen.
Nalatigheid zorgt voor afwijzing claims
Veel MKB-bedrijven gebruiken bij voorkeur gratis of de meest betaalbare oplossingen. Als jij er hier een van bent, hou er dan rekening mee dat dit in de praktijk niet de veiligste manier is. Zonder oplossingen die voldoen aan de beveiligings-, coderings- en rapportage standaarden, die verplicht zijn inzake AVG, kun je tegen problemen aanlopen zoals het risico op:
- datalekken die makkelijk voorkomen kunnen worden;
- niet compliant zijn met daaropvolgende boetes;
- schending en vernietiging van aansprakelijkheidsverzekeringen waardoor claims niet worden gedekt.
Het gebruik van gratis of goedkope niet-conforme oplossingen kan verleidelijk zijn, maar dit kan grote gevolgen hebben als blijkt dat de naleving wordt geschonden. Weet dat het niet nodig is om meerdere niet-conforme oplossingen te gebruiken om een verzekering ongeldig te maken. Zelfs bij het gebruik van slechts één niet-conforme oplossing kan een claim worden afgewezen.
“Een enkele nalevingsfout kan de claim op de aansprakelijkheidsverzekering af laten wijzen.“
Alle verzekeringsclaims die betrekking hebben op AVG datalekken kunnen ongeldig worden verklaard door een enkele daad van nalatigheid. Onduidelijke wettelijke richtlijnen kunnen je overweldigen. Daar ben je zeker de enige niet in. Maar het is de moeite waard om je te verdiepen in de vereisten voor je organisatie zodat je voldoende bent beschermd bij een incident.
De kosten van niet compliant zijn
Veel bedrijven beschouwen compliance uitgaven als een kostenpost in plaats van een investering voor het bescherming van de activa. Dit leidt tot minder uitgaven voor compliance software en andere oplossingen die nodig zijn om aan de vereisten te voldoen. Wanneer het bedrijf uiteindelijk niet meer aan de eisen voldoen kan dit leiden tot ernstige reputatieschade en grote financiële gevolgen.
De maximale boete voor het niet naleven van de AVG is € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet als het om een grote onderneming gaat.
Wanneer je creditcardbetalingen accepteert kunnen PCI -DDS overtredingen boetes opleveren die variëren van € 5.000 tot € 100.000 per maand door betalingsproviders (o.a. Visa en Mastercard). Boetes zijn afhankelijk van het aantal klanten en transacties.
De AVG wet beschermt zelfs de informatie in bijvoorbeeld je personeelsbestand.
Beginnen met een compliance first-aanpak
Een compliance first-benadering omvat een breed scala aan kritische overwegingen om een bedrijf compliant te houden. Als je niet weet waar je moet beginnen, begin dan met een audit van je ICT diensten. De interne ICT diensten om te controleren op compliance zijn:
- Spraakdiensten zoals VoIP
- Cloudopslag en bestandshosting
- Diensten voor het delen en overdragen van documenten
- Productiviteitstools zoals bijvoorbeeld teams en Trello
- Communicatiemiddelen
- Elk digitaal hulpmiddel, product of dienst welke bedrijven gebruiken
De AVG regelgeving vereist dat gegevens, inclusief spraakberichten en e-mails, versleuteld worden tijdens het transport en bij het opslaan. Controleer of de versie van je software of dienst aan de eisen voldoet door het productblad of de release-opmerkingen te bekijken. Als het nog steeds onduidelijk is, neem dan contact op met je ICT leverancier.
De compliance first-aanpak kan helpen bij het ontwikkelen van een nalevingsgerichte cultuur binnen het bedrijf, waardoor je datalekken door niet compliant te zijn kunnen voorkomt.
Hulp nodig?
Wij begrijpen dat het implementeren van de ‘compliance first’ aanpak uitdagend kan zijn. Wij helpen je graag om deze aanpak naadloos te integreren in de bedrijfsvoering om te voldoen aan wettelijke en verzekeringsverplichtingen. Neem vandaag nog contact met ons op om aan de slag te gaan.
Artikel samengesteld en gebruikt met toestemming.