Hoe voorkom je beveiligingsincidenten bij de opdrachtnemer? Uitleg over de opzet en werking van het interne controlesysteem van de opdrachtgever
Bedrijven zijn verplicht om een intern controlesysteem op te zetten volgens de ‘Japanse Bedrijfswet’ en de ‘Japanse Wet op de Financiële Instrumenten en de Beurs’. Hoewel de term “intern controlesysteem” ingewikkeld kan klinken, is het in eenvoudige bewoordingen een systeem om de bedrijfsvoering correct te beheren en risico’s te voorkomen.
Hoe functioneert het interne controlesysteem dan in relatie tot externe handelspartners? Dit wordt vooral een probleem omdat bedrijven vaak verschillende taken, zoals logistiek en onderhoud, uitbesteden aan externe partijen.
In dit artikel leggen we uit welke maatregelen er genomen kunnen worden om de werking van het interne controlesysteem bij de uitbestedingspartner en beveiligingsincidenten te voorkomen.
Wat is een intern controlesysteem?
Een intern controlesysteem is een organisatorisch middel of methode die nodig is voor bedrijven of organisaties om een passend beheer uit te voeren. Het wordt gedefinieerd in zowel de Japanse Bedrijfswet (Japanse ‘Kaishahō’) als de Japanse Wet op Financiële Instrumenten en Beurstransacties (Japanse ‘Kin’yū Shōhin Torihiki Hō’).
Onder de Bedrijfswet zijn de volgende bedrijven verplicht om een intern controlesysteem op te zetten:
- Grote bedrijven
- Bedrijven met een benoemingscommissie
- Bedrijven met een auditcommissie
Daarnaast legt de Wet op Financiële Instrumenten en Beurstransacties een verplichting op aan beursgenoteerde bedrijven om een intern controlesysteem op te zetten. Ze moeten elk boekjaar een intern controleverslag indienen. Dit intern controleverslag moet worden gecontroleerd door een gecertificeerde openbare accountant of een auditfirma.
Als er schade ontstaat door een informatie lek of iets dergelijks als gevolg van tekortkomingen in het interne controlesysteem, kunnen het bedrijf en de directeuren mogelijk aansprakelijk worden gesteld voor schadevergoeding. Voor meer informatie over het interne controlesysteem voor de bescherming van informatie, zie het volgende artikel.
Gerelateerd artikel: Uitleg over maatregelen om informatie lekken te voorkomen Wat moet er in het bedrijfsreglement staan[ja]
Risico’s op het gebied van interne controlesystemen die kunnen ontstaan bij het uitbesteden van werkzaamheden
Zelfs als uw bedrijf eigen regels heeft opgesteld met betrekking tot informatiebeveiliging, bestaat er een risico dat er een beveiligingsincident kan optreden bij de uitbestedingspartner als deze geen dergelijke regels heeft opgesteld of als de inhoud ervan onvoldoende is.
In het geval van een beveiligingsincident, zelfs als het een ongeval was bij de uitbestedingspartner, bestaat er een risico dat het imago van het bedrijf dat de uitbesteding heeft gegeven en dat de beheersverantwoordelijkheid heeft, wordt aangetast.
Daarom is het belangrijk om bij het uitbesteden van werkzaamheden een systeem op te zetten bij de uitbestedingspartner om te voorkomen dat er beveiligingsincidenten en dergelijke plaatsvinden.
Een intern controlesysteem inclusief beheer van opdrachtnemers is noodzakelijk
Gezien de jurisprudentie en andere factoren, is de ontwikkeling van een informatiebeveiligingssysteem een van de belangrijke elementen bij het opzetten van een intern controlesysteem.
Als een bedrijf of organisatie schade toebrengt aan een derde partij vanwege tekortkomingen in het informatiebeveiligingssysteem, kan de directeur mogelijk aansprakelijk worden gesteld voor het niet nakomen van de plicht om een intern controlesysteem op te zetten, wat een schending van de zorgplicht kan zijn. Bovendien, als er tekortkomingen zijn in het informatiebeveiligingssysteem van de opdrachtnemer en dit leidt tot schade aan een derde partij, kan de opdrachtgevende organisatie of de directeur ook aansprakelijk worden gesteld.
Hoewel er geen bevestigde gevallen zijn waarin schadevergoedingen zijn toegekend op basis van een schending van de zorgplicht door het niet opzetten van een intern controlesysteem, in het geval dat een beveiligingsincident optreedt door tekortkomingen in het beheer van de opdrachtnemer, is het mogelijk dat er in de toekomst rechtszaken worden aangespannen.
Het belang van interne controlesystemen leren door middel van casestudy’s
Laten we eens kijken welke maatregelen we moeten nemen bij het uitbesteden van werkzaamheden, gebaseerd op eerdere casestudy’s.
Informatielek bij de Japanse Pensioen Dienst
In 2015 werd er bij de Japanse Pensioen Dienst een datalek ontdekt, veroorzaakt door ongeautoriseerde toegang. Er werd bevestigd dat persoonlijke informatie zoals basispensioennummers en namen was gelekt.
Met betrekking tot deze kwestie werd er een onderzoekscommissie opgericht om het datalek bij de Japanse Pensioen Dienst te onderzoeken. Op 21 augustus 2015 (Heisei 27) werd er een onderzoeksrapport opgesteld dat de omstandigheden samenvatte. Volgens dit rapport werd het LAN-systeem van de Japanse Pensioen Dienst aangevallen, wat resulteerde in het lekken van een grote hoeveelheid persoonlijke informatie uit gedeelde mappen.
Toen het systeem werd opgezet, was het de bedoeling dat er geen persoonlijke informatie op het LAN-systeem zou worden verwerkt. Echter, onder bepaalde omstandigheden kon persoonlijke informatie toch in de gedeelde mappen op het LAN-systeem worden geplaatst. Bovendien was het LAN-systeem van de Japanse Pensioen Dienst niet voorbereid op gerichte aanvallen, waardoor het lang duurde om de situatie te begrijpen nadat de aanval was ontdekt.
De onderzoekscommissie stelde de volgende maatregelen voor om herhaling te voorkomen:
- Organisatorische maatregelen (zoals het opzetten van een beveiligingsafdeling)
- Verbetering van het toezicht door het Ministerie van Gezondheid, Arbeid en Welzijn (zoals het verbeteren van de informatiebeveiligingsstructuur van het ministerie)
- Technische verbeteringen (zoals systeemontwikkeling gebaseerd op de werkelijke bedrijfsvoering en risico’s)
- Bewustwording binnen de Japanse Pensioen Dienst
Daarnaast was er alleen een algemene overeenkomst over informatiebeveiliging met de dienstverlener, maar er was geen duidelijke overeenkomst over de specifieke reactie in geval van een incident. Dit resulteerde in een vertraagde reactie en grotere schade. (Bron: Ministerie van Gezondheid, Arbeid en Welzijn, ‘Onderzoeksrapport van 21 augustus Heisei 27[ja]‘)
Om dergelijke situaties te voorkomen, is het noodzakelijk om:
- Een Service Level Agreement (SLA) af te sluiten met specifieke inhoud
- Overeen te komen dat de dienstverlener verantwoordelijk is voor noodrespons
Een Service Level Agreement (SLA) is een contract tussen de dienstverlener en de ontvanger van de dienst, waarin de kwaliteit, toepassingsgebied, ontvangstmethode, verantwoordelijkheden en kosten van de dienst worden overeengekomen. Door ook vooraf overeen te komen over de reactie in geval van een incident, is het mogelijk om snel en adequaat te reageren.
Geval van persoonlijke informatie lek bij Benesse Corporation
In 2014 vond er een lek van persoonlijke informatie plaats bij Benesse Corporation. Dit werd veroorzaakt door een medewerker van een uitbestede dienstverlener die klantgegevens kopieerde en verkocht aan een lijstverkoper, waardoor ongeveer 29,89 miljoen klantgegevens werden gelekt.
Als oorzaak van dit incident kan worden genoemd dat er ondanks het feit dat toegangsrechten tot gegevens waren verleend aan onderaannemers en verdere onderaannemers, er geen voldoende toezichtsysteem was om te voorkomen dat informatie zou lekken.
Mogelijke maatregelen zijn:
- Het duidelijk definiëren van de reikwijdte van de taken en toegang tot informatie van de uitbestede dienstverlener in het contract
- Het uitvoeren van regelmatige audits van de uitbestede dienstverlener
- Het opleggen van een rapportageverplichting aan de uitbestede dienstverlener met betrekking tot het toezichtsysteem
- Het aanwijzen en beoordelen van personen die belangrijke informatie behandelen bij de uitbestede dienstverlener
Een van de klanten heeft na het incident een rechtszaak aangespannen tegen Benesse Corporation, de dienstverlener, eisend een schadevergoeding van 100.000 yen voor het lekken van zijn en zijn kind’s persoonlijke informatie.
In de eerste en tweede instantie verloor de klant, maar op 23 oktober 2017 (Heisei 29) werd door het Hooggerechtshof besloten dat:
“Het onmiddellijk afwijzen van de eisen van de appellant op basis van het feit dat er geen voldoende onderzoek is gedaan naar het bestaan en de mate van psychische schade door inbreuk op de privacy, en dat er geen beweringen of bewijzen zijn van schade die verder gaat dan ongemak”
Schadevergoedingszaak nr. 1892 (ontvangen) Heisei 28, uitspraak van de tweede kleine rechtbank, 23 oktober 2017 (Heisei 29)[ja]
De uitspraak in de tweede instantie werd vernietigd en de zaak werd teruggestuurd naar het Hooggerechtshof van Osaka voor verdere behandeling.
Op 20 november 2019 erkende het Hooggerechtshof van Osaka de inbreuk op de privacy en beval Benesse Corporation om 1.000 yen te betalen.
In de eerste en tweede instantie werd niet alleen de inbreuk op de privacy, maar ook de vraag of er daadwerkelijk schade was opgetreden, benadrukt. Het Hooggerechtshof oordeelde echter dat er onderzoek moest worden gedaan naar de inbreuk op de privacy, ongeacht of er schade was of niet. In andere gevallen van informatie lekken zijn er veel gevallen waarin schadevergoeding op basis van het lekken van informatie wordt erkend, en het wordt aangenomen dat deze uitspraak van het Hooggerechtshof in lijn is met deze trend.
Samenvatting: Raadpleeg een advocaat over interne controlesystemen
Voor een gezond beheer van bedrijven en organisaties is het noodzakelijk om een adequaat intern controlesysteem op te zetten en te beheren. Zelfs als een uitbestedingspartner een beveiligingsincident zoals een informatie lek veroorzaakt, kan de opdrachtgever aansprakelijk worden gesteld en kan het bedrijfsimago worden aangetast. Om dergelijke situaties te voorkomen, moet u van tevoren een systeem opzetten dat ervoor zorgt dat het interne controlesysteem ook bij de uitbestedingspartner voldoende functioneert.
Neem contact op met een advocaat voor advies over het opzetten en beheren van interne controlesystemen, inclusief informatiebeveiligingssystemen.
Informatie over de maatregelen van ons kantoor
Monolith Juridisch Adviesbureau is een advocatenkantoor met hoge expertise in IT, met name internet en recht. De noodzaak voor juridische controles met betrekking tot de opbouw en werking van interne controlesystemen neemt steeds meer toe. Details worden beschreven in het onderstaande artikel.
Behandelingsgebieden van Monolith Juridisch Adviesbureau: IT & Venture Corporate Law[ja]