Ja, u kunt op verschillende manieren worden opgelicht in de Cash App, waaronder geld-flippen, onbedoelde betalingen en phishing-berichten. Cash App-scams zijn gevaarlijk omdat er geld kan
Organisaties worden steeds vaker aansprakelijk gesteld voor inbreuken op werknemersgegevens. Werkgevers kunnen echter stappen nemen om de kans op en de impact van inbreuken te reduceren.
Elke organisatie die een elektronisch salaris- en uitkeringssysteem gebruikt, slaat gevoelige werknemersgegevens op en verwerkt deze. Dit geldt voor vrijwel elke organisatie die momenteel actief is. Er zijn veel risico’s verbonden aan een cyberaanval die de werknemersgegevens in gevaar brengt, zoals wettelijke aansprakelijkheid, bedrijfsonderbreking en reputatieschade.
Wat is de aansprakelijkheid van werkgevers?
De aansprakelijkheid van werkgevers is de wettelijke aansprakelijkheid van een organisatie om zich aan de wet- en regelgeving te houden. De aansprakelijkheid van werkgevers is meestal van toepassing op kwesties zoals salarissen, loonbelastingen, pesterijen en discriminatie.
Werknemers kunnen bijvoorbeeld hun werkgever aanklagen als de organisatie een onveilige of vijandige werkomgeving bevordert. Het bedrijf moet een schadevergoeding betalen als de rechtbank de werknemers in het gelijk stelt.
Wat is de aansprakelijkheid van werkgevers voor cybersecurity?
Als het gaat om cybersecurity, verplicht de aansprakelijkheid van werkgevers een organisatie ertoe om de persoonlijk identificeerbare informatie (PII) van werknemers te beschermen. Wat PII precies inhoudt, verschilt per rechtsgebied. Over het algemeen bestaat de PII van werknemers uit gegevens die door HR- en boekhoudteams worden beheerd.
Voorbeelden van gewone PII van werknemers zijn:
- Burgerservicenummers (BSN’s)
- Rijbewijzen
- Paspoorten
- Fiscale identificatienummers (FIN’s)
- Thuisadressen
- Persoonlijke financiële gegevens (zoals salaris of eigen vermogen), bankrekeningen en credit- of betaalkaarten
- Medische gegevens
- E-mailadressen en telefoonnummers
Toenemende aansprakelijkheid van werkgevers
De PII van werknemers is grotendeels gelijk aan de PII van klanten. Tot voor kort waren veel van de rechtszaken die tegen organisaties werden aangespannen na een datalek gericht op de openbaarmaking van klantgegevens.
Rechtszaken waarin werkgevers worden beschuldigd van nalatigheid, contractbreuk of oneerlijke zakelijke praktijken met hun werknemers, worden steeds vaker aangespannen en werkgevers krijgen het daardoor zwaar te verduren. Sinds het hooggerechtshof van Pennsylvania in de Verenigde Staten in november 2018 oordeelde dat werkgevers een gemeenschappelijke wettelijke verplichting hebben om de PII van werknemers te beschermen, hebben rechtbanken op elk overheidsniveau dit voorbeeld gevolgd.
Belangrijk hierbij is dat werkgevers aansprakelijk worden gesteld als er sprake is van een inbreuk op de werknemersgegevens, en dus niet de externe leveranciers.
In een rechtszaak die door een voormalige werknemer van een biofarmaceutisch bedrijf werd aangespannen, oordeelde het Amerikaanse hof van beroep dat als een datalek mogelijke schade aan een werkgever kon veroorzaken, de werkgever aansprakelijk is. Toen na een cyberaanval op de salarissoftware van het biofarmaceutische bedrijf gegevens waren gelekt, was de werkgever aansprakelijk voor de publicatie van de werknemersgegevens op het dark web, niet het softwarebedrijf.
Privacy van werknemersgegevens
De standaardvoorschriften inzake gegevensprivacy, zoals de California Consumer Privacy Act (CCPA) en de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, bevatten ook bepalingen die werkgevers ertoe verplichten om de privacy van werknemersgegevens even streng te beschermen als de klantgegevens.
Volgens de AVG moeten organisaties vrijwillige en heldere toestemming van werknemers verkrijgen om de werknemersgegevens te verzamelen, op te slaan en te gebruiken. Ze moeten bijvoorbeeld aangeven hoe de HR-gegevens zullen worden gebruikt.
Hoe ziet de aansprakelijkheid van werkgevers eruit na een cyberaanval?
CommonSpirit Health, een van de grootste gezondheidszorgsystemen in de Verenigde Staten, kreeg in oktober 2022 een ransomware-aanval te verduren die meer dan 623.000 mensen betrof. De ziekenhuisketen sloot het getroffen systeem af om verdere schade aan de IT-omgeving te voorkomen, inclusief het elektronische tijdregistratie- en salarissysteem. Het bedrijf verloor USD 150 miljoen aan inkomsten door deze verstoring.
Nadat het bedrijf uiteindelijk de systemen had hersteld, meldden verpleegkundigen op enkele locaties van het bedrijf in Oregon dat ze tijdens de betalingsperioden na de aanval onderbetaald waren. In een lopende rechtszaak heeft de vakbond die de werknemers vertegenwoordigt op enkele locaties van het bedrijf in Oregon een schadevergoeding van USD 1,5 miljoen geëist voor onbetaalde lonen, boetes voor te late betaling en andere schade aan ruim 600 werknemers.
Hoewel deze rechtszaak compensatie eist voor onbetaalde lonen, hebben andere rechtszaken een schadevergoeding geëist in verband met het verhoogde risico van of de daadwerkelijke identiteitsdiefstal van werknemers, nadat hun gegevens door een cyberaanval waren gestolen.
Opmerkelijke recente rechtszaken die de werkgever aansprakelijk hebben gesteld na een cyberaanval zijn:
- Five Guys: openbaarmaking van de burgerservicenummers en rijbewijzen van sollicitanten
- San Francisco 49ers: de diefstal van de namen, geboortedata en burgerservicenummers van werknemers
- Macmillan: een ransomware-aanval leidde tot het publiceren van werknemersgegevens op het dark web en tot identiteitsdiefstal
De zakelijke gevolgen van een cyberaanval
Net als bij de CommonSpirit-inbreuk hebben cyberaanvallen op verschillende gebieden gevolgen voor bedrijven.
- Wettelijke aansprakelijkheid: bedrijven moeten vaak schadevergoeding betalen na een lek van werknemersgegevens. Deze schadevergoeding kan zaken omvatten zoals de kosten van het vervangen van krediet- of betaalkaarten, de kosten van monitoringrapporten en andere kosten die verband houden met de emotionele stress vanwege het risico op identiteitsdiefstal.
- Wettelijke sancties: er kunnen wettelijke sancties worden opgelegd, waaronder boetes voor de inbreuk of het niet bekendmaken van de inbreuk aan de getroffen partijen.
- Schade aan de reputatie: dergelijke kosten kunnen het vertrouwen van klanten en de bedrijfsprestaties ernstig aantasten. Een beschadigd merkimago, ook bij mogelijke toekomstige werknemers, kan de gezondheid van het bedrijf op lange termijn in gevaar brengen.
- Uitval van IT-systemen, herstel en revisie: hoewel de FBI dit afraadt, kunnen organisaties ervoor kiezen om losgeld te betalen om weer toegang te verkrijgen tot hun IT-omgeving. In elk geval moeten bedrijven, als onderdeel van de forensische en herstelkosten van een inbreuk, de IT-systemen die werknemersgegevens en andere gevoelige gegevens verwerken, waarschijnlijk wijzigen, vervangen of updaten.
