De rol van toezichthouders bij het waarborgen van cybersecurity
Achtergrond
In het afgelopen decennium heeft de digitale transformatie van de samenleving geleid tot een exponentiële toename van cyberdreigingen. Organisaties, waaronder goede doelen, worden geconfronteerd met een breed spectrum aan risico's, variërend van geavanceerde persistent threats (APT's) uitgevoerd door statelijke actoren tot opportunistische ransomware-aanvallen door cybercriminelen. Andere prominente dreigingen omvatten phishing-campagnes gericht op het stelen van gevoelige gegevens, distributed denial-of-service (DDoS) aanvallen die dienstverlening verstoren, en insider threats door malafide medewerkers of onbedoelde menselijke fouten. De toenemende sophisticatie van deze dreigingen, gecombineerd met de groeiende afhankelijkheid van digitale systemen, maakt cybersecurity tot een kritieke prioriteit voor alle organisaties, met name voor goede doelen die vaak werken met gevoelige informatie en beperkte middelen.
In een wereld waarin digitale dreigingen steeds complexer en frequenter worden, speelt cybersecurity een cruciale rol in de bescherming van organisaties, waaronder goede doelen. Toezichthouders hebben hierbij een essentiële functie in het waarborgen van adequate beveiliging. Dit artikel belicht de rol van toezichthouders bij het verzekeren van cybersecurity, met specifieke aandacht voor de context van goede doelen.
Wettelijke verplichtingen
Toezichthouders opereren binnen een kader van wettelijke verplichtingen die organisaties moeten naleven. Voor goede doelen zijn enkele relevante wetten en regelgevingen:
1. Algemene Verordening Gegevensbescherming (AVG): Deze EU-brede wetgeving verplicht organisaties om persoonsgegevens adequaat te beschermen. Toezichthouders moeten erop toezien dat goede doelen:
Een register van verwerkingsactiviteiten bijhouden
Data Protection Impact Assessments (DPIA's) uitvoeren voor risicovolle verwerkingen
Adequaat reageren op datalekken en deze tijdig melden
2. Wet beveiliging netwerk- en informatiesystemen (Wbni): Hoewel primair gericht op vitale sectoren, kunnen grotere goede doelen onder deze wet vallen als ze cruciale diensten leveren. Toezichthouders controleren of deze organisaties:
Passende technische en organisatorische maatregelen nemen
Incidenten met aanzienlijke gevolgen melden aan het NCSC
3. Telecommunicatiewet: Voor goede doelen die elektronische communicatiediensten aanbieden, zoals apps of online platforms, houden toezichthouders toezicht op:
De implementatie van passende beveiligingsmaatregelen
Het informeren van gebruikers over specifieke risico's
Gedragscomponenten
Naast het controleren van wettelijke verplichtingen, richten toezichthouders zich ook op gedragsaspecten binnen organisaties:
1. Bewustwording: Toezichthouders stimuleren een cultuur van cybersecurity-bewustzijn. Bij goede doelen kan dit zich uiten in:
Het organiseren van regelmatige trainingen voor medewerkers en vrijwilligers
Het uitvoeren van phishing-simulaties om waakzaamheid te testen
Voorbeeld: Een toezichthouder adviseert een goed doel dat zich richt op kinderbescherming om maandelijkse bewustwordingssessies te houden over het veilig omgaan met gevoelige informatie.
2. Governance: Toezichthouders beoordelen de cybersecurity-governance structuur:
Is er een duidelijke verantwoordelijkheidsverdeling?
Wordt cybersecurity regelmatig besproken op bestuursniveau?
Is er een actueel beleid en wordt dit aangepast aan nieuwe inzichten en vernieuwde wetgeving?
Zijn alle elementen van Informatiebeveiliging & Privacy beschreven (Mens, Organisatie & Techniek)
Voorbeeld: Bij een internationale hulporganisatie controleert de toezichthouder of er een Chief Information Security Officer (CISO) is aangesteld die direct rapporteert aan het bestuur.
3. Risicomanagement: Toezichthouders evalueren hoe goede doelen omgaan met cybersecurity-risico's:
Worden er regelmatig risicoanalyses uitgevoerd?
Is er een incident response plan met daarin duidelijk beschreven verantwoordelijkheden en rollen?
Voorbeeld: Een toezichthouder adviseert een goed doel dat werkt met gevoelige medische gegevens om tweejaarlijks een uitgebreide cybersecurity-risicoanalyse uit te voeren.
4. Leveranciersmanagement: Veel goede doelen werken met externe IT-leveranciers. Toezichthouders beoordelen:
Of er adequate security-eisen worden gesteld aan leveranciers (Zijn er bijvoorbeeld afspraken over cyber security opgenomen in de SLA)
Of er regelmatige audits plaatsvinden
Voorbeeld: Bij een goed doel dat gebruik maakt van een extern CRM-systeem, controleert de toezichthouder of er een Data Processing Agreement is opgesteld die voldoet aan de AVG-eisen.
Specifieke uitdagingen voor goede doelen
Goede doelen kennen unieke uitdagingen op het gebied van cybersecurity waar toezichthouders rekening mee moeten houden:
1. Beperkte middelen: Veel goede doelen hebben een beperkt budget voor IT en beveiliging. Toezichthouders moeten een balans vinden tussen het waarborgen van adequate beveiliging en het erkennen van deze financiële realiteit.
2. Gevoelige data: Goede doelen werken vaak met zeer gevoelige informatie, zoals medische gegevens of informatie over kwetsbare groepen. Toezichthouders leggen extra nadruk op de bescherming van deze data.
3. Internationaal opereren: Veel goede doelen zijn actief in meerdere landen, wat complexiteit toevoegt aan compliance en beveiliging. Toezichthouders moeten rekening houden met verschillende jurisdicties.
4. Vrijwilligerswerk: De inzet van vrijwilligers brengt extra risico's met zich mee op het gebied van toegangsbeheer en databeveiliging. Toezichthouders adviseren over passende maatregelen.
Conclusie
Toezichthouders spelen een cruciale rol bij het waarborgen van cybersecurity voor goede doelen. Door een combinatie van het controleren op naleving van wettelijke verplichtingen en het stimuleren van positief gedrag, dragen ze bij aan een veiligere digitale omgeving. Voor goede doelen is het essentieel om proactief samen te werken met toezichthouders, niet alleen om aan verplichtingen te voldoen, maar ook om de eigen weerbaarheid tegen cyberdreigingen te vergroten.
Nynke Runia, bestuurslid ITGD, nr@itgd.nl