DTC: kleine bedrijven en zzp'ers beschermen zich digitaal onvoldoende

Nederlandse zelfstandig ondernemers en kleine bedrijven nemen niet altijd genoeg maatregelen om zichzelf digitaal te beschermen. Dat blijkt uit onderzoek van het Digital Trust Center, dat 766 ondernemers ondervroeg. Onder andere 2fa zou lang niet altijd goed worden ingezet.

Het Digital Trust Center van het ministerie van Economische Zaken onderzocht de 'cyberweerbaarheid' van kleine Nederlandse bedrijven. Het DTC ondervroeg 766 zelfstandigen en kleine ondernemers met maximaal 25 personeelsleden en keek of zij bepaalde beveiligingsmaatregelen goed doorvoerden. "Helaas blijkt de ontwikkeling van de weerbaarheid van deze bedrijven achter te lopen bij de snelheid waarmee cybercriminelen nieuwe aanvalsmethoden ontwikkelen", zeggen de onderzoekers.

Op sommige onderdelen scoren ondernemers over het algemeen wel goed. Zo heeft 83 procent van de ondervraagden antivirussoftware geïnstalleerd en nog eens 85 procent zegt phishingmails goed te herkennen. Andere maatregelen die relatief goed worden doorgevoerd zijn het maken van back-ups, wat kleine ondernemers in 77 procent van de gevallen doen. Daarnaast hebben zij vaak een goed overzicht van hun gebruikte applicaties.

DTC onderzoek

Daar staat tegenover dat zowel zzp'ers als kleine bedrijven op sommige belangrijke punten tekortschieten. Vooral tweetrapsauthenticatie is een struikelblok; slechts 42 procent van de zzp'ers gebruikt dat bij zakelijke e-mailaccounts. Die groep gebruikt 2fa ook op slechts 44 procent van de software die zij zakelijk gebruiken, al gaat het onderzoek niet in op de vraag of 2fa in die software ondersteund wordt. Bij kleine bedrijven ligt dat percentage iets hoger: zij gebruiken 2fa bij 60 procent van de bedrijfsapplicaties. Mkb'ers denken verder in mindere mate aan netwerksegmentatie en schakelen macro's in iets meer dan de helft van de gevallen uit.

DTC onderzoek 2

Volgens het DTC zijn zzp'ers gemiddeld minder goed bezig met hun digitale weerbaarheid, maar hebben ze wel een beter inzicht in de maatregelen dan kleine bedrijven. Die laatste groep weet vaak niet goed welke maatregelen er wel en niet worden ingezet. Dat heeft wellicht te maken met dat 64 procent van de ondervraagde kleine bedrijven gebruikmaakt van een ict-dienstverlener. Mogelijk voeren die veel maatregelen door, zonder dat de klant daar weet van heeft.

Door Tijs Hofmans

Nieuwscoördinator

22-05-2023 • 09:34

103

Reacties (103)

Sorteer op:

Weergave:

Leuk, die titel "beschermen zich onvoldoende", maar wat door die titel onderbelicht blijft: de data van ons, de klanten van deze bedrijven, wordt door die bedrijven onvoldoende beschermd.

Als er dan iets misgaat, ransomware bijvoorbeeld, dan zijn wij - de klanten - het slachtoffer. De bedrijven zelf misschien ook, maar zij hebben zelf de keuze voor onvoldoende bescherming gemaakt.
Dit komt van het DTC, dat hangt onder het ministerie van Economische zaken. Dus met name de het kunnen voortzetten van een bedrijf is waar ze zich op richten. Had er nog nooit van gehoord, maar als je hun site, adviezen, tools en templates bekijkt maken ze zich met name druk over het voortbestaan van bedrijven. Heb de tools ook ingevuld als zzp'er, dan dan kom ik op risico klasse 1 uit. Wat zoveel inhoud als zorg voor backups, schakel 2fa en gebruik een virusscanner.

Waarom dit onder ministerie van economie valt is mij een raadsel, maar daar zal vast heel erg goed over nagedacht zijn.
Dat is waar bedrijven gevoelig voor zijn.
Risico's voor anderen zijn vaak wat schimmiger. Het is wat makkelijker om jezelf wijs te maken dat het wel goed zit en dat de mogelijke gevolgen wanneer het toch fout gaat ook wel mee zullen vallen. Risico's voor henzelf, hun eigen bedrijf, die het voortbestaan van hun eigen bedrijf kunnen bedreigen worden meteen een stuk serieuzer genomen. Maar wanneer ze voor henzelf de risico's weten te beperken door betere beveiligingsmaatregen te treffen, zijn automatisch óók de gegevens van hun klanten beter beschermd.
Omgekeerd gaat het ook op. Wanneer je zorgt dat de gegevens van je klanten beter beschermd zijn, zijn ook de risico's voor je bedrijf kleiner dat je vatbaar bent voor digitale incidenten. Daarom worden ze door het DTC benaderd vanuit de invalshoek van bedrijfscontinuïteit en door o.a. de AP vanuit de invalshoek van privacybescherming. Het uitgangspunt is niet hetzelfde en wat je vanuit het ene uitgangspunt moet doen is niet volledig gelijk aan wat je volgens het andere moet doen, maar wanneer je het ene goed voor elkaar hebt, ben je al een eind op weg om ook het andere geregeld te hebben.
Alles moet daar 9/10x voor een appel en een ei… ;(

[Reactie gewijzigd door HKLM_ op 22 juli 2024 15:00]

Als eigenaar van twee kleine bedrijven, eentje met 50 man eentje met 200 man vooral de kleinste is het gewoon moeilijk. Het is te klein om voltijds sterk personeel aan te nemen en externe rekenen graag een premium terwijl ik vaak mezelf afvraag of ze echt goed zijn. Het is ook via de HR lastig, immers omdat we klein zijn, hebben we weinig referentie en ben je sterk afhankelijk van producten die out of the box werken. Neem bijvoorbeeld ons netwerk, een simpele switch met een Synology, een hardware matige firewall en daar bovenop de modem/router.

Terwijl de 200 man tellende toko is een stuk volwassener met een tweetal beheerders dan gaat alles een stuk eenvoudiger. Je hebt een aanspreek punt, een eindverantwoordelijke, een die een budget opzet.

Dit is een steeds terugkomend fenomeen met kleine bedrijven en IT is uiteindelijk niet een top prioriteit omdat het niet direct geld in het laatje brengt zolang het maar draait. (Dit valt overigens voor diverse functies te zeggen voor menig bedrijf).

[Reactie gewijzigd door n4m3l355 op 22 juli 2024 15:00]

Helemaal eens met je commentaar! Je kunt niet alles wat je moet doen 200% perfect geregeld hebben, simpelweg omdat je daar de tijd (en geld) niet voor hebt of uit kunt geven, simpelweg omdat je opdrachtgevers niet bereid zijn te betalen (prijs jezelf de markt uit).

De waslijst met zaken die je “moet” als ondernemer groeit alleen maar. Alles moet top prioriteit hebben, uiteindelijk zullen er zaken zijn die wat onderbelicht worden. Als ondernemer de uitdaging om deze balans goed te houden.
Ik ben het helemaal met je eens, een klein bedrijf kan niet alles goed op orde hebben, daar is de mankracht simpelweg niet voor.

En dan is die 50 werknemers al een stuk meer dan de "maximaal 25 werknemers" van het artikel.
Maar hoe ga je dan om met ransomware? Heb je daar een plan voor?
Voor dat soort kleine bedrijven heb je dus MSP's. Die hebben de kennis en mogelijkheden om dat uit handen te nemen. Er zijn genoeg goede bij die oog hebben voor ontzorging in welk opzicht dan ook.
Waar? En wie bedoel je?

Leuk zo'n onderzoek, maar als dit gewoon gevraagd is, zegt het nog weinig. "Heeft u op alle bedrijfsapplicaties 2fa ingeschakeld?" Ja! Maar als je werkelijk gaat kijken blijkt dat toch niet het geval.

