De afgelopen maanden zijn er verschillende aanvallen met gijzelsoftware in het nieuws geweest. Ook veel MKB-ers werden slachtoffer, onder andere doordat cyberaanvallen plaatsvonden op veelgebruikte software. Dit soort gebeurtenissen heeft verstrekkende gevolgen voor iedereen: de klanten wiens gegevens gestolen zijn, werknemers wiens data opeens niet meer veilig zijn, en niet in het minst voor de ondernemer zelf.

Vaak denken MKB-ers dat zij buiten schot blijven, omdat dit soort hackersgroepen enkel interesse zou hebben voor de grote bedrijven. Rutger Leukfeldt, Lector Cyber Security aan de Haagse Hogeschool, heeft hier onderzoek naar gedaan, en aangetoond dat dit (helaas) niet klopt. ‘Veel mkb’ers denken: wat valt er bij mij nou te halen?’, zegt hij.

Uit onderzoek van de hogeschool blijkt echter dat een op de vijf ondernemers jaarlijks te maken krijgt met allerlei cybercriminaliteit. ‘Hackers kienen het bedrag uit’, zegt Leukfeldt. ‘Meestal op een procent of twee van de jaaromzet. Genoeg om het bedrijf twee weken stil te leggen, maar te weinig om op te wegen tegen de kosten voor het omzeilen van de hack. MKB-ers zijn ontzettend kwetsbaar’

MBK-ers moeten zich hier dus tegen wapenen. Onderdeel hiervan is het neerzetten van een goede privacy-structuur. Ook op privacy-gebied kan de schade namelijk groot zijn bij zo’n incident. Over het algemeen zullen direct noodprocedures in het werk moeten worden gesteld, en zal de Autoriteit Persoonsgegevens binnen 72 uur moeten worden geïnformeerd. Ook kunt u ervan uit gaan dat u ook uw klanten, werknemers, en anderen van wie u data verwerkt, op de hoogte moet stellen van de gebeurtenissen.

Daarbij zult u moeten aantonen hoe u heeft voldaan aan de privacy-vereisten van gegevensverwerking. Welke gegevens verwerkte u precies, en hoe staat dit genoteerd in uw verwerkingsregister? Op welke juridische basis verwerkte u deze gegevens? Bij dit soort incidenten komt de AP in actie, en dit zal de komende jaren alleen nog maar meer worden. Volgens de verantwoordingsplicht van de AVG moet u vervolgens zelf kunnen aantonen hoe u heeft voldaan aan de vereisten van gegevensverwerking. De boetes zijn niet mals: maximaal €20.000.000, of 4% van de jaaromzet.

Zoals Rutger Leukfeldt stelt: ‘Houd rekening mee dat er een keer wat gaat gebeuren. En zorg dat je daarmee om kan gaan.’ Met Blueline bent u goed voorbereid op dit soort vervelende gebeurtenissen. U kunt nooit uitsluiten dat er wat vervelends gebeurt, maar u kunt er wel voor kiezen om de persoonsgegevens van uw klanten, medewerkers en anderen de hoogste prioriteit te geven. Zo beperkt u de schade mocht er toch onverhoopt wat misgaan.