Ze waren elkaars belangrijkste concurrent bij verschillende advocatenkantoren, maar sinds kort werken Rosalie Brand en Erik Jonkman zij aan zij bij Kennedy Van der Laan in wat in één klap de grootste juridische cybersecuritypraktijk van Nederland is geworden. Dag en nacht staan zij met hun team cliënten bij in het omgaan met cyberrisico’s en -incidenten, van datalekken en gijzelsoftware tot factuurfraude. Zo wil het advocatenduo organisaties helpen om juridisch weerbaar te zijn in een dreigingslandschap dat zich voortdurend ontwikkelt.
Cybersecurity vereist ook in 2025 onverminderd aandacht van General Counsel. Want volgens Brand nemen de ontwikkelingen in cyberland ook dit jaar weer een vlucht. “Criminelen veranderen continu van tactiek, daar moet je als organisatie constant alert op zijn. Onder invloed van AI gaat dat zeker niet minder worden. Ook de wetgever zit niet stil. Er komen steeds meer en strengere eisen voor organisaties om hun cyberrisico’s onder controle te houden. Cybersecurity komt daarmee in belangrijke mate ook op het bordje van de General Counsel terecht.”
Diverse onderzoeken laten zien dat organisaties het omgaan met cyber dreigingen zien als een van hun grootste uitdagingen. “Logisch”, aldus Jonkman. “Veel organisaties zijn inmiddels dermate gedigitaliseerd, dat een verstoring van IT-systemen een directe bedreiging vormt voor de bedrijfsvoering. Het is dan ook een hardnekkig misverstand dat cybercriminelen alleen geïnteresseerd zijn in grote bedrijven met veel data. We staan dagelijks de meest uiteenlopende organisaties bij in vrijwel alle sectoren.”
In de cyber incidenten die zij zien – het Amsterdamse advocatenkantoor heeft voortdurend ongeveer tien zaken lopen – blijkt volgens Brand dat in te veel gevallen de basishygiëne niet op orde is. “Een cyberaanval begint negen van de tien keer op dezelfde manier: criminelen maken gebruik van een kwetsbaarheid, een slecht wachtwoord of een phishing-bericht. Eenmaal binnen ontbreekt het bij veel partijen aan effectieve middelen om de aanval nog te stoppen.” Wel ziet Brand dat steeds meer bedrijven hun back-ups beter geregeld hebben. “Maar wie zijn basis niet op orde heeft, komt toch aan de beurt. Cybercriminelen vinden nog steeds genoeg laaghangend fruit.”
Wetgeving in stroomversnelling
Ongeacht de mate van voorbereiding zullen veel General Counsel dit jaar een aantal stappen moeten nemen om cyberveiligheid te verbeteren en zich voor te bereiden op de nieuwe zogeheten Cyberbeveiligingswet. Deze wet is de Nederlandse implementatie van de Europese NIS2-richtlijn en gaat naar verwachting in het derde kwartaal van dit jaar in.
“Naar schatting moeten in Nederland zo’n 8.000 organisaties aan de nieuwe eisen gaan voldoen, van afvalverwerkers tot drinkwaterbedrijven, maar bijvoorbeeld ook bepaalde IT-dienstverleners en een aantal bedrijven in de maakindustrie en logistiek”, zegt Jonkman. “Er geldt een zorgplicht om cyberrisico’s te beheersen. Bovendien moeten organisaties in de gaten houden dat ook in hun toeleveringsketen de boel op orde is.”
Brand: “Onder de Cyberbeveiligingswet komen een aantal belangrijke zaken op organisaties af. Eén daarvan is dat incidenten binnen 24 uur moeten worden gemeld bij de toezichthouder. Dat is wezenlijk anders dan wat we gewend zijn onder de meldplicht datalekken zoals we die kennen uit de Algemene Verordening Gegevensbescherming (AVG). Die termijn is tijdens een incident zo voorbij en je focus ligt op dat moment al snel ergens anders. Om dit te kunnen realiseren moet je als organisatie dus voorbereid zijn.”
Jonkman: “Dat is precies wat we willen benadrukken: voorkom dat je onnodig wordt verrast als een incident zich eenmaal voordoet. Het klinkt misschien gek, maar het verloop van de meeste cyberincidenten is kinderlijk voorspelbaar. Het voordeel hiervan is dat je vandaag nog kunt beginnen met het schetsen van scenario’s, bijvoorbeeld als basis voor een simulatie. Je herkent als externe adviseur bij de intake van een incident direct of een getroffen organisatie dat soort simulaties heeft gedaan of kan putten uit eerdere ervaring met een cyberincident. Er heerst dan veel meer rust in de tent en het herstel verloopt vlotter. Dat scheelt onder de streep een hoop geld.”
“Onderschat daarbij ook niet de rol van de General Counsel”, voegt Brand toe. “Ook bij ondersteuning door gespecialiseerde advocaten is de General Counsel essentieel. Wij kennen de incidenten, maar de General Counsel kent de organisatie. Die combinatie werkt extreem goed om risico’s in een incident te mitigeren.”
Jonkman vervolgt: “Daarbij wil je niet op het moment dat je organisatie platligt onnodig tijd verliezen met een zoektocht naar externe ondersteuning. Ook hier geldt: regel op voorhand op welke experts je een beroep wil doen, zodat je ze naadloos kunt invliegen. Als er íets is dat je wil vermijden bij een incident, is het wel dat je in een wachtrij belandt.”
AP steeds actiever betrokken
Sinds eind vorig jaar ziet Kennedy Van der Laan een verhoogde activiteit van de Autoriteit Persoonsgegevens (AP) op het gebied van datalekken. “De indruk dat de AP ‘niets doet’ met een melding die bij sommige partijen leeft is onterecht. We zien dat de AP steeds meer opvolging geeft aan incidenten en zich in bredere zin mengt in het cyberspeelveld. Als jouw incident in het nieuws komt kun je er nagenoeg zeker van zijn dat contact met de AP een rol gaat spelen in stakeholdermanagement”, aldus Brand.
Dat betekent dat je als bedrijf dus moet nadenken over hoe je bij een cyberincident met vele interne en externe stakeholders omgaat. Brand: “Uit ervaring weten we ongeveer wat en wie op een organisatie kunnen afkomen bij een incident. Bij high-profile zaken hanteren we daarom een roadmap, waarbij we voorbereid zijn op het proactief betrekken van bepaalde publieke en private partijen als dit het cliëntbelang dient. Omdat wij zulke partijen al jaren tegenkomen in het veld hebben we een basis van vertrouwen en korte lijntjes. Dit komt een goede afwikkeling van een incident zeker ten goede.”
“We merken in onze praktijk hoe stakeholdermanagement met de dag belangrijker wordt, waarschijnlijk omdat de maatschappij zich steeds bewuster wordt van de negatieve gevolgen van een cyberincident”, aldus Jonkman. “Klanten, werknemers en aandeelhouders laten zich niet langer met een kluitje het riet insturen en eisen veel meer tekst en uitleg dan voorheen. Belanghebbenden willen er uiteindelijk op kunnen vertrouwen dat je hun belangen serieus neemt en dat je laat zien dat je voldoende in control bent, wat er ook gebeurt. Een terechte verwachting wat ons betreft.”
