Cybersecurity is meer dan technische beveiliging. Je moet als bedrijf een 360°-totaaloverzicht behouden en een duidelijk beleid bepalen. Het juridische aspect is daarbij cruciaal.
Tekst: Joris Hendrickx
Bij de analyse van alle risico’s op het vlak van cybersecurity dien je naast de technische aspecten ook te kijken naar de juridische zijde. De Europese Unie wordt immers steeds strenger in de verplichtingen die ondernemingen hebben. Roeland Lembrechts, partner bij Sirius Legal:“Om die juridische risico’s te minimaliseren moeten niet enkel het beleid, maar ook al je samenwerkingen, producten, diensten, gebruikte IT-oplossingen en interne richtlijnen in lijn zijn met de algemene voorzorgsprincipes op vlak van cybersecurity. Alle lagen van je bedrijf moeten hiervan doordrongen zijn.”
Cybersecurity door de keten heen
Bedrijven werken steeds meer online en zijn daardoor digitaal geconnecteerd met hun hele keten. Het risico kan vanuit die andere partijen komen, of omgekeerd kan jij als bedrijf een risico vormen voor hen. Lembrechts: “Het komt er dus op aan om de risico’s te spreiden over de keten. Dat vereist heldere contracten en afspraken, zodat cyberveiligheid een verplichting wordt voor iedere schakel. Schadevergoedingen en eventuele claims moeten worden ingedekt zodat ook die risico’s zoveel mogelijk kunnen worden beperkt.”
Bij de analyse van alle risico’s op het vlak van cybersecurity dien je naast de technische aspecten ook te kijken naar de juridische zijde.
Strafrechtelijke aansprakelijkheid voor bestuurders
Je kan als bestuurder persoonlijk worden aangesproken indien je bedrijf niet in orde blijkt te zijn op vlak van technische en organisatorische maatregelen en hierdoor schade ontstaat bij derden. “Wanneer het bijvoorbeeld gaat over private data zou men zelfs een groepsvordering kunnen instellen die snel kan oplopen tot een enorm bedrag. Het juridische aspect dient dus elke keer te worden meegenomen in het beleid, de contractonderhandelingen met leveranciers en bij de implementatie van nieuwe IT-oplossingen”, verklaart Lembrechts.
Duidelijke procedures
“Om bij een cyberincident juist te kunnen reageren, moet vooraf alles worden vastgelegd in procedures en dien je als bedrijf goed te weten onder welke wetgevingen je een bepaalde transparantieplicht hebt. Wanneer spreek je over een cyberincident? Bij wie moet je het wanneer melden? Wie is verantwoordelijk voor wat? Bovendien kan je ook openstaan voor ethische hackers om bepaalde zwakheden bloot te leggen, maar dan moet je jezelf natuurlijk wel juridisch veiligstellen door duidelijke krijtlijnen uit te zetten waarbinnen zij mogen werken. Dat kan onder meer door een correcte CVDP (Coördinated Vulnerability Disclosure Policy) op je website te plaatsen”, besluit Lembrechts.