Het is bijna elke dag in het nieuws: een datalek, een ransomware-aanval, of digitale security-problemen bij grote en kleine organisaties. Cybercriminaliteit neemt toe, de regelgeving over het beveiligen van persoonsgegevens is complex, en er zijn verschillende toezichthouders en meldplichten waarmee je rekening moet houden. Het is uitdagende materie – waarmee iedere jurist te maken kan krijgen. Friederike van der Jagt, privacyrechtadvocaat, en Martijn Loth, advocaat en voormalig securityspecialist, bespreken de belangrijkste aandachtspunten.
Waarom moeten juristen zich juist nu verdiepen in cybersecurity en wetgeving over datalekken?
Martijn: “Datalekken en cyberaanvallen komen steeds vaker voor. Of je nu wilt of niet: uiteindelijk krijgt iedere organisatie er wel een keer mee te maken. Daarnaast is er veel nieuwe en veel verschillende wetgeving – denk aan de AVG en NIS2 – en zijn er specifieke regels voor sectoren zoals de financiële dienstverlening. Er is niet altijd een 100% overlap: zo zijn de eisen uit de Europese Digital Operational Resilience Act (DORA) bijvoorbeeld toch weer net anders dan, bijvoorbeeld, de IT outsourcing richtlijnen van de European Banking Authority (EBA). Dat soort verschillen maakt het soms behoorlijk ingewikkeld voor bedrijven om te weten waar ze aan toe zijn en wat ze nog moeten doen. Het is essentieel dat je begrijpt hoe deze wetten en richtlijnen op elkaar aansluiten en waar de verschillen zitten.”
Friederike: “Een grote misvatting is dat informatiebeveiliging alleen de verantwoordelijkheid is van de IT-afdeling of juridische zaken. In werkelijkheid is het een gedeelde verantwoordelijkheid: iedereen binnen de organisatie speelt een rol. Bij de ontwikkeling van nieuwe producten of diensten moet je er al in een vroeg stadium voor zorgen dat alle wettelijke verplichtingen worden nageleefd. Schakelt de organisatie een IT-dienstverlener in, dan moet je onder andere controleren of die partij alles wel goed op orde heeft wat betreft privacy en security. Als jurist zou je bij al die verschillende aspecten van informatiebeveiliging betrokken moeten worden.”
Hoe kunnen juristen grip houden op de informatiebeveiliging binnen een organisatie?
Friederike: “De rol van de jurist zou groter moeten zijn dan veel organisaties zich nu realiseren. Vaak is het bedrijfsproces er simpelweg nog niet op ingericht en worden juristen veel te laat betrokken. Daarom is het belangrijk dat je als jurist zelf goed weet welke vragen je op welk moment binnen de organisatie moet stellen om ervoor te zorgen dat wettelijke verplichtingen worden nageleefd. Stel ook interne procedures op voor het omgaan met incidenten. Is bijvoorbeeld voor iedereen duidelijk welke stappen gevolgd moeten worden bij een datalek, en welke deadlines daarbij gelden? Als je dat soort zaken goed op orde hebt, kun je snel, effectief en correct handelen wanneer het nodig is.”
Martijn: “Veel datalekken ontstaan door menselijke fouten, zoals het laten slingeren van vertrouwelijke documenten of het vergeten van een laptop in de trein. Juristen kunnen helpen om dat te voorkomen door ook aandacht te besteden aan organisatorische maatregelen, zoals beleid en training van medewerkers. Bovendien is het belangrijk om te beseffen dat security breder is dan alleen persoonsgegevens beschermen: het gaat om alle informatie binnen de organisatie.”
Waarmee moet de jurist van de toekomst rekening houden?
Friederike: “Nieuwe technologieën zoals AI – denk bijvoorbeeld aan ChatGPT – brengen natuurlijk nieuwe risico’s met zich mee. De techniek zal altijd vooruit lopen op de wetgeving. De Autoriteit Persoonsgegevens heeft recentelijk gewaarschuwd dat het gebruik van AI-chatbots kan leiden tot datalekken als er in een prompt persoonsgegevens worden ingevoerd. Het is belangrijk dat juristen op de hoogte zijn van deze ontwikkelingen en adviseren over het veilig gebruik van AI-tools binnen de organisatie. Dat betekent ook dat je teruggaat naar de basis en kritisch kijkt naar: Welke data houden we eigenlijk allemaal bij? Welke systemen zijn verouderd? Als je ervoor zorgt dat je geen verouderde databases hebt vol overbodige gegevens, dan kan die data ook niet zomaar op straat komen te liggen.”
Martijn: “We zien ook dat het steeds makkelijker wordt voor cybercriminelen om geavanceerde aanvallen te lanceren met behulp van AI, waardoor de frequentie en complexiteit van aanvallen toenemen. Juristen moeten nú actie ondernemen om zich hierop voor te bereiden. Dat begint met het stellen van de juiste vragen en het zoeken van samenwerking met andere disciplines binnen de organisatie. Door nu je kennis te vergroten, kun je een cruciale rol spelen in het beschermen van de organisatie tegen datalekken en cyberaanvallen.”
Nog een laatste tip of advies?
Friederike: “Stel vragen. Als je iets niet weet: vraag het. Elke scherpe jurist durft ook toe te geven wat hij niet weet. Privacy, gegevensbescherming en security zijn onderwerpen met veel jargon en soms onduidelijkheid over hoe het technisch allemaal werkt.”
Martijn: “Daar komt bij dat het vaak gaat om ketenverantwoordelijkheden, dus het is vaak ook niet meteen duidelijk wie waarvoor verantwoordelijk is. Maar als je weet wat de aandachtspunten zijn, kun je op het juiste moment de juiste vragen stellen. En krijg je de antwoorden die nodig zijn om actie te ondernemen.”
Friederike: “In de Tech meets Law-cursus ‘Datalekken en security: van de AVG tot NIS2’ bespreken we de wettelijke verplichtingen rondom datalekken en security, en gaan we in op de concrete, praktische toepassing daarvan. Er komen sprekers van de Autoriteit Persoonsgegevens en het Nationaal Cyber Security Centrum die hun ervaringen en adviezen delen. Het is heel bijzonder dat zij bereid zijn om aanwezig te zijn, en het is dan ook dé kans om de vragen te stellen die je hen altijd al hebt willen stellen. Daarnaast komt Fox IT vertellen hoe cyberaanvallen in de praktijk verlopen en wat je kunt doen om ze te voorkomen of te mitigeren. We bieden je zo alle handvatten die je nodig hebt om effectief bij te dragen aan de databeveiliging binnen elke organisatie.”