Cybersecurity is ook een juridisch risico

Het is onvermijdelijk dat advocaten en andere juridische professionals te maken krijgen met cybervraagstukken. Daar kan je dus maar beter op zijn voorbereid, zegt Christian Prickaerts, Director Managed Services bij Fox-IT en docent van de training Cybersecurity voor juristen.

“Gezien de actuele maatschappelijke en technologische ontwikkelingen is het eigenlijk logisch dat ook advocaten en andere juridische professionals met cybersecurity te maken krijgen”, vertelt Christian Prickaerts, die zich als Director Managed Service bij Fox-IT dagelijks bezighoudt met cybersecurity. “Steeds meer bedrijven worden geconfronteerd met de gevolgen van een cyberincident, worden door klanten of toezichthouders aangespoord om extra informatiebeveiliging te implementeren, of komen uit eigen beweging in actie om preventieve maatregelen te nemen. In veel gevallen is daarbij een juridische uitwerking nodig. Denk aan de juridische afhandeling van incidenten, of contractuele afspraken met leveranciers over de beveiliging van data en systemen.”

Juridische professionals staan daarom in toenemende mate voor de uitdaging om cybervraagstukken te doorgronden, zegt Prickaerts, die al ruim twintig jaar is gespecialiseerd in cybersecurity en als trainer bij Fox-IT en docent van de Outvie-training Cybersecurity voor juristen regelmatig lesgeeft aan juristen. “Juristen hebben alle kennis nodig die relevant is voor hun organisatie. Een legal counsel wil alle risico’s goed beoordelen om tot de juiste oplossing te komen. Daar hoort dus ook kennis over cyberrisico’s bij. Hoe ga je om met datalekken? Waar moet je op letten bij het afsluiten van een contract met een cloudprovider? Wat kan je verwachten van een leverancier van cybersecurity-diensten? Hoe werken ethische hackers?”

Vragen stellen en antwoorden beoordelen

Juristen moeten ervoor oppassen om op afstand te worden gehouden van cybersecurityvraagstukken, waarschuwt Prickaerts. “Als een leverancier zegt dat zijn data en systemen voldoende zijn beschermd omdat er wordt gewerkt volgens de ISO-normering, dan krijg je misschien niet goed zicht op de reële risico’s. Is er daadwerkelijk gedaan wat er moest worden gedaan?”

Stel kritische vragen, en weet de antwoorden op de juiste waarde te schatten, adviseert Prickaerts. Dat betekent niet dat juristen diepgaande technische expertise nodig hebben. “Het helpt wel om affiniteit met techniek te hebben en de basisbeginselen van cybersecurity te kennen. Wat is informatiebeveiliging precies, wat zijn de pijlers van cybersecurity en wat betekenen veelgebruikte vaktermen? Als je dat begrijpt, dan kan je bij elk vraagstuk een betrouwbare keuze maken: ga ik deze zaak zelf oppakken, of haak ik inhoudelijke experts aan?”

Prickaerts noemt het voorbeeld van encryptie. “Je kunt informatie versleutelen die in een systeem staat opgeslagen, maar ook als de data wordt getransporteerd. Of allebei. Als een leverancier of collega spreekt over versleuteling van vertrouwelijke gegevens, is het dus de vraag waar het precies over gaat. Zijn de beschreven maatregelen dan wel de juiste?”

Juridische interpretatie

Het is vooral belangrijk dat juristen leren denken vanuit een risico-gebaseerde aanpak en een gevoel krijgen bij de meest voorkomende maatregelen om risico’s tegen te gaan, vindt Prickaerts. “Het is ook goed om globaal te begrijpen wat normenkaders zoals van ISO en NEN inhouden. Dan kan je inschatten wat de naleving daarvan voor de organisatie betekent. Een jurist hoeft natuurlijk geen auditor te zijn, maar moet wel de reikwijdte en implicaties van zelfregulering kunnen nagaan.”

In de training Cybersecurity voor juristen geven Prickaerts en mede-docent Peter van Schelven, adviseur bij ICT & Recht bij Bij Peter – Wet & Recht en docent van onder meer de Leergang IT-jurist, deelnemers dan ook het laatste nieuws mee over de relevante wet- en regelgeving en jurisprudentie. Daarbij komen naast de technische en organisatorische achtergronden ook real-life cases en jurisprudentie uit spraakmakende zaken aan bod.

“Juristen komen sinds de komst van de Algemene verordening gegevensbescherming (AVG) steeds meer in aanraking met cybersecurity. Bijvoorbeeld als het gaat om het opstellen van verwerkersovereenkomsten en de omgang met datalekken”, signaleert Prickaerts. “Ik zie ook dat juristen steeds vaker de vraag gesteld krijgen: doen we wel voldoende? De wet- en regelgeving stelt eisen en de toezichthouder geeft adviezen, maar voor de interpretatie van de wetten, de jurisprudentie en het handelen van de toezichthouder wordt al snel naar juristen gekeken. Dat gebeurt soms voorafgaand aan de introductie van bijvoorbeeld nieuwe projecten en systemen, maar soms ook na afloop van een incident. Met de opmars van cyberverzekeringen zal dit naar verwachting alleen nog maar vaker gebeuren.”