Risico analyse digitale veiligheid, bellijst, gebruik zakelijke pc privé. Dat is voor een zzp'er of kleine mkb'er toch helemaal niet van toepassing. Werk zelf als zzp'er in de IT, ben zeer goed op de hoogte van waar mijn risico's zitten. Maar dat staat niet op papier. Ik heb ook geen bellijst, dat ben ik namelijk zelf. En de laptop gebruik ik ook privé. En ik installeer alles wat ik maar wil. Ben ik nou heel onveilig? Nee natuurlijk niet, dat is voor een kleine ondernemer geen enkel punt.
Risico analyse digitale veiligheid, bellijst, gebruik zakelijke pc privé. Dat is voor een zzp'er of kleine mkb'er toch helemaal niet van toepassing. Werk zelf als zzp'er in de IT, ben zeer goed op de hoogte van waar mijn risico's zitten. Maar dat staat niet op papier. Ik heb ook geen bellijst, dat ben ik namelijk zelf. En de laptop gebruik ik ook privé. En ik installeer alles wat ik maar wil. Ben ik nou heel onveilig? Nee natuurlijk niet, dat is voor een kleine ondernemer geen enkel punt.
Ja dat is wel van toepassing. Of je nu een groot bedrijf bent of zelfstandig ondernemer, je hoort hoe dan ook persoonsgegevens van je klanten zorgvuldig te verwerken. En daar hoort ook bij dat je vooraf je zaken op orde hebt als je software of andere diensten als zzp'er of als prive-persoon op die gedeelde apparatuur gaat installeren (of hebt gedaan). Menen te weten wat je doet is niet genoeg om zakelijk en prive te mengen. Dat klinkt meer als geen zin hebben in zakelijk en prive te scheiden, niet als privacy by design. Het klinkt meer als liever achteraf wat willen bedenken, zodat een toezichthouder of gedupeerde nauwelijks kan controleren of je er vooraf wel voldoende rekening hebt gehouden met de risico's.
Van mening zijn dat je geen onnodig extra risico neemt hoort te blijken, zeker als er alternatief is zoals gewoon wel gescheiden hebben en houden.
Zorgvuldig verwerken uiteraard, maar laten we ook reëel blijven. Wat voor gegevens heeft de glazenwasser van mij? Of de zzp'er in de zorg? Of de zzp'er die jou drankjes serveert? Die zal misschien een excel lijstje bijhouden van adressen waar de factuur heen moet, of het in z'n administrate pakket zetten. Wat voor risico loop ik als dat op straat ligt? Helemaal geen, die gegevens zijn zo in te zien door vrijwel iedereen. Loopt zo'n bedrijf gevaar als de laptop gehacked is? Lijkt me niet. Sterker nog, als zzp'er of eenmanszaak is er juridisch helemaal geen onderscheid tussen zakelijk of prive. Dus waar je dat onderscheid wel aanbrengt is volkomen willekeur.

Bij een groot bedrijf die véél meer gegevens opslaat, of daar zelf hun geld mee verdienen, ligt de situatie wel beduidend anders. Als klant is mijn verwachting van een zzp'er echt wel heel anders dan van een groot bedrijf.

Als je als zzp'er of mkb'er werkelijk elke wet die mogelijk van toepassing zou zijn volledig moet onderbouwen en uitwerken, dan heb je geen tijd meer over om je werk nog te doen.

Zorgvuldig verwerken betekend voor een zzp'er en mkb'er echt wat anders dan voor een gemeente die paspoorten uitgeeft. Of een online saas platform. Of een advertentiebedrijf welke elke muisbeweging van jouw opslaat.

[Reactie gewijzigd door barbarbar op 22 juli 2024 15:00]

De realiteit is dat het niet aan de ondernemer is om te bepalen wat voor een ander acceptabel is dat persoonsgegevens bij je lekken, dat heeft de wetgever al gedaan nadat onder andere ondernemers er jaren te laks in waren. De realiteit is dat als anderen gelekt hebben je als ondernemer alsnog de plicht hebt de gegevens die bij jou verwerkt worden wel met zo min mogelijk risico verwerkt worden. Dat kan je niet leuk vinden omdat het je moeite of vrijheid kost, maar het zijn je gegevens niet.

[Reactie gewijzigd door kodak op 22 juli 2024 15:00]

Maar definieer het risico waartegen ik gegevens zou moeten beschermen? Als zzp'er of mkb'er kan ik mij toch helemaal niet weren tegen grootmachten als Rusland, China, Noord-Korea, Iran etc? Want als we het over ransomware aanvallen hebben waarbij gegevens uitlekken, hebben we het daar over. Dat zijn organisaties met hele slimme mensen die door de overheid ondersteund worden. Moet ik mij daar als zzp'er of mkb'er tegen wapenen? Dat is niet reëel om te verwachten. Zelfs van grotere bedrijven verwacht ik dat niet zomaar.

Als zzp'er wil ik voornamelijk zelf doorkunnen als er iets gebeurd. Dat is waarom ik backups maak en administratie nog uitprint. En ik wil niet om de haverklap te maken hebben met iemand die in mijn accounts zit, dus gebruik ik sterke wachtwoorden en 2fa op de belangrijkste accounts. Als IT'er heb ik wel veel meer maatregelen genomen, maar dat zou ik van iemand buiten de IT echt niet verwachten.
Het is de bedoeling dat je als ondernemer geen onnodig risico met andermans gegevens neemt en ze zo veel mogelijk beperkt.

Stellen dat je te maken kan krijgen met een crimineel waar jij niet tegen op kan is geen redelijk argument om maar geen maatregelen te nemen die je risico's beperken voor situaties die je hoe dan ook kan verwachten. Scheiding in werk en prive is het minste wat verwacht mag worden. Net als situaties waarbij jij geen controle meer hebt en je klanten en toezichthouder wel hun rechten en plichten. En als je als ondernemer twijfelt wanneer je nog genoeg doet, dan huur je een specialist in die je daarbij helpt.
Maar wat is onnodig risico? Er zit echt wel verschil in wat je van de lokale glazenwasser kunt verwachten (en wat je hem toevertrouwd), en wat je van notaris or huisarts mag verwachten qua gegevensbescherming.

Dat zegt het DTC zelf ook gewoon op hun site. Bijvoorbeeld: https://www.digitaltrustcenter.nl/3-soorten-cyberaanvallen
worden uitgevoerd door goed georganiseerde hackers-groeperingen, eventueel ondersteund door of gelieerd aan overheden
en
Mocht je doelwit zijn van een dergelijke specifieke aanval, dan heb je waarschijnlijk ook echt iets te beschermen.
Ook komen zelf met risico klassificaties: https://www.digitaltrustc...indeling-voor-ondernemers Als je dat dan invult, val je als zzp'er en kleine mkb'er gewoon onder de eerste klasse. Oftewel: backups maken, updates doen, virusscanner en verder maar hopen dat je nooit doelwit wordt van een groepering die het op je gemunt heeft.
Als je houding als ondernemer is om liever te kijken of je niet te veel doet en steeds met argumenten komt die vooral jezelf beter uitkomen dan is dat eerder het omgekeerde van wat de wetgever vereist dan genoeg. De wet is niet zomaar strenger geworden: het ging al te lang en te vaak mis door dit gedrag.
Ook van een lokale glazenwasser mag geëist worden dat die tekst als kun je doen niet zomaar leest als dit is wat je minimaal moet doen en is genoeg. Dat die investering doet als die zeker wil zijn de wet te respecteren. Dat doet een professional ook bij financiele zaken, ook bij arbo zaken, dus ook bij ict zaken.
Ik ben het volledig met kodak eens. Je houding moet zijn dat je je beveiliging op orde hebt, ook als je een zzp-er bent en weinig data verwerkt. Als bij jou werk en privé door elkaar lopen en je malware binnenhaalt omdat je privé obscure websites bezoekt en vervolgens met je besmette apparaat op het bedrijfsnetwerk van je klant gaat werken, dan kun je je klant behoorlijk wat schade toebrengen. Dat je zelf gegevens kwijtraakt is jouw probleem, maar doordat je je zaken (en je professionele houding) niet op orde hebt lopen anderen risico met een cyberincident te maken te krijgen. De hoofdredenen dat malware zich verspreidt zijn vaak de lakse houding en het lage bewustzijn van de gebruiker.
Je doet aannames die ik helemaal niet heb genoemd. Ik werk nooit met m'n eigen laptop in het netwerk van een klant. Dat is waar ik kom überhaupt niet toegestaan en zou ik ook niet willen. Als een klant dat toestaat en iemand doet dat ook, dan is dat hun eigen verantwoordelijkheid, niet die van mij.
Ik hoop toch ten volle harte dat jij nooit aan een project van mij moet werken want dit leest als pure horror.

"hopen dat je nooit doelwit wordt van een groepering die het op je gemunt heeft." jongens toch.
Ik denk dat je dingen uit verband haalt. Je kunt het op de site van het DTC nalezen. Zo stellig staat het er uiteraard niet op hun site, maar mijn reacties gaan steeds over zzp'er en mkb. Als je daar van verwacht dat die zich digitaal moet weren tegen groeperingen die door landen worden ondersteund is dat niet realistisch. Beetje alsof je zegt dat je huis bestand moet zijn tegen bomaanslagen. Dat verwacht ook niemand, tenzij je een Nederlandse bank bent of defensie of iets dergelijks. Proportionele maatregelen OK, maar dat gaat blijkbaar aan veel tweakers hier voorbij. Ik vermoed dat er hier een boel kantoorautomatiseerders zitten die nog nooit op een plek gewerkt hebben waar écht kritische systemen in gebruik zijn, en dan bedoel ik systemen die bij fouten de dood tot gevolg hebben. Als je daar wel aan werkt, zul je datalekken en ransomware toch echt in een andere categorie qua maatregelen plaatsen dan de werkelijk kritische systemen.

[Reactie gewijzigd door barbarbar op 22 juli 2024 15:00]

Juist, hoewel ik wel van mening ben dat prive en zakelijk scheiden wel beter is. Als je zakelijke gegevens op de pc gebruikt waar je van alles op installeert en uitprobeert en je kinderen op laat gamen ben je natuurlijk wel onveiliger dan als je een aparte pc voor zakelijk gebruikt die fatsoenlijk is dichtgetimmerd.

Maar dingen zoals risico analyses, 2FA email en bedrijfsapplicaties, laat me niet lachen... dat doet echt niemand. Het is veel belangrijker om te hameren op het hebben van backups.

[Reactie gewijzigd door Terrestrial op 22 juli 2024 15:00]

Ligt er ook aan wat je onder privé verstaat inderdaad. De laptop waar ik op werk komt verder niemand aan. Kan ook niet, want bitlocker en windows hello. Gamen? Doe ik niet op de laptop. Dus privé is dan hooguit de administratie doen, webbrowsen, foto's bewerken, hobby projecten programmeren e.d.

2FA staat bij mij wel ingesteld op alle belangrijke accounts (dus laptop, mail, office365, azure, ondrive, hosting, wachtwoordmanager e.d.). Ook een wachtwoordmanager die goed is ingesteld, met 2fa daar niet in. Alle wachtwoorden zijn random gegenereerd. Backups? Vrijwel elke week de hele schijf op een externe schijf, en regelmatig naar onedrive. En voor mijn belangrijkste zakelijke werk, de facturen, bestaat er nog zoiets als uitprinten en in een map doen! Je verzint het niet, gekkenwerk! En dat zullen de meeste zzp'er nog doen vermoed ik.

Mijn grootste risico's zijn zero-days in de browser of mail client. Een pdf ontvangen met een bug waardoor je toch malware binnenhaalt. Al gebruik ik heel bewust niet Adobe Reader, om dit te ondervangen. Ook heb ik meerdere advertentieblokkers (op de router en op de laptop zelf), dan is het risico al weer wat minder dat je per ongeluk wat oppikt. Andere risico's zijn software updates van derden waar malware ingestopt is. Zal niet de eerste keer zijn dat via een leverancier er troep mee komt.

Een ransomware aanval zal nooit helemaal uit te sluiten zijn. Maar ik weet wel dat ik ze niet hoef te betalen, want vanuit backups kan ik vrij snel weer verder. En de kans dat ze accountgegevens buitmaken is nihil.
Inderdaad, als het merendeel zich al niet eens goed verzekerd waarom zou hun digitale bescherming wel goed geregeld zijn?
Klopt. Totdat het een keer goed fout gaat en er daarna wat beter nagedacht gaat worden.
Das bij de grote jongens ook het geval lijkt me... Alleen vanwege schaal vergroting lijkt het een groter bedrag
Klinkt als een verwijt. In de meeste gevallen is er gewoonweg geen geld voor.
Dat is onderdeel van een ander probleem. In veel van de gevallen zou een ZZP-er gewoon geen zelfstandige moeten zijn. Te weinig marge om de zaken goed te regelen die goed geregeld moeten worden, te afhankelijk van een paar grote opdrachtgevers en eigenlijk alleen maar goed in één kunstje.
Niet actief in het economisch verkeer om klanten te vinden, maar ingeschreven staan bij een bemiddelingsbureau, voor een uurprijs die de 'ZZP-er' meer oplevert dan een uurloon door belastingkortingen en de opdrachtgever minder kost dan een uurloon doordat geen premies betaald worden. Het grootste risico dat wordt genomen zit niet in het in de 'onderneming' geïnvesteerde kapitaal maar in het ontbreken van enig vangnet wanneer opdrachten wegvallen of de 'ZZP-er' niet meer kán werken.
Ondernemen is zo veel meer dan één kunstje kennen en dat aan opdrachtgevers uitventen (of door een bemiddelingsbureau voor je uit laten venten).
Dit is een geval van een standaardvragenlijst toepassen op een andere doelgroep.
- medewerkers zelf software installeren. Ja, nogal wiedes dat je dat zelf doet. Werkt iemand in de ICT, of bijvoorbeeld in de creatieve digitale sector dan is de kans heel groot dat hij erg goed weet wat hij doet.
- netwerksegmentatie. Is natuurlijk heel vaak gewoon niet van belang met drie personeelsleden en alle belangrijke applicaties neem je als SaaS af. Behalve voor connectivity heb je geen netwerk nodig.
- bellijst digitale noodsituatie: "He Piet, met Henk, de mail ligt eruit'.
- 2fa alle bedrijfsapplicaties. Let op: 'alle'.
- gebruik zakelijke computer privé. Lijkt me geen probleem, zolang je je privé gedraagt.

Een ding wat er niet bij staat: als je voor jezelf werkt is het bewustzijn dat je voor je brood afhankelijk bent van digitale machines vrij sterk in het algemeen.
Netwerksegmentatie kan wel degelijk van toepassing zijn in MKB/ZZP-er.
Je zou je huisnetwerk (met al je chinese consumenten IoT) los moeten koppelen van het netwerk wat je zakelijk gebruikt. Dus daar mag je best eens over nadenken.

Bellijst digitale noodsituatie: fuck ik ben geraakt door ransomware. Wie moet ik nu bellen, ik ga eens googlen. Moet je misschien ook van te voren ff over nagedacht hebben.

Zelf software installeren is mogelijk een foutieve vraagkeuze. Beter zou zijn of je bent ingelogd met een local admin account of als normale gebruiker onder Windows.
Serieuze vraag: wie zou ik moeten bellen als mijn laptop door ransomware getroffen is? Denk je dat de politie mij als zzp'er zal helpen? Het NCSS? Die komen alleen helpen bij grote organisaties die aan vitale en kritieke infra werken. Blijft denk ik alleen de optie over van de handige neef, of de winkel die je met een nieuwe laptop de deur uitstuurt. Wat heb ik eraan als ik dat nummer op een bellijst zet?

Qua netwerksegmentatie: ja dat snappen wij hier op tweakers misschien. Maar dat is alsof je als fiscalist gaat klagen over gebrek aan kennis over de afbouw van de FOR.

[Reactie gewijzigd door barbarbar op 22 juli 2024 15:00]

Naast dat je moet bellen om de ransomware situatie te herstellen zijn er ook genoeg bedrijven die klantengegevens en afspraken alleen digitaal hebben, stel je voor dat je digitaal volledig plat gaat. Welke rekeningen moet je betalen? welke afspraken heb je? Welke van die afspraken kun je niet meer nakomen' Moet je melding maken bij het AP? Deze en vele andere vragen dien je van te voren te beantwoorden en niet pas op Dinsdagmorgen om 9:00 op het moment dat je systeem plat gaat.

Ooit bij een installateur gewerkt met rond de 100 man personeel die veel beveiligingsinstallaties deed, daar werd begin '90 de kluis gestolen met daarin tekeningen, schema's, code's van alle door hen aangelegde en te onderhouden installaties. Dit was allemaal op papier maar dat maakt niet uit voor dat je voorbereid moet zijn, en dat waren ze, de eerstvolgende dag was al het personeel inclusief een stel van andere bedrijven onderweg met lijsten om overal in elk geval de code's te veranderen en dat lukte dankzij geleden voorbereiding allemaal op 1 dag.

