Geen producten in de winkelwagen.
Beveiliging van bedrijfsgeheimen en overige informatie: neem de juiste technische, organisatorische en juridische maatregelen voor het te laat is!
Steeds vaker krijg ik te maken met — al dan niet startende – ICT-dienstverleners die geconfronteerd worden met beveiligingsvraagstukken van hun opdrachtgevers. Zijn we verplicht te beveiligen? Wat moeten we beveiligen? Hoe veilig zijn onze bedrijfsgeheimen?
InformatiesamenlevingWij leven en ondernemen in een informatiesamenleving. Informatie is een groot goed en neemt een steeds belangrijkere rol in. Die informatiesamenleving wordt blootgesteld aan diverse bedreigingen. Daarbij moet bijvoorbeeld worden gedacht aan het toenemende aantal virussen, DoS (Denial of Service) aanvallen, computercriminaliteit in algemene zin, etc.. Daarnaast moet gedacht worden aan daadwerkelijke, fysieke inbraken in serverruimtes, het stelen van wachtwoorden, login-codes, creditcardgegevens, de nog vers in het geheugen liggende problemen met gestolen USB-sticks en diskettes van defensie, etc..
Draadloze netwerken, thuiswerken en andere vormen van remote access dragen bij aan die steeds kwetsbaardere omgeving. Het zorgvuldig omgaan met gegevens een voorwaarde is voor het functioneren van de informatiesamenleving.
WetgevingIn diverse wetgeving zien we dit terug. In de commerciele dienstverlening is daarnaast een normering neergelegd in de Code voor Informatiebeveiliging (CvIB). De CvIB is niet (direct) te kwalificeren als wet- of regelgeving, maar de informatiebeveiligingseisen van veel ondernemingen en instellingen zijn wel afgeleid van de CvIB. De CvIB wordt daarom wel als best practice voor de informatiebeveiliging beschouwd.
Maatregelen tot beveiligingHet is duidelijk dat het van belang is adequate maatregelen tot beveiling van informatie te nemen. De maatregelen tot beveiliging zijn onder te verdelen in drie groepen:
- technische maatregelen
- organisatorische matregelen
- juridische maatregelen.
Technische en Organisatorische MaatregelenInformatiebeveiliging wordt voornamelijk gedomineerd door technische en organisatorische maatregelen. De juridische aspecten zijn lange tijd onderbelicht gebleven, hoewel deze wel een steeds belangrijkere rol zijn gaan spelen. Een veelgebruikte organisatorische maatregel is de scheiding van functies. Hierdoor worden bevoegdheden verdeeld en beperkt, zodat een betere procesbewaking en controle mogelijk worden.
Juridische maatregelenJuridische maatregelen moeten enerzijds worden genomen als gevolg van (de uitvoering van) wettelijke verplichtingen. Daarnaast kunnen de juridische maatregelen bestaan uit diverse aspecten die Opdrachtgever en Opdrachtnemer met elkaar zijn overeengekomen: de contractuele verplichtingen tot het treffen van maatregelen. Die contractuele verplichtingen zijn juridisch van aard, maar zullen uiteraard ook vaak weer zien op organisatorische en technische verplichtingen. De juridische maatregelen dienen er meestal voor de risico’s op schade ten gevolge van het misbruik van de informatie te beperken of over te dragen op anderen.Waar binnen een onderneming de expertise ontbreekt, is het van groot belang daarvoor externe deskundigen in te schakelen die verantwoordelijk zijn voor de beveiliging van de informatie.
Wettelijke verplichtingenZonder uitputtend te kunnen zijn in deze column moet de ondernemer in ieder geval beveiligingsmaatregelen nemen op grond van diverse wettelijke bepalingen die regelen dat hij verplicht is administratieve gegevens gedurende een bepaalde tijd te bewaren. Daarnaast verwerken veel ondernemers persoonsgegevens. Daarvan is op grond van de Wet Bescherming Persoonsgegevens snel sprake. De ondernemer moet passende technische en organisatorische maatregelen nemen om die gegevens te beveiligen tegen ondermeer verlies daarvan.Verder is het van belang te wijzen op de op 1 september van dit jaar in werking getreden Wet Computercriminaliteit II. Computercriminaliteit is uitgebreider en zwaarder strafbaar gesteld dan voorheen. Dit is niet voor niets. Cybercrime is een toenemend probleem dat immense vormen heeft aangenomen. Omdat politie en justitie in veel gevallen niet in staat zijn hier iets tegen te doen, is het belang van het zelf beveiligen van de commercieel relevante informatie alleen maar groter geworden.
Contractuele verplichtingenContractsvrijheid is nog altijd een groot goed in de Westerse samenleving. Veel opdrachtgevers kiezen er dan ook voor een (groot) deel van de op hen rustende verplichtingen tot beveiliging en/of bescherming op te dragen aan ICT-dienstverleners.
Dit geldt uiteraard niet alleen voor de wettelijke verplichtingen, maar meer in het algemeen voor de beveiliging van het geheel aan informatie van de onderneming. Vaak worden tussen partijen in een Mantelovereenkomst afspraken gemaakt over die beveiliging. Het komt echter ook regelmatig voor, zeker bij grotere projecten met betrekking tot primaire automatiseringsprocessen, dat een aparte beveiligingsovereenkomst wordt gesloten. Zoals hierboven al is aangegeven, wordt dan vaak aangesloten bij de CvIB.
Ga als ondernemer bij jezelf te rade. Is de informatie die je wilt c.q. moet beschermen voldoende afgeschermd van de buitenwereld? Is het antwoord op die vraag ontkennend, vraag je dan af of de onderneming zelf in staat is tot het nemen van afdoende maatregelen of dat het beter is dit aan een extern bedrijf over te laten. Zorg er in het laatste geval voor dat sluitende afspraken worden gemaakt.
Martijn Noordermeer (UJG Velo)
