Niet fiscaal, wel belangrijk. Zowel grote als kleine bedrijven krijgen steeds vaker te maken met cyberincidenten. Wat kunt u het beste doen als dit gebeurt?
Incident heeft impact op uw bedrijf. Een incident bij uw leverancier kan impact hebben op u en uw bedrijfsvoering. Het kan bijv. zo zijn dat uw leverancier zijn dienst niet meer kan verlenen waardoor u in de problemen komt of persoonsgegevens van uw klanten of personeel worden buitgemaakt.
Maak goede afspraken
Contractuele afspraken. Om problemen voor anderen, zoals klanten, medewerkers enz. te voorkomen, is het verstandig om in het contract altijd een aantal dingen af te spreken.
- Leg vast in welke mate uw leverancier veiligheidsmaatregelen moet nemen, zodat uw gegevens veilig zijn. Houd daarbij rekening met de mate van vertrouwelijkheid van de gegevens die u aan uw leverancier verstrekt. Hoe persoonlijker de gegevens, hoe hoger de beveiliging moet zijn. Gaat het ‘alleen maar’ om simpele gegevens of gaat het om persoonlijke informatie van uw personeel voor het doen van de loonadministratie, zoals kopiepaspoorten of burgerservicenummers? In dat laatste geval moet de mate van beveiliging hoger zijn.
- Spreek af dat uw leverancier u zo snel mogelijk, bijv. binnen 72 uur, laat weten dat er een incident gaande is. U heeft immers zelf ook bepaalde verplichtingen. Zo heeft u nog de tijd om aan uw privacyverplichtingen te voldoen.
Zorg dat u weet wat er speelt
Het kan ook u overkomen. Omdat er steeds meer bedrijven worden gehackt, is de kans ook steeds groter dat uw leveranciers te maken krijgen met een incident. Als er een incident is, zorg dan dat u erachter komt wat voor aanval het precies is.
Wat moet u weten? Informeer bijv. naar welke systemen geraakt zijn, of daar ook gegevens van u bij zaten, welke gegevens dat dan zijn en wat er ongeveer met de gegevens is gebeurd. Als u hier een overzicht van heeft, kunt u ook inschatten of u bijv. uw personeel of klanten moet informeren of dat u (als persoonsgegevens onderdeel waren van de hack) een melding moet doen bij de Autoriteit Persoonsgegevens.
Werk samen
Zet de deur eventueel dicht. Het is belangrijk om te weten of uw systemen geraakt kunnen zijn door de aanval. Denk aan uw accountant die zelf bij kan u inloggen om de gegevens uit de personeelsadministratie op te halen. Tip. Overleg in zo’n geval direct met uw leverancier of deze verbinding tijdelijk moet worden dichtgezet, in ieder geval totdat de hack is opgelost. Zoek in de tussentijd samen met uw leverancier naar oplossingen om toch de werkzaamheden door te kunnen laten gaan.
Check het ook zelf. Kunt u zelf controleren of ook uw IT-omgeving geraakt is, doe dan een extra check om zeker te zijn dat alles veilig is. Vraag bijv. ook uw personeel om wachtwoorden te vervangen voor de systemen die bij uw leverancier geraakt zijn.