Veel Nederlandse advocatenkantoren hebben hun gegevensbeveiliging niet op orde. Dat zeggen deskundigen tegen Mr. “Een heleboel advocaten profileren zich in de hype die privacy heet,” zegt privacy-advocaat en partner Olaf van Haperen (Kneppelhout & Korthals). “Maar slechts weinigen steken energie in het voldoen aan de wettelijke normen van hun eigen gegevensbescherming en beveiliging. Ik zou de advocatenkantoren de kost niet willen geven waar de server nog in de gangkast staat.”
Hij vindt dat de Nederlandse Orde van Advocaten (NOvA) zich meer moet laten gelden op dit gebied, en krijgt daarbij bijval van advocaat en hoogleraar Gerrit-Jan Zwenne (Brinkhof en Universiteit Leiden) en IT-ondernemer Lennon Wiarda van In Eerste Aanleg, een bedrijf dat vaak in opdracht advocaten werkt. Maar de NOvA zegt zich wel degelijk bewust te zijn van het belang van cybersecurity. “Het staat bij ons hoog op de agenda en we zetten in op bewustzijn en de zorgplicht die advocaten hebben ter voorkoming van cybercrime,” zegt een woordvoerder.
Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht, die in de plaats komt van de Wet Bescherming Persoonsgegevens (Wbp). Een belangrijk element van beide wetten is dat organisaties de persoonsgegevens van hun klanten goed moeten beveiligen. Onder de AVG komt waarschijnlijk meer aandacht voor beveiliging dan onder de Wbp.
Knutselwerk
Lennon Wiarda zegt dat advocaten zich maar mondjesmaat bewust zijn van de risico’s van datalekken. “En als ze het wel weten, proberen ze de aansprakelijkheid via een overeenkomst te verleggen naar de provider.” Van kantoren met een security officer mag je van verwachten dat ze hun beveiliging voor elkaar hebben, veronderstelt Wiarda. “Maar de advocatuur als beroepsgroep is verouderd. Inbreken op een fax? Een fluitje van een cent voor een hacker.” Van advocaten zonder eigen security officer heeft Wiarda geen hoge pet op: “Da’s nog een beetje het ‘papa-en-mamaknutselwerk’. Maar ik merk ook dat door de nieuwe wetgeving veel kantoren wakker worden, ook door de digitalisering van de rechtspraak.”
Het grootste probleem, denkt Olaf van Haperen, zit bij middelgrote kantoren. “Ze zijn veel interessanter dan ze zelf denken, maar ze hebben onvoldoende kennis. Als ze niet compliant zijn, riskeren boetes.” Hij voorspelt dat het aantal cyberaanvallen op advocatenkantoor zal toenemen, met desastreuze gevolgen. “Als je nalatig bent geweest, gaat dat ten koste van je naam. De toezichthouder, de klant en de deken kunnen jou aanpakken.”
Kneppelhout & Korthals heeft een forse praktijk op het gebied van privacy en databescherming. “Maar de grote afwezige onder de adviesvragers is de eigen beroepsgroep. Veel advocaten hebben hun eigen IT-omgeving. Dat zou de Orde van Advocaten moeten verbieden. We zijn geen IT-bedrijf.”
Onder de AVG moet een bedrijf een goed beveiligingsniveau garanderen voor persoonsgegevens. Van Haperen: “Je moet procedures hebben en je systeem monitoren. Maar dat kan een advocatenkantoor helemaal niet. Je moet realistisch zijn. De professionele providers hebben de infrastructuur om jouw netwerk veilig te houden. In de VS gebruiken bedrijven Gmail in plaats van de eigen e-mailomgeving, omdat Google een beter beschermingsniveau biedt dan het eigen netwerk.”
Laaghangend fruit
Gerrit-Jan Zwenne merkt op dat advocatenkantoren door hackers worden gezien als ‘laaghangend fruit’. “Het kost betrekkelijk weinig moeite om binnen te komen en je hebt kans op een flinke buit.” Maar Zwenne is minder pessimistisch over de advocatuur dan Van Haperen. “Ik denk niet dat het in de advocatuur veel slechter is gesteld dan bij andere dienstverleners, zoals accountants. Advocaten zijn zich er heel wel van bewust dat cliëntinformatie vertrouwelijk moet worden behandeld. Advocaten hebben niet voor niets een beroepsgeheim.”
Maar soms stuit Zwenne tijdens zijn cursussen op onbegrip voor de privacywet. “Een voorbeeld: de privacywet beperkt het gebruik van pasfoto’s. Die mag je alleen op het smoelenboek zetten met uitdrukkelijke toestemming van de medewerker. Maar gezien de gezagsverhouding wordt die toestemming volgens positief recht niet snel aangenomen. Als intranet al zo moeilijk ligt, is het publiceren van foto’s op het internet nog veel problematischer. En toch zie je bij veel advocatenkantoren portretfoto’s van de fee earners. Dat roept vragen op over de kennis van de privacywet.”
Van wachtwoord naar wachtzin
Hoe moet het dan wel? Het is een samenspel van organisatorische en technische maatregelen, zegt Van Haperen. Hij noemt de stappen die Kneppelhout & Korthals heeft gezet. “Back up en colocatie. Als ons moedersysteem wordt gehackt, kunnen we binnen een half uur overschakelen op een ander systeem. En simpele maatregelen als e-mails met vertraging van twee minuten verzenden. De meeste datalekken treden immers op door verkeerd verzonden mails. En we zijn van wachtwoorden naar wachtzinnen gegaan. Die worden om de dertig dagen aangepast. De werkvloer is niet meer toegankelijk voor gasten. Dossiers zijn daardoor niet meer in te zien voor vreemden.”
Zwenne: “Een eenvoudige, maar effectieve maatregel is het installeren van remote-wipe of cleansweep-tools, waarmee de mobiele telefoon op afstand kan worden gewist.” De zoekgeraakte USB-stick is ook een veelvoorkomend datalek. “Geen cliëntdossiers op draagbare gegevensdragers,” raadt Zwenne aan. “En als het niet anders kan, dan ten minste goed versleuteld.”
Lennon Wiarda noemt e-mail een van de grootste bedreigingen. “Al het confraterneel verkeer gaat via de mail. Da’s niet handig.” Hij adviseert: “Maak een gesloten systeem zoals in de zorg is ontwikkeld.”
Nederlandse rechtsorde
Wiarda onderscheidt drie soorten beveiliging: Op de lijn (voorkomen dat hackers kunnen binnenkomen), documenten versleutelen met encryptie en cleansweep-programma’s installeren op smartphones, laptops en tablets. “Een goede beveiliging is een combinatie van die drie.”
En, vervolgt Wiarda, elk advocatenkantoor moet zorgen dat de uitwijk van zijn gegevens binnen de Nederlandse rechtsorde blijft. “Als een datacenter met Nederlandse geld is opgericht en onderhouden, kun je ervan uitgaan dat die data in Nederland blijven. Gebruik je een programma als Sharepoint, dan heb je dat niet in de hand.”
Immers, als de data in de VS worden opgeslagen, verlaten ze de Nederlandse rechtsorde. Persoonsgegevens mogen alleen onder bepaalde, strenge voorwaarden worden opgeslagen in de VS of een ander land buiten de EU. Wiarda voegt daaraan toe: “Ik zou als cliënt ook niet willen dat data worden opgeslagen op een plek waar de Amerikaanse overheid er bij kan.” Laatste tip: “Sluit een goede verzekering af.”
De drie geïnterviewden zijn het erover eens dat de Nederlandse Orde van Advocaten meer moet doen op dit gebied. Van Haperen: “De orde moet hier proactiever mee omgaan.” Zwenne: “Inderdaad, de Orde zou kunnen meewerken aan authenticatieprogramma’s voor de advocatuur. En ik kan me voorstellen dat Orde aanmoedigt platforms te gebruiken die goed en veilig zijn, en eenvoudig te koppelen aan e-mailprogramma.” En Wiarda meent: “Ik vind dat de NOvA een beperkte rol speelt met vage normen en geen beleid. Ze zouden het voortouw moeten nemen.”
Maar de NOvA, doet wel veel, zegt een woordvoerder. “Twee keer per jaar organiseert de NOvA een innovatieplatform waarin thema’s als hacken, vertrouwelijke internetcommunicatie en cybercrime worden besproken met deskundigen. Het komende innovatieplatform staat in het teken van de AVG. De voorbereidingen zijn in volle gang.”
Daarnaast adviseert de NOvA periodiek via nieuwsbrieven en het Advocatenblad hoe advocaten veilig gebruik kunnen maken van communicatiemiddelen, vervolgt de woordvoerder. “Met IT-deskundigen hebben we een informatieve waaier met tips ontwikkeld voor vertrouwelijke internetcommunicatie via mail, telefonie, WhatsApp en hoe om te gaan met diverse clouddiensten en IT-beheer. Het is vanzelfsprekend dat we onze tips zullen aanscherpen vanwege de AVG.”
De bevindingen van Van Haperen, Wiarda en Zwenne zijn overigens in lijn met het artikel How Law Firms Are Failing To Keep Clients’ Data Safe, door Aebra Coe op de juristenwebsite LAW360. Van 300 advocatenkantoren met meer dan 450 advocaten in de VS bleek 61 procent geen informatiebeveiligingsfunctionaris te hebben, en slechts 31 procent traint het personeel in cybersecurity. Volgens het artikel zijn de meeste onderzochte kantoren onvoldoende in staat hun gegevens te beschermen.