Zo kunt u de aansprakelijkheid van werkgevers verminderen in het geval van een cyberaanval
De aansprakelijkheid van werkgevers en het naleven van de privacyregelgeving voegen meer risico en hogere kosten toe aan de toch al hoge kosten van de bedrijfsrespons na een cyberaanval.
Volgens de US Cybersecurity Census 2022 van Keeper wordt een doorsnee bedrijf in de VS jaarlijks met ongeveer drie succesvolle cyberaanvallen geconfronteerd. De gemiddelde kosten bedragen meer dan 75.000 USD, waarbij 37% van de organisaties onkosten heeft van 100.000 USD of meer per cyberaanval. Voor het midden- en kleinbedrijf zijn deze kosten vaak funest.
Werkgevers kunnen hun aansprakelijkheid beperken als gevolg van een cyberaanval op werknemersgegevens, door ervoor te zorgen dat ze op de volgende manieren worden gedekt:
- Cybersecuritytraining voor werknemers: wanneer werknemers een verdachte link of bijlage kunnen identificeren, kunnen ze hun werkgever uit de problemen houden. Informatie aan werknemers verstrekken over de meest voorkomende soorten phishing– en ransomware-aanvallen om werknemers en organisaties tegen dergelijke aanvallen te beschermen.
- Privacybeleid voor werknemers: in sommige gebieden is een privacybeleid voor werknemergegevens wettelijk verplicht. In het privacybeleid van werknemergegevens wordt uitgelegd hoe werknemersgegevens worden verzameld, opgeslagen en gebruikt.
- Sterke wachtwoorden instellen: meer dan 80% van de gegevenslekken is het gevolg van zwakke, gestolen of hergebruikte wachtwoorden. Met een tool die sterke, willekeurige wachtwoorden aanmaakt en opslaat, kunnen werknemers de meest voorkomende oorzaak van gegevenslekken voorkomen.
- Privelegebeheer: met een oplossing voor privelegebeheer kunnen organisaties de toegang tot en het gebruik van kritieke accounts bewaken, waardoor het risico op ongeautoriseerde toegang tot gevoelige informatie wordt gereduceerd.
- Leveranciersbeveiliging: het is belangrijk om op te merken dat werkgevers aansprakelijk zijn voor gegevenslekken wanneer een leverancier gegevens lekt, en dus niet de externe partij. Het is van cruciaal belang om ervoor te zorgen dat leveranciers beveiligd zijn.
- Reactieplannen voor incidenten: dergelijke reactieplannen wijzen de verantwoordelijkheden voor belangrijke activiteiten toe, zoals forensisch systeemonderzoek, gegevensherstel en strategische communicatie. Dit plan moet de aansprakelijkheid en de algehele impact van een inbreuk voor een werkgever reduceren.
- Cyberverzekering: een cyberverzekering kan de impact van een inbreuk reduceren, waardoor bedrijven hun risico kunnen beperken en de kosten van hun reactie kunnen dekken. Voor organisaties met een lage IT-maturiteit, die een verhoogd risico op een inbreuk lopen, zijn veel cyberverzekeringspolissen bereid om een paraatheidsevaluatie uit te voeren om beveiligingspraktijken en de trainingsprogramma’s van werknemers te verbeteren.
Aansprakelijkheid van werkgevers en geprivilegieerd toegangsbeheer
Werkgevers kunnen de aansprakelijkheid en het risico beperken door de toegang tot gevoelige accounts en informatie te bewaken en te controleren.
Keeper Privileged Access Manager (KeeperPAM) werd ontwikkeld om multi-cloudgebaseerde, perimeterloze omgevingen tegen cyberaanvallen te beschermen. Dankzij het eenvoudige bedrijfsplatform voor wachtwoorden, geheimen en geprivilegieerd verbindingsbeheer kunnen organisaties met KeeperPAM hun aanvalsoppervlak op kosteneffectieve wijze reduceren en hun werknemers en apparaten beschermen.