De meldplicht datalekken…. en nu?

Er is al veel geschreven en gesproken over informatiebeveiliging en de meldplicht datalekken. Toch bestaat er nog heel veel onduidelijkheid in de markt. Is dat bewust of moet het gewoon nog steeds landen? Dat er genoeg incidenten voorkomen waarbij data wordt gelekt, dat is inmiddels wel helder. De kranten en social media staan er vol van. Ik zie gelukkig een positieve tendens in de markt dat het vraagstuk “informatiebeveiliging” steeds meer op de agenda komt te staan. Van de boardroom tot op de werkvloer. Daar waar dit vraagstuk tot enkele jaren geleden alleen binnen de grotere ondernemingen een issue was, verplaatst dit agendapunt zich gelukkig ook steeds meer richting de MKB. Ik zeg positief, want denk maar eens even goed na, heb jij als notaris, advocaat of deurwaarder niet de beschikking over heel veel data die interessant zou kunnen zijn voor criminelen? Of data die valt onder de wet bescherming persoonsgegevens (Wbp). Persoonlijk weet ik dat bovengenoemde beroepen allemaal in het bezit zijn van data die valt onder de Wbp, maar is de beveiliging van deze data bij het notaris- en/of advocaten kantoor wel zo goed ingeregeld? Ook daar kan ik uit ervaring spreken wanneer ik zeg dat dit nog niet zo is. Uiteraard, de firewall is niet nieuw en ook de virusscanner is inmiddels wel een vast onderdeel van de werkplek, maar helaas, dat is in de huidige tijd van ransomware, cryptolockers en phishing mails niet meer voldoende. Je hebt ze wel, kantoren die voorop lopen met het inregelen van informatiebeveiliging. Die niet schrikken van de woorden vulnerability scanning, penetratietesten en security awareness. Gelukkig maar, want het is in dit digitale tijdperk toch net even anders dan de oh zo vertrouwde fysieke kluis zoals men die bij de notaris nog steeds kent. Oh ja, en informatiebeveiliging is niet alleen de installatie van een “tooltje” zoals een virusscanner, maar juist het informeren van en bewustwording creëren bij de medewerkers hoe om te gaan met gevoelige digitale informatie. Waar let je op wanneer je een e-mail binnenkrijgt, is deze legitiem of betreft het een phishing mail? Het is ook niet makkelijk allemaal als je vanuit je beroepsgroep weinig feeling hebt met het onderwerp en/of er nooit mee te maken hebt gehad, maar laat je dan adviseren. Je wilt toch zeker niet de volgende headliner worden in de social media of krant met in de kop het woord “gehackt”? Wil je weten hoe jij scoort op het onderwerp informatiebeveiliging?