» Je leest een artikel op PZO: Het zelfstandigen platform van Nederland

15 apr 2024

Moet beveiligen ook van de wet?

Het korte antwoord is: Ja.

Ook als zelfstandig ondernemer moet je zorgen voor passende beveiliging binnen je onderneming.

Er komt steeds meer wetgeving die van elke ondernemer eist dat hij iets aan digitale beveiliging doet.

Een voorbeeld is de AVG, die eist dat je “passende technische en organisatorische maatregelen” neemt ter beveiliging van de persoonsgegevens die je onder je hebt. Maar het is simpelweg ook verstandig.

 

Speciaal voor zelfstandig ondernemers heeft PZO met het Digital Trust Center drie (3) interactieve video’s ontwikkeld met belangrijkste tips voor je digitale beveiliging. Neem dus in ieder geval de maatregelen die in de video’s worden uitgelegd.

BEKIJK HIER DE VIDEO'S:

  1.  Sterke wachtwoorden
  2. Back-ups maken
  3. Doe je updates

 

Op wie is de CER en NIS2 van toepassing?

We kregen ook vragen of je als ZZP-er aan de NIS2-richtlijn (Network and Information Security directive) moet voldoen. Tegelijkertijd wordt de zogenaamde CER-richtlijn (Critical Entities Resilience directive) in Nederland geïmplementeerd. Deze Europese wetten worden binnenkort ingevoerd in Nederland. Die zullen echter slechts bij hoge uitzondering relevant zijn voor zelfstandigen.

De CER is alleen van toepassing op kritieke entiteiten die door de overheid expliciet worden aangewezen als vitale aanbieder.

De NIS2-richtlijn is van toepassing op grote en middelgrote organisaties in bepaalde sectoren die als ‘essentieel’ of ‘belangrijk’ zijn aangewezen. Micro en kleine organisaties van minder dan 50 werknemers of minder dan 10 mln omzet per jaar vallen daar niet onder, tenzij ze heel specifiek door de overheid alsnog worden aangewezen. Onze Nederlandse domeinnaamregistratieclub, de SIDN, is zo’n uitzondering. Dergelijke organisaties worden rechtstreekst geïnformeerd door het ministerie. Alle organisaties die onder de NIS2-richtlijn zullen vallen, worden ingedeeld in ‘essentieel’ of ‘belangrijk’ en krijgen met toezicht te maken.

Aan welke regels moeten die organisaties voldoen?

Organisaties die onder de CER-richtlijn vallen, moeten fysieke maatregelen nemen om de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen te beperken.

Organisaties die onder de NIS2-richtlijn vallen, moeten voldoen aan een zorgplicht en een meldplicht. De zorgplicht houdt in dat zij zich aan een lijst van (beveiligings-)maatregelen moet houden. De organisatie moet zelf een risicobeoordeling doen en op basis daarvan passende maatregelen nemen om de diensten te kunnen waarborgen. Daarnaast komt er een meldplichtdie voorschrijft dat je incidenten binnen 24 uur moet melden bij de toezichthouder.

Wanneer kan een zelfstandige toch met de NIS2 te maken krijgen?

NIS2-organisaties moeten de beveiligingsrisico’s van hun essentiële toeleveringsketens en leveranciersrelaties doorlichten. Dit geldt voor toeleveranciers die zo essentieel zijn dat een fout ervoor kan zorgen dat de dienstverlening van de hoofdorganisatie stil komt te liggen. Organisaties mogen middels audits bij hun essentiële toeleveranciers gaan testen of die voldoende veiligheidsmaatregelen hebben geïmplementeerd om te voorkomen dat de essentiële dienst kan omvallen. Als toeleveranciers bepaalde certificeringen hebben, kunnen audits eventueel achterwege blijven. De kans dat een zelfstandige in zijn eentje zo’n essentiële dienst verleent lijkt mij klein.

Het kan wel dat een NIS2-bedrijf uit voorzorg al zijn toeleveranciers vragenlijsten gaat toesturen over hun beveiliging, of ineens certificeringen gaat eisen. Ga in dat geval het gesprek aan met je opdrachtgever. De kans is groot dat het nogal disproportioneel is om van jou te eisen die vragen te beantwoorden of certificeringen te behalen.

 

Het kan iedereen overkomen…

Het is mij overkomen. Laptop gestolen. En helaas, de laatste back up was toch wat langer geleden dan ik dacht. Niet alleen is het vreselijk veel geregel (aangifte doen, nieuwe laptop installeren, als een haas al je wachtwoorden aanpassen voor de zekerheid). Maar ook mijn uren factureren was ineens lastig en al mijn werk in de pijplijn was ik ook kwijt. Sindsdien heb ik een wachtwoordmanager, gebeuren mijn back ups automatisch en klik ik altijd meteen op "Ja" als mijn apparaat een update wil doen.

Mijn advies: wacht niet tot jou kalf verdronken is, maar demp die digitale put vandaag nog.

Sylvia Huydecoper
Directeur PZO

Coronasteun niet oneerlijk verdeeld
20jan 2024
Coronasteun niet oneerlijk verdeeld
De rechtbank Den Haag heeft op 17 januari 2024 uitspraak gedaan in een...
Sylvia Huydecoper, nieuwe directeur PZO
1feb 2024
Sylvia Huydecoper, nieuwe directeur PZO
Op 1 januari 2024 is Sylvia Huydecoper begonnen als directeur van PZO....
Pensioen opbouwen voor zelfstandigen wordt makkelijker!
6apr 2024
Pensioen opbouwen voor zelfstandigen wordt makkelijker!
Keer op keer blijkt uit onderzoek dat zelfstandigen te vaak geen pensi...
X