Met digitale veiligheid is het slecht gesteld in het Nederlandse bedrijfsleven. Veel organisaties werken met onvoldoende beveiligde systemen en produceren producten die niet goed genoeg zijn beschermd tegen hacken. Dat stelt de Cyber Security Raad (CSR).
Fabrikanten van digitale producten hebben te weinig aandacht voor de beveiliging van die producten en daar wordt de gebruiker de dupe van. Bovendien hebben veel organisaties hun eigen digitale bescherming niet voldoende op orde, waardoor persoonsgegevens van klanten of werknemers op straat komen te liggen bij cyberaanvallen, hacks en digitale lekken. De CSR adviseert het kabinet om de verschillende wetten van Europese lidstaten wat betreft digitale veiligheid op elkaar af te stemmen en initiatief te nemen om met de branche in discussie te gaan over zelfregulering wat betreft de ‘zorgplichten’ rond digitale veiligheid.
Organisaties in Nederland hebben nu al de plicht om in specifieke gevallen een datalek te melden (tool) bij het College Bescherming Persoonsgegevens (CBP). De werkgever moet personen die mogelijk schade zullen ondervinden van het datalek, op de hoogte stellen. Er is sprake van een datalek als door een organisatie verzamelde persoonsgegevens, zoals e-mailadressen, wachtwoorden of rekeningnummers, ongewenst toegankelijk of te wijzigen zijn door externen. Een werkgever kan een datalek voorkomen door een risicoanalyse (tool) uit te voeren op het soort verzamelde gegevens.
Een datalek kan leiden tot imagoschade en tot een boete, die kan oplopen tot € 810.000 of 10% van de jaaromzet van de organisatie. Een goede beveiliging (tool) is onmisbaar; niet alleen om de boete te voorkomen, maar ook om de privacy van werknemers en klanten te garanderen. Als een bestuurder besluit om de gegevens van werknemers op een andere manier dan tot nu toe te verwerken of te beschermen, moet hij op basis van artikel 27, lid 1k van de Wet op de ondernemingsraden instemming vragen aan de ondernemingsraad. De OR kan op basis van zijn initiatiefrecht (tool) digitale veiligheid op de agenda zetten en de bestuurder erop wijzen dat niet alleen het netwerk, maar ook de apparatuur binnen de organisatie goed moet zijn beveiligd.