Rob Zijl, manager products & markets schade bij Allianz Benelux, buigt zich over cybersecurity vanuit een juridisch en verzekeringsperspectief, en Björn Roskott, partner IT audit & advisory bij Grant Thornton in Nederland, focust zich op technische vraagstukken rondom cybersecurity. Wat de AVG in ieder geval moet bewerkstelligen volgens beiden, is bewustwording: “Vanuit een juridisch oogpunt moet men door de AVG verplicht iets doen met beveiliging. Vooral aan de menskant; beveiligingsincidenten worden immers voornamelijk veroorzaakt binnen de eigen organisatie”, vertelt Zijl. Die menskant is precies wat Roskott wil benadrukken: “Cybersecurity is zo sterk als de zwakste schakel binnen de organisatie. Het is essentieel dat organisaties bewustwording creëren onder hun medewerkers over hun aandeel in cybersecurity.” 

Het niet nakomen van de AVG kan namelijk torenhoge boetes betekenen, alsmede schade aan organisatie en imago. “Juist nu is er een verschuiving in de schade die voorheen vooral veroorzaakt werd door nalatigheden in gegevensbescherming. Tegenwoordig zien we een breder schadepatroon doordat cyberincidenten volledige bedrijfsprocessen kunnen stilleggen”, vertelt Zijl. 

Het niet optimaal beschermen van gegevens van klanten kan imagoschade opleveren en bovendien kan een organisatie aansprakelijk worden gesteld voor de geleden schade van de klant. “Daarom is het ook belangrijk dat leveranciers waarmee organisaties samenwerken getoetst worden op hun cybersecurity en de bijkomende eisen”, zegt Zijl. “We spreken van een ‘supply-chain attack’, waarbij een digitale aanval zich richt op kwetsbaarheden bij de (toe)leverancier en hiermee een klein stukje van de keten ‘infecteert’. Deze infectie breidt zich uiteindelijk uit door de gehele keten, zoals het geval was bij de cyberaanval op de containerterminals in de Rotterdamse haven”, vult Roskott aan. 

Niet voor niks worden veel acties ondernomen ter preventie van cybercrime: “Wij categoriseren cyberveiligheid in drie fasen: preventie, detectie en respons. Die laatste twee worden nog wel eens vergeten. Bij fase één is de vraag: wat doe je om risico’s te beperken op mensniveau, techniek en andere verwante onderwerpen? Bij ‘detectie’ rijzen de vragen: hoe snel merken we een beveiligingsprobleem op? Hebben we de juiste alarmsystemen die, als er iets misgaat, tijdig het probleem opmerken? En tot slot hebben we de responsfase, waarbij we de vraag stellen: hoe reageren we als het misgaat? Vooraf nadenken hoe je moet reageren, helpt om beter te kunnen reageren in een crisissituatie. Het is dus cruciaal deze vragen in een voorstadium te beantwoorden alvorens de beveiliging in te richten”, aldus Roskott.

Desalniettemin kan een zo optimaal mogelijke inrichting van beveiliging toch gekraakt worden. In de onverhoopte situatie dat dit gebeurt is het hebben van een verzekering op cyberveiligheid een belangrijke meerwaarde en in de toekomst zelfs vanzelfsprekend als het aan Zijl ligt: “Met een cyberverzekering beschermt een onderneming zich tegen de gevolgen van een lek in cybersecurity of datalekken als gevolg van menselijke fouten. Een organisatie kan zich verzekeren voor eigen schade, aansprakelijkheidsschade en crisiskosten.” Een goede cyberverzekering biedt daarbij ook 24/7 hulp in de vorm van crisisresponsmanagement met specialisten op IT-, PR- en juridisch gebied.