Stel je voor dat je systeem plat gaat, je data is gejat en je weet niets eens meer wie al je klanten zijn, en je verliest zelfs de contactgegevens van je werknemers, dan ben je bij een lek als hier beschreven echt zwaar de lul dat kan je je bedrijf kosten.
Juist omdat je het antwoord er nu al niet op kan geven, bewijst dat het belangrijk is er dus van te voren over na te denken en alvast na te gaan bij wie je dan kan aankloppen en dat op je lijst te zetten. Net of er niet een ander bedrijf is dan je handige neef of winkel om je te helpen met die zakelijke cybersecurity problemen. Genoeg bedrijven die het MKB en de ZZP-er te hulp komen (waarschijnlijk een zzp-er of mkb-er die daarin gespecialiseerd is)

En die netwerksegmentatie, dat snappen alleen Tweakers? Daarom is dit rapport er om ook die MKB en ZZPers er op te wijzen dat dit belangrijk is. Omdat jij niet niet snapt, wilt niet zeggen dat je het dan maar niet moet doen. Als jij als ZZPer of MKBer niet snapt hoe je belastingaangifte moet doen, wilt toch ook niet zeggen dat je het daarom maar niet doet?
Dit rapport is er voor om die mensen met de neuzen op de feiten te drukken dat ze zich druk moeten maken over cybersecurity. Als ze niet weten hoe, dan moeten ze hulp inschakelen van anderen die hun daarbij kunnen helpen. Ze moeten hier gewoon over nadenken.

[Reactie gewijzigd door SunnieNL op 22 juli 2024 15:00]

De cyberwacht, fraudehelpdesk, security meldpunt, autoriteit persoonsgegevens, je klanten en opdrachtgevers... Daarnaast is het handig om vooraf een noodplan te hebben met wat je wel en niet moet doen in zo'n geval. Als je dat pas gaat uitzoeken op het moment dat je met ransomware of een cyberincident te maken hebt is de kans op schade veel groter.

Ik merk overigens uit jouw reacties op dit bericht dat jij wel heel erg vanuit je eigen positie denkt en het bagatelliseert. Dit onderzoek van DTC laat duidelijk zien dat de meesten de cyber security nog niet op orde hebben. Ja, bij zzp-ers kan het risico en impact lager zijn, maar over het algemeen heeft die groep de security nog maar heel slecht op orde.
Mijn reacties gaan inderdaad over de conclusies van het DTC over zzp'ers. Goed opgemerkt!
Dit is een geval van een standaardvragenlijst toepassen op een andere doelgroep.
- medewerkers zelf software installeren. Ja, nogal wiedes dat je dat zelf doet. Werkt iemand in de ICT, of bijvoorbeeld in de creatieve digitale sector dan is de kans heel groot dat hij erg goed weet wat hij doet.
Net zoals dat 90% van de autorijdend Nederland bovengemiddeld capabel is.
- netwerksegmentatie. Is natuurlijk heel vaak gewoon niet van belang met drie personeelsleden en alle belangrijke applicaties neem je als SaaS af. Behalve voor connectivity heb je geen netwerk nodig.
Ook met een bedrijf van 3 man zijn er genoeg redenen te bedenken voor segmentatie: DMZ voor je servers, proeftuin, wasstraat voor je repositories, NAS/SAN voor je backups, etc.
- bellijst digitale noodsituatie: "He Piet, met Henk, de mail ligt eruit'.
Dan is dat toch afgevinkt?
- 2fa alle bedrijfsapplicaties. Let op: 'alle'.
Is dat zo'n probleem?
- gebruik zakelijke computer privé. Lijkt me geen probleem, zolang je je privé gedraagt.
Je kan je beveiliging niet in kaart brengen als iedereen z'n privé machine (en in dat verlengde dus ook omgeving) meeneemt naar het werk. Dus kan je ook geen risico's herkennen, dus ook geen plan opstellen en ook geen maatregelen nemen.
Een ding wat er niet bij staat: als je voor jezelf werkt is het bewustzijn dat je voor je brood afhankelijk bent van digitale machines vrij sterk in het algemeen.
Waarom zou dat er bij staan? Veel MKB en ZZP hebben hun beveiliging niet op orde.
Ook met een bedrijf van 3 man zijn er genoeg redenen te bedenken voor segmentatie: DMZ voor je servers, proeftuin, wasstraat voor je repositories, NAS/SAN voor je backups, etc.
Klinkt heel leuk maar als je niet in de IT werkt en een bedrijf hebt met 3 man heeft men echt geen idee waarover je het nu hebt. Zeker als SaaS diensten worden afgenomen voor office, applicaties en backup bestaat er helemaal geen fysiek netwerk (op een internet verbinding na).
Ik kan zelfs nog veel meer redenen verzinnen om geen segmentatie te hebben, van technisch en historisch tot en met FTE/capaciteit. Zolang daar geen andere mitigerende maatregelen tegenover staan blijft het effect nul en sta je gewoon hoog in de lijst potentiële doelwitten voor bijvoorbeeld ransomware. Je kan hetzelfde betoog dan houden bij onderhandelen over het losgeld maar ik verwacht weinig succes.
Klopt helemaal wat je zegt alleen met een bedrijf van 3 medewerkers die in de cloud werken via SaaS applicaties kan je niks met het creeren van een DMZ. Netwerksegmentatie is prima voor fysieke in eigen beheerde infrastructuur maar is inmiddels wel een ouderwetse gedachte geworden.

Wat je op orde moet hebben is hoe je informatie in de cloud is opgeslagen, hoe kan je deze benaderen waarbij het uitgangspunt moet zijn dat niemand erbij kan tenzij dit juist is geauthentiseerd en gevalideerd. Zoek maar eens op Zero Trust, SASE, etc.

[Reactie gewijzigd door Aalard99 op 22 juli 2024 15:00]

Klinkt heel leuk maar als je niet in de IT werkt en een bedrijf hebt met 3 man heeft men echt geen idee waarover je het nu hebt. Zeker als SaaS diensten worden afgenomen voor office, applicaties en backup bestaat er helemaal geen fysiek netwerk (op een internet verbinding na).
Die drie werken wel in de IT, ze beseffen het alleen niet. IT is zo'n beetje het belangrijkste gereedschap in ieder modern bedrijf en ieder bedrijf heeft dus iemand die verantwoordelijk is voor IT. Ook als daar nooit iets over is afgesproken. Zodra je een IT-product gebruikt heb je iets of iemand nodig die er verstand van heeft.

Mensen willen graag volledige verzorgd worden en verwachten dat IT net zo werkt als hun auto. Je koopt een auto één keer en dan heb je er geen omkijken naar tot het rode lampje gaat branden. Dan ga je naar de garage en die lost alles voor je op, tegen een prijs.

In de IT kan dat ook maar de prijs die daar aan vast zit is voor de meesten onacceptabel hoog. Let op, ik zeg niet dat het dúúr is want goede IT is ook veel waard. De meeste mensen hebben daar echter geen beeld van en zien alleen de prijs op het bonnetje en dan schrikken ze enorm. Vervolgens gaan ze in zee met een goedkopere leverancier maar dan krijgen ze niet de volledige service die ze verwachten. Helemaal als ze verwachten dat de leverancier hun "auto" ook komt "tanken".
bestaat er helemaal geen fysiek netwerk (op een internet verbinding na).
Op zich heb je wel gelijk maar er zal nog steeds iemand moet nadenken over de vraag hoe je aan internet komt en hoe en wie daar gebruik van maakt. Zet je een WIF-router op kantoor? Heeft iedereen 4G? Mag je die verbinding ook privé gebruiken? Mag je je printer ook aansluiten? Dan ben je dus alsnog aan het nadenken over netwerksegmentatie (zelfs als de uitkomst is dat er géén segementatie is).
Het lastige is dat veel eigenaren van kleine bedrijfjes niet de kennis in huis hebben om te beoordelen of de partij die zij inhuren om dit te regelen ook echt de kennis en kunde heeft om dit goed te verzorgen. Natuurlijk kun je voor een groot bedrijf kiezen dat alle certificaten heeft en een klantenlijst die vertrouwen wekt, maar dat is voor veel bedrijven eigenlijk onbetaalbaar. Als ik naar mijn neef kijk bijvoorbeeld die heeft een contract met "een mannetje" die alle papieren heeft en dat mannetje doet dit er voor de lol bij naast zijn eigen baan. De instructies van mijn neef zijn duidelijk. Ransomware, back-ups, scheiding etc.. doe alles wat nodig is voor een goed en veilig systeem, maar helaas zijn dat soort mannetjes vaak niet zo goed als ze zeggen te zijn maar hoe kan mijn neef dat controleren?

Vergelijk het met de doorsnee Nederlander die een elektricien belt voor thuis, velen van hen hebben echt geen idee of die monteur wel of niet goed werk aflevert, het werkt dus zal het wel goed zijn. Of het veilig is kunnen ze helemaal niet inschatten en helaas lopen er ook een hoop monteurs rond die er een zootje van maken.
Je hebt helemaal gelijk hoor, in andere sectoren lossen we dat op met regels van de overheid, branch-organisaties, toezichthouders en allerlei standaarden en afspraken.
Op de belangrijkste punten stelt de overheid basisregels (bv voor auto's, elektriciteit, voedsel) waarbij typisch gebruik wordt gemaakt van standaarden uit de markt.

In de IT is dat allemaal nog in ontwikkeling. Er zijn nog maar heel weinig verplichtingen vanuit de overheid, zeker niet in het algemeen. Voor de meest kritische sectoren begint het nu een beetje maar verder is de AVG zo ongeveer het enige waar iedereen aan moet voldoen.

Deel van het probleem is dat het moeilijk is om de juiste standaarden te kiezen om verplicht te stellen. IT is zeer divers, als je algemene regels opstelt die altijd geldig zijn dan zijn die flinterdun en super vaag. Het is nogal lastig om één setje regels te maken voor een desktop app, een cloud website, een beveiligingscamera en een USB-stick.

Een ander deel van het probleem is dat het niveau over het algemeen heel laag is. Zodra je een standaard verplicht stelt, hoe basaal ook, valt vrijwel alles af. Dat is haast niet uit te leggen, leken kunnen haast niet geloven hoe slecht het gemiddelde stuk software is en gaan er van uit dat de meeste software en IT-bedrijven hun zaakjes wel voor elkaar zullen hebben.

Net als bij die electricien hebben de meest mensen zelf geen idee of ze kwaliteit krijgen of hoe ze dat uberhaupt zouden moeten controleren. Als het niet gecontroleerd wordt is er ook geen druk om kwaliteit te leveren.

Het is niet dat er helemaal geen standaarden zijn maar er zijn maar heel weinig echte verplichtingen vanuit de overheid.
Bijkomend nadeel van het gebrek aan regulatie is ook dat je Nederlandse papieren soms als afval worden beschouwd in het buitenland. Neem mij, meer dan 30 jaar ervaring van kabeltrekker tot chef van een technisch team van een grote fabriek, alle papieren in Nederland en ook nog een paar jaar mijn eigen installatiebedrijf gehad (gesloten omdat loondienst veel relaxter is). Nu in Zweden en eerst in Zwitserland zegt men doodleuk "Nederland kent geen regulatie dus voor ons ben je een hulpmonteur en meer kennen we je niet toe. Je mag niet keuren en moet onder supervisie werken" Mooi fuck, 1 van de zoveel dingen waar onze regering geen drol om geeft.
Geen idee hebben over iets waar je verantwoordelijk voor bent klinkt niet als een geschikte combinatie. En of de ondernemer het nu uitbesteed of zelf doet, de verantwoordelijkheid is er niet minder om. Of dat nu over financiële zaken gaat, arbo verplichtingen, persoonsgegevens of het eigenlijke werk.
Om aan te vullen, goede, geteste en recente offsite backups zijn vaak je beste weg om snel uit de ellende te komen. Gecombineerd met 2FA op alles en het uitschakelen van oude protocollen die er omheen kunnen werken is dit je best bet.
Dit is een geval van een standaardvragenlijst toepassen op een andere doelgroep.
Exact, dat was ook precies mijn gedachte. Ben je een MKB of zelfstandige in de ICT sector dan mag je toch wel verwachten dat je dit soort zaken goed op orde hebt. Ben je de bakker op de hoek dan kan ik me voorstellen dat je bezig bent met andere zaken. Het is aan de IT bedrijven en overheid om hier hulp te bieden bij dit soort bedrijven.

Voor een gemiddelde Tweaker hier moet dit allemaal wel gesneden koek zijn maar ik merk als ik met familie of vrienden praat over zoiets simpel als het up to date houden van je telefoon/computer dat hier heel vaak al moeilijk over gedaan worden omdat men het belang hiervan niet inziet.
Zakelijke laptop privé gebruiken of privé laptop zakelijk gebruiken ontkom je bijna niet aan als (startende) ZZP'er. Ik zie ook niet direct wat dat voor beveiligingsrisico kan vormen als dat gewoon de laptop is die jij alleen gebruikt en niet gedeeld wordt door een gezin bijvoorbeeld? Als je privé laptop onveilig is dan zou ik die niet eens voor privé willen gebruiken, dat zelfde geldt dus ook voor zakelijk gebruik lijkt me.
Allerhande trackers van Meta in je browser, een gezinslid dat met het ding eens een dubieuze site bezoekt, gekraakte rommel installeert met bijvangst etc. Doorgaans is het best een slim idee om zakelijk en prive gescheiden te houden.
Maar wat jij noemt is een heel ander ding; je moet je apparaten sowieso gewoon niet delen. Een keertje iets printen of een mailtje lezen via de webmail is prima, maar als er software geïnstalleerd moet worden is het snel meer dan incidenteel gebruik.

Tegenwoordig gebruikt 9/10 mensen geen PC meer, dus dan is een laptop van ~100 euro tweedehands nog meer dan genoeg. Laat ze lekker daar dingen op downloaden.
Dat zijn standaarden waar ik mij aan zou houden ook al is het niet een zakelijk apparaat en enkel prive. Dus absoluut geen reden om de twee gescheiden te houden.

Dus imo, gaat het ook helemaal niet om scheiden. Enkel als je weet dat je gemiddelde persoonlijke security zo bagger is dat je daar geen zaken zou moeten doen, maar dat lijkt me eerder een algemeen (en groter) probleem dan zaken te moeten scheiden. Als je gezinsleden hebt die dubieuze sites bezoekt, en als dat een security issue is, dan moet er maar eens goed gesproken worden met dat gezinslid en wat algehele cybersecurity bijleren. Er is dan dus een groter probleem dan iemand die eens je laptop leent.

Bovendien, als je persoonlijke security zo bagger is, een ander apparaat gebruiken voor zakelijk lost je dan imo niet eens zo veel mee op, want dan ben je dus bewust dat er troep op je netwerk zit dat je niet onder controle hebt. Is het dan überhaupt nog wel veilig te werken?

Kortom, zorg gewoon dat je adequate security hebt (ongeacht het persoonlijk of zakelijk is) en al dit maakt geen hol uit.
Wij zijn natuurlijk een uitzondering.
Ik gebruik een laptop privé en zakelijk als ZZP-er.
Mijn vriendin heeft een laptop voor werk (groot bedrijf), privé en school.

Ik ga persoonlijk niet twee keer 2000 / 2500 euro uitgeven om privé (gamen) en zakelijk (bewerking) te scheiden, om vervolgens met 5 laptops thuis te zitten.
Zit je dan hypocriet met je telefoon waar geen oplader bij zit om de afvalberg te verkleinen :D Get my point?

Als side note; Ik geef liever dat geld uit aan vers (suikervrij) eten voor de dieren of wat biodynamisch eten voor onszelf of een ander milieuvriendelijk gebeuren zoals wat extra isolatie, een regenton of een auto die 1:30 rijdt, noem eens wat op.

Verder geen social media of torrent / porno behoeftes wat al veel scheelt i.v.m. dubieuze ads/tracking, en technisch redelijk goed onderlegd om te begrijpen om niet zomaar overal op te klikken etc.
Adblockers en cookie blockers en ga zo maar door.

Ook 2fa en absurde wachtwoorden is bij mij standaard al sinds 2001 toen ik nét 13 was.
Jammer dan, dat ik ergens anders ben en niet kan inloggen op mijn mail via de telefoon omdat ik mijn wachtwoord niet weet.

Geen kinderen, regelmatig geen telefoon op zak. Ik kan mij in de afgelopen 11 jaar dat ik samenwoon niet eens herinneren dat ik mijn laptop heb laten gebruiken door mijn vriendin en vice versa (alleen om haar laptop te updaten of te herinstalleren).
Dat is eigenlijk niet eens bewust.

Maarja uitzondering hé. Word je wel raar aangekeken als je zegt geen telefoon bij te hebben of geen filmpjes op insta wilt delen omdat je het niet hebt.

Als ik dat nou eens vergelijk met andere ZZP-ers in mijn omgeving waarvan de kids filmpjes kijken op de laptop en men met vreemde applicaties crypto aan het "handelen" is, snap ik wel waar deze statistieken vandaan komen :P
Als zzp'er is er ook helemaal geen juridisch onderscheid tussen zakelijk en privé. Je bent als privé persoon toch aansprakelijk, ook als je iets op de "zakelijke" laptop verkeerd doet. Als je een BV hebt, of in een vof of maatschap ofzo zit kun je nog beargumenteren dat je prive beter gescheiden houd van zakelijk. Maar dan met name voor de verzekeringen en je verantwoordingen naar de belastingdienst.

Sterker nog: hoeveel mensen doen prive zaken op hun werk of hun werklaptop? Toch vrijwel iedereen. Alleen in de meest strenge organisaties wordt dat volledig geblocked. En dan nog wordt er via een omweg wel muziek gestreamd omdat er gen DAB radio's zijn geplaatst...

Onderscheid tussen prive en zakelijk zegt helemaal niks over de digitale veiligheid.
Het zegt niets over de digitale veiligheid, maar een scheiding aanbrengen kan wel 1 van de factoren zijn die worden gewogen om te bepalen of er wel of niet (ernstig)verwijtbaar is gehandeld en dat is weer van invloed op eventuele uitkeringen van de verzekering, aansprakelijkheid aangaande vervolgschade, boetes vanuit de AP etc.. etc..

Als thuis als ZZP'er mijn klantenbestand wordt gestolen en dit zat in een kluis die in mijn met gecertificeerde sloten afgesloten woning lag welke een goede inbraakinstallatie heeft. Dan is aansprakelijkheid voor vervolgschade een veel kleiner risico en zal een verzekering veel sneller uitkeren dan wanneer de papieren op de eettafel liggen en ik de voordeur open laat staan terwijl ik achter in de tuin zit of even naar de supermarkt ben. En digitaal werkt dit net zo.
Als je als ZZP'er wordt aangeklaagd voor vervolgschade omdat je klantenbestand is uitgelekt, er geen rechter is die daar in mee zal gaan.

Als je als ZZP'er werkt met gevoelige gegevens, dan doe je dat met apparatuur die je van de opdrachtgever krijgt. En als de opdrachtgever jou gegevens geeft, terwijl die jouw beveiliging niet kent, dan is het risico voor de opdrachtgever.

Denk dat we wel hetzelfde idee hebben, maar op een andere manier verwoorden...
Waarom zou een claim voor vervolgschade ontstaan uit het lekken van data waarbij er sprake is geweest van grove nalatigheid door een rechter worden afgewezen? Grove nalatigheid kan niet eens contractueel worden uitgesloten en in beginsel ben je aansprakelijk voor die schade. Ook sluit de verzekering uitkeringen onder zulke omstandigheden uit.
Omdat je van het uitlekken van een klantenbestand het moeilijk over schade kunt hebben. Ik houd ook adressen bij van m'n klanten. Wat voor schade zou er kunnen zijn als dat uitlekt?

Als dat onder gevolgschade zou vallen, dan zouden er heel veel failliete bedrijven zijn nu. Immers is er zo vaak een datalek van adresgegevens en mailadressen, dat er dagelijks zulke uitspraken zouden moeten zijn.

Gevolgschade is schade die direct het gevolg is van handelen, of niet handelen van iemand. Bijvoorbeeld als ik als IT'er het nalaat updates door te voeren, terwijl dat wel is afgesproken en er daarom een hack plaats vind. Dan valt het herstellen onder gevolgschade. Bij het uitlekken van een klantenbestand heeft dat geen direct gevolg. Wel indirect, namelijk dat je meer spam en dergelijke krijgt. Maar dat is geen gevolgschade van uit het uitlekken. Voor zover ik weet is er ook nooit gevolgschade succesvol geclaimd bij het uitlekken van een klantenbestand. Maar als je een bron van rechtszaken hebt die het tegendeel bewijzen ben ik wel geïnteresseerd.

Bijvoorbeeld https://tweakers.net/nieu...anval-hof-van-twente.html. De lat voor schade toekenningen ligt vrij hoog. Grove nalatigheid bewijzen is een nog hogere lat. Een keer een update niet doen, of geen 2fa op je mail hebben, is zeer zeker geen grove nalatigheid. Werk afleveren wat heel slecht is of zelfs gevaarlijk bij gebruik is nalatig. Een glazenwasser die geen 2fa gebruikt op z'n mail of pc, is niet nalatig. Als ie gaat wassen met wasbenzine en een huis afbrand, is ie dat wel.

[Reactie gewijzigd door barbarbar op 22 juli 2024 15:00]

Omdat je van het uitlekken van een klantenbestand het moeilijk over schade kunt hebben. Ik houd ook adressen bij van m'n klanten. Wat voor schade zou er kunnen zijn als dat uitlekt?
Omdat menig bedrijf veel meer info heeft dan alleen maar een klantenbestand met adressen.

Daarnaast beantwoord je mijn vraag niet:

Waarom zou een claim voor vervolgschade ontstaan uit het lekken van data waarbij er sprake is geweest van grove nalatigheid door een rechter worden afgewezen?
Die vraag beantwoord ik met bronnen. Als je andere rechtzaken hebt waar het gevolgschade na het lekken van een klantenbestand is toegekend, zou ik die graag doornemen.
Ik durf wel te wedden dat jij geen bronnen hebt waarbij grove nalatigheid is bewezen en waarbij schade ontstaan door het datalek is vastgesteld en de rechter doodleuk zegt "nee hoor je krijgt niets" dat zou namelijk ingaan tegen de wet.
Niet de bewijslast omdraaien. Ik heb bronnen geleverd. Als je andere zaken hebt ben ik oprecht benieuwd en wil ze graag lezen.
Ik heb het over situaties waar sprake is van grove nalatigheid en schade ontstaan door het lek. En dan zeg jij "de rechter doet daar niet aan mee" en dan is je bewijslast een zaak waar geen sprake is van nalatigheid...

8)7
De rechter vindt dat de gemeente zelf tekortgeschoten was en dat Switch niet onzorgvuldig handelde.
Dat is vrijwel letterlijk wat nalatigheid betekend. Staat in de inleiding.
Het was de gemeente die Switch daagde en Switch heeft niet nalatig gehandeld dus wordt de claim terecht afgewezen.

Je vergelijkt appels met peren.
Ben er eens wat verder ingedoken qua rechtspraak hierover. De termen grove nalatigheid hebben juridisch eigenlijk geen waarde, alleen verzekeraars willen dat wel eens hanteren. Wat met name van belang is of bij een eis/vordering, schuld kan worden bewezen. Als je op rechtspraak.nl op "datalek" of "ransomware" zoekt, kom je een paar interessante tegen.

Mijn eigen tweedeling van die rechtszaken:
- Zaken waarbij een prive persoon claimt te zijn aangetast in zijn persoon door een datalek.
- Zaken waarbij de IT dienstverlener verantwoordelijk wordt gehouden voor direct en gevolgschade. Hier zijn wel een paar zaken van te vinden, en komen op hetzelfde neer als bij Switch en Twente. Als de eiser kan aantonen dat de dienstverlener slecht werk heeft geleverd, dan kan er in beperkte mate een schadevergoeding worden toegekend. Maar die rechtszaken zijn zelden, en de toekenning zijn (in mijn ogen) heel laag. Vaak word de schade verdeeld, omdat de leverancier vrij goed kan beargumenteren dat de klant zelf (mede)schuld heeft.

Aantasting in persoon door datalek:
- Een mooie en hele duidelijke: https://uitspraken.rechts...ue&keyword=datalek&idx=54
Gemeente publiceert gegevens waaronder BSN zonder goedkeuring. Eis is € 15.000. Gemeente moet een schadevergoeding betalen van € 500,-. Let wel: dit heeft niets met beveiliging te maken, dit is puur op basis van AVG.
- Excel wordt rondgestuurd met veel gegevens door een projectontwikkelaar: https://uitspraken.rechts...ue&keyword=datalek&idx=26
Eis is € 20.000. De rechtbank kent een schadevergoeding van € 250 toe op basis van AVG.
- Afgewezen verzoek tot vergoeding naar aanleiding van datalek: https://uitspraken.rechts...ue&keyword=datalek&idx=12
- Ziekenhuismedewerkers speelt gevoelige informatie door welke in een boek verschijnt: https://uitspraken.rechts...rue&keyword=datalek&idx=9
Eis is € 88.000 schadevergeoding. De rechtbank kent uiteindelijk een vergoeding van € 2.000 toe. Dit is een zeer specifieke zaak omdat de eiser heeft kunnen bewijzen dat ze werkelijk schade heeft geleden, en het ziekenhuis dit enigszins had kunnen voorkomen.
- Niet ontvankelijk (niet behandeld): https://uitspraken.rechts...rue&keyword=datalek&idx=1
Eiser stelt schade te hebben geleden na een datalek, maar kan dit niet onderbouwen.

Al met al is mijn conclusie dat gevolgschade vrijwel niet wordt toegekend (al wist ik dat al wel van andere zaken). Dit is meestal niet goed onderbouwd, of de rechter vind het bedrag niet redelijk. De enige wet waar je echt wat aan zou hebben bij een datalek is de AVG, die schrijft voor dat er een redelijke en billijke vergoeding moet zijn. Die stelt de rechtbank dan vast op € 250,- tot € 500,-. Hierin zit nog onderscheid tussen bijzondere en niet bijzondere persoonsgegevens. Over schuld wordt dan niet gesproken.

Schuld heeft daarmee een hoge bewijslast, helemaal als je het over gevolgschade hebt. Dit word vrijwel niet toegekend. Een zzp'er of mkb'er heeft dan ook geen bijzondere plicht zijn data bescherming veel beter te doen dan je redelijkerwijs zou mogen verwachten. Een zzp'er of mkb'er die met bijzonder gevoelige data werkt, zal hier met de opdrachtgever voorwaarden aan moeten verbinden. Maar schade of gevolgschade worden in Nederland maar zeer weinig toegekend, en bij een ransomware aanval heb je als derde eigenlijk alleen recht op € 250,- vanuit de AVG wetgeving.

[Reactie gewijzigd door barbarbar op 22 juli 2024 15:00]

Het is inderdaad erg lastig om vervolgschade te bewijzen, maar ik ging er in mijn vraagstelling vanuit dat er schade bewezen is (ik hing hier ook geen bedrag aan, want bijna altijd is dit klein of lastig vast te stellen).

Grove nalatigheid is relatief nieuw en bestaat voor de wet pas sinds 2018 toen het zijn intrede deed in art. VII.44 van het Wetboek van economisch recht (aansprakelijkheid banken/klant bij accountmisbruik) Maar je hebt gelijk in dat nalatigheid op zich zelf al voldoende is en de mate van nalatigheid bepaald dan vaak weer de mate van aansprakelijkheid en de hoogte van een boete. Ik gebruikte grove nalatigheid om elke twijfel weg te nemen over waar de fout lag waaruit het lek kon ontstaan.
Bij rechtszaken met banken heb ik dat inderdaad wel voorbij zien komen, maar dan dat de bank de klant beticht van grove nalatigheid door codes bijvoorbeeld domweg af te staan. Volgens mij is dit in Nederland niet als zodanig omschreven, daarom gaat het alleen over schuld. In Nederland heb je het niet over boetes in privaat recht, dat is alleen voor publiek recht en dan vaak alleen in strafrecht. Een rechter zal in een civiele zaak nooit een boete opleggen, dat kennen we simpelweg niet (al denken veel mensen van wel).

Schuld tussen partijen onderling is dus heel erg afhankelijk van wat je onderling hebt afgesproken. Ben je geen partij, zoals bij een datalek? Dan is er ook geen sprake van schuld. En dus ook geen sprake van schade. En kom je alleen uit bij de AVG.

En zelfs als de rechter bewezen vind dat één van de partijen schuld draagt, dan nog is het vrij lastig om je schadebedrag goed genoeg te onderbouwen dat een rechter dit ook accepteert. Een rechter in Nederland vind al snel dat schades te hoog worden geclaimd. In Nederland ben je verantwoordelijk voor je eigen bedrijfsvoering, die verantwoordelijkheid kun je niet zomaar in de schoenen schuiven van iemand die je inhuurt. Als iets heel belangrijk is voor je bedrijf, moet je zelf hiervoor maatregelen nemen. Als je dus hele belangrijke gegevens verwerkt, kun je niet zomaar je IT dienstverlener hiervoor aansprakelijk maken. Dan zul je toch ook echt zelf externe onafhankelijke audits moeten laten doen bij de dienstverlener, en jezelf domweg verzekeren voor zover dat kan.
Schuld tussen partijen onderling is dus heel erg afhankelijk van wat je onderling hebt afgesproken. Ben je geen partij, zoals bij een datalek? Dan is er ook geen sprake van schuld. En dus ook geen sprake van schade. En kom je alleen uit bij de AVG.
Euh nee.

Hoezo ben ik geen partij bij een datalek, hoe kom je daar nu weer bij? Daarnaast is het onderscheid tussen nalatigheid en grove nalatigheid in contracten al decennia lang de normaalste zaak ter wereld, vervolgschade ontstaan door eenvoudige nalatigheid is vaak contractueel uitgesloten, maar grove nalatigheid is contractueel niet uit te sluiten omdat dit om sterk verwijtbare handelingen gaat.

Waarom spring je zo van de hak op de tak en loop je zo te zoeken naar van alles om maar gelijk te krijgen?

De vraag was heel simpel:

Waarom zou een claim voor vervolgschade ontstaan uit het lekken van data waarbij er sprake is geweest van grove nalatigheid door een rechter worden afgewezen?

Uit niets wat jij hebt aangedragen blijkt dat dit zo zou zijn en het wetboek is zeer duidelijk, schade ontstaan uit verwijtbare handelingen kan door de schadelijdende partij worden geclaimd bij de schade veroorzakende partij.
Ik heb je genoeg bronnen gegeven en rechtszaken erbij gehaald die op jouw stelling en dit artikel van toepassing zijn. Dat die uitkomst jouw niet bevalt, is jammer. Door je stelling weer te herhalen word het niet anders.

Uit ervaring met aanbestedingsrecht, en daarover bij rechtszaken betrokken te zijn geweest, met multinationals weet ik wel aardig wat wel en niet daadwerkelijk door rechters geoordeeld word qua schade.

Grove nalatigheid is maar in een paar wetten opgenomen, geen enkele is hier van toepassing bij een datalek. Wederom: als je andere bronnen hebt, dan zie ik die graag.

Je hebt nog geen enkele bron gegeven die jouw bewering onderbouwd. Een rechter oordeelt niet over grove nalatigheid bij datalekken, want dat is überhaupt niet van toepassing. Er wordt alleen over schuld en schade gesproken. Maar dan val ik in herhaling. Je kunt de rechtszaken doorlezen. En wederom: heb je een rechtszaak die het over een datalek heeft en de rechter grove nalatigheid bewezen vind? Dan lees ik die graag. Je kunt gewoon op rechtspraak.nl zoeken, ik wacht wel.
Grove nalatigheid zoals genoemd in spreektaal en contracten, ik heb je ook al eerder gezegd dat ik grove nalatigheid gebruik om alle twijfel omtrent de vorm van nalatigheid weg te nemen. Dat jij blijft hameren op "ja maar staat niet zo in de wet" is jouw probleem.

Je komt met een rechtszaak aanzetten die op geen enkele manier relevant is.

Je komt nergens met een bron die aangeeft dat schade ontstaan uit nalatigheid is bewezen maar niet wordt vergoed.

Ik ben d'r wel klaar mee, en wat jij daarvan vindt boeit mij niet, deze discussie gaat helemaal nergens over.
Gelukkig, zijn we het in ieder geval ergens over eens!
Er zitten meer risico's aan dan je denkt. Ik zie in de praktijk vaak dat privé apparaten die zakelijk gebruikt worden (of andersom) gekoppeld zijn aan persoonlijke accounts zoals iCloud en Gdrive. Deze diensten back-uppen de gegevens naar hun eigen cloud. Zo lekt jouw klantdata vaak naar andere locaties waar je in eerste instantie niet aan denkt, vaak ook nog eens buiten Europa waar andere regels gelden.

Je kunt zakelijk en privé ook op één apparaat scheiden, bijvoorbeeld door te werken onder twee verschillende account, het gebruik van een virtuele machine, werken in een virtuele werkplek of bootcamp / dualboot.
Wat is er mis mee om een computer ook privé te gebruiken? Zolang je niets illegaals of risicovols doet is hier toch niets mis mee... Ik weet niet anders dan dat je een zakelijk toestel (zowel mobiel als laptop) gewoon privé mag gebruiken zonder al te veel restricties.

En dat leidt natuurlijk tot het punt dat je zelf software mag/kan installeren.

Erg makkelijk om, zonder verdere context, over te vallen, imo.
Wat is er mis mee om een computer ook privé te gebruiken?
Risicomanagement.

Hoeft niet per se door het bekijken van porno te zijn of het klikken op een foute link, maar kan ook iets anders zijn zoals een berichtengroep (WhatsApp) waarin iemand iets stuurt wat je eigenlijk niet wil ontvangen en dingen doet die je niet wil.

Ook al is het niet meer dan een schuine afbeelding die per ongeluk in je Finder (macOS) of een overzicht in Explorer te zien is tijdens je professionele taken. Het risico dat je zulke dingen net tevoorschijn tovert bij een klant wil je gewoon niet lopen.

Daarnaast is privegebruik vaak "gemakkelijk gebruik", wat nog sneller voor situaties kan zorgen die NSFW zijn. Nogmaals; niet het ergste, maar als je professioneel wil overkomen dan houd je het gescheiden.
Allereerst denk ik niet dat de sporadische NSFW-afbeelding in deze context het probleem is. Daarnaast is privégebruik verbieden ook niet volledig risicovrij beleid. Even snel iets doen terwijl je werk-pc uitstaat? Dan doen we het toch wel via de privé-omgeving...welke mogelijk vol torrents staat, zonder degelijke anti-malware suite, ontbrekende full-disk versluiteling etc etc..

Zelf mag ik mijn zakelijke Macbook ook vrijelijk privé gebruiken, mits er geen illegale of andere onethische handelingen worden verricht. Met twee aparte accounts voor respectievelijk zakelijk en privé-gebruik zie ik geen problemen eerlijk gezegd. Ik moet wel toegeven dat ik niets schunnigs doe. Alleen officiële apps gebruik en verder vrij basale dingen doe, als privégebruik.

[Reactie gewijzigd door eric.1 op 22 juli 2024 15:00]

Het is een afweging maar veel zzp'ers zullen weinig kennis hebben van beveiliging en besturingssystemen.

Als IT'er kan ik mijn werklaptop privé gebruiken maar doe het gewoon niet om gedoe te voorkomen. Het geeft me peace of mind en als bonus kom ik privé niet in aanraking met het zakelijke.
Tja is kwestie van wachten op het volgende dat alle grote bedrijven goed zijn beschermt omdat verzekering dat vereist en dan komen de mkb en de zzpers ruimschoots aan de beurt want dat zijn dan de aantrekkelijke doelwitten.
Denk dat zzp'er niet de grote cashcow zijn. Juist de grote bedrijven en organisaties zijn bereid te betalen. Een zzp'er zal al snel een nieuwe laptop kopen en z'n facturen even opnieuw invoeren, die gaat lang niet zo snel betalen.
Vele kleintjes maken 1 grote, en hoe geautomatiseerder het proces is voor een criminele organisatie hoe interessanter het wordt om een breed sleepnet uit te gooien.

En een ZZP'er die alleen uren factureert tsja die ramp is niet zo groot als het plat gaat vaak weet je dat wel en anders mis je een paar uurtjes, maar een loodgieter zit ook met alle gebruikte materialen en bij de wat grotere klussen moet die ook weten wat er wel of nog niet gefactureerd is. En ook voor de belastingaangifte is zijn data onmisbaar. Als je dan voor bijvoorbeeld 2.500,- al je data per onmiddellijk terug kunt krijgen is dat wel heel verleidelijk want het scheelt gewoon enorm veel tijd.
Dat heeft wellicht te maken met dat 64 procent van de ondervraagde mkb'ers gebruikmaakt van een ict-dienstverlener. Mogelijk voeren die veel maatregelen door, zonder dat de klant daar weet van heeft.
Het werkt juist andersom. De meesten verwachten meer van hun dienstverlener dan die daadwerkelijk levert. Goede IT is duurder dan de meesten willen betalen. De meeste bedrijven (niet allleen in de IT) zullen niet snel meer leveren dan is afgesproken.

Ik denk dat er ook een flinke groep is die in dit onderzoek heeft gezegd dat ze het goed voor elkaar hebben in de veronderstelling dat hun dienstverlener er wel voor zorgt (bv backups) terwijl dat niet is wat ze hebben afgesproken.
9 op de 10 mensen verwachten van Microsoft ook dat ze netjes backups geregeld hebben terwijl Microsoft hier redelijk duidelijk over is dat dit je eigen verantwoordelijkheid is.
Hier al 10 jaar zzp’er in webdevelopment. Besef me nu dat ik in al die jaren nog nooit ben uitgenodigd voor deelname aan een enquête. Wel heb ik bij KVK gemeld dat in geen reclame/acquisitie wil (weet even niet hoe ze dat daar benoemen).


Een vraag die bij mij opkomt is dan ook: Hoe worden deze bedrijven dan benaderd?
En: Ikzelf zal niet snel op zoiets reageren, hoe zien andere zelfstandigen dit?

Ik voel namelijk geen morele verplichting om op zoiets in te gaan.
Wel voel ik die verplichting om gewoon de zaken op orde te hebben en daar elke dag met een safety/security-first mindset aan te werken
Sowieso zou ik nergens op in gaan, waar er gevraagd wordt naar de gebruikte ICT, zowel hardware als software. Je moet wel heel zeker zijn dat de vragende partij geen minder goede bedoelingen heeft met de geleverde data.

Ben ergens 15 jaar geleden wel eens telefonisch benaderd door iemand van Microsoft. De vraag was welke en hoeveel NT-servers we hadden staan. Mijn eerste antwoord: Dat soort gegevens geef ik niet uit over de telefoon. Ja, maar wij hebben die gegevens wel, maar willen die controleren. Ik: Hoe ga ik controleren dat u daadwerkelijk belt uit functie van Microsoft en niet een hacker bent die erop uit is om erachter te komen wat voor server OS wij hebben draaien? Daarna was het even stil, en kreeg ik het antwoord dat ze dit daadwerkelijk niet kon bevestigen over de telefoon en dat ik de eerste was die hier over nadacht. Daarna heb ik haar aangegeven dat ze een eventuele controle per post kon sturen en dat ik er dan over na zou denken om daar op te reageren. Nooit meer iets van gehoord natuurlijk, maar het laat ook weer zien hoe makkelijk beheerders data over de telefoon uitleveren aan iemand waarvan je niet zeker weet of die daadwerkelijk is wie ze pretenderen te zijn. Qua ICT vertrouw ik niemand die data van mij wil. Of dat nu voor contracten, licenties, enquêtes of wat dan ook is. Alleen als dat via een officiële weg gaat, dan check ik het nogmaals goed voordat ik antwoord geef. En dan nog is het geen garantie dat het veel helpt, maar je moet onbevoegden niet wijzer maken dan ze zijn.
Dit is gewoon standaard statistiek. Zoek voldoende respondenten verspreid in relevante sectoren en je zit safe.
Ik heb wel eens meegedaan aan enquete's. Die komen vaak per brief, en als je dan één keer hebt meegedaan blijven ze je vaak vragen (wel heel netjes trouwens, niet spammerig).

Dat ik een keer zo'n uitnodiging heb gehad was toeval, ze pikken gewoon willekeurig een aantal bedrijven uit de kvk lijst. Of het komt vanuit een brancheorganisatie. Of ze staan op een beurs.
Op sommige onderdelen scoren ondernemers over het algemeen wel goed. Zo heeft 83 procent van de ondervraagden antivirussoftware geïnstalleerd en nog eens 85 procent zegt phishingmails goed te herkennen
Nu ben ik ook benieuwd of de mensen die dat stellen ook in de praktijk een phishingmail herkennen en de antivirussoftware niet volgepropt hebben met uitzonderingen.
Wat ik daaruit haalde was dat zo'n 17% de virusscanner uitzet, want laten we wel wezen, bijna alles draait Windows, wat standaard met Defender komt, toch?
Maar ik denk dat anderen hier ook wel op andere punten hebben aangegeven dat de vragen en antwoorden met een flinke klont zout genomen kunnen worden. De antwoorden worden immers ook gegeven door dezelfde mensen die er mee werken en die willen "een goed gevoel", maar of ze er verstand van hebben?
Ik verwacht dat die 83% een 3rd party scanner heeft geinstalleerd omdat die niet eens weten dat ze er al een hebben.
Dus ja, ook deze statistiek lijkt me nergens op slaan. Dus 17% heeft de standaard windows scanner, maar is die wel actief (real-time) en hoeveel zal er niet in de uitzonderingen staan? Worden de definities geupdate? Allemaal niet relevant: ik heb een virusscanner dus ik zit veilig. Er worden geen audits gedaan door een derde partij, geen pentests, het is een vage vraag die beantwoordt wordt door een persoon die er zelf niet zijn dagtaak van heeft gemaakt om zich met IT beveiliging bezig te houden. Ignorance is a bliss.
Op basis van enquêtes onderzoek doen naar dit soort dingen is dan ook vrij onbetrouwbaar. Maar zie eens een grote representatieve steekproef te krijgen met andere methodes.

Als ik zzp’er was en er een ‘EZK-onderzoeker’ voor de deur staat om mijn computer te checken zou ik ook wantrouwig worden.

[Reactie gewijzigd door field33P op 22 juli 2024 15:00]

Je kunt op de site van de DTC wat van die vragen doorlopen, dan krijg je een beeld van de vragen die ze stellen. Onder Tools, en dan Test je kennis.
Ik zou wel eens een opsplitsing in branche willen zien. Een bakker, kapper, hypotheekadviseur, software ontwikkel bedrijfje..

Op dit item kan niet meer gereageerd worden.