De scan is een initiatief van stichting Cyber Safety Noord Nederland, die de digitale weerbaarheid wil verbeteren. Volgens de stichting is dit vooral bij kleinere bedrijven een probleem.

Een van de deelnemers is het bedrijf there (met kleine letter t) uit Leeuwarden. there ondersteunt ondernemers bij innovatie en biedt vooral ruimte aan veelal jonge tech- en duurzaamheidsbedrijven.

Eigenaar Erwin Kenter doet vooral mee voor het AVG-gedeelte (Algemene verordening gegevensbescherming). In cyberveiligheid heeft hij al veel geïnvesteerd. ,,Bedrijven investeren altijd veel in goede sloten en camera’s, maar de digitale beveiliging is tegenwoordig net zo belangrijk. Ik denk dat elk bedrijf te hacken is, maar we hebben de ICT wel goed voor elkaar. De studenten zullen niet snel grote dingen vinden bij ons.”

Bedrijven investeren altijd veel in goede sloten en camera’s, maar de digitale beveiliging is tegenwoordig net zo belangrijk

De goede beveiliging is ook wel noodzakelijk, want volgens Kenter wordt de website van zijn bedrijf duizenden keer per dag aangevallen. Dat leidde tot nu toe niet tot schade.

Maatregelen

Kenter besteedt op dit moment weinig tijd aan de AVG. Kenter: ,,Ik zie het belang wel maar wij slaan nog maar beperkt persoonsgegevens op. En ik ben ook wel kritisch: zoals de AVG nu is levert dit veel onnodig werk op en daar zit niemand op te wachten.”

Maar ook voor de weinige gegevens die het bedrijf heeft moet there maatregelen nemen, legt student Tooske Remery van ROC Friese Poort (opleiding juridisch-administratief medewerker) uit. ,,Als je binnenkomt bij there word je bijvoorbeeld gevraagd om je naam en e-mailadres. Dat zijn al persoonsgegevens die verzameld worden.”

Bij de AVG-scan die de studenten uitvoeren komt een aantal dingen aan het licht. Zo heeft het bedrijf nog geen privacy statement (privacyreglement) die mensen wijst op wat er met hun gegevens gebeurt.

Kleine kans op sancties

De kans dat een relatief klein bedrijf als there op dat soort zaken geïnspecteerd wordt is klein, denken de studenten. En de kans dat vervolgens een sanctie volgt is nog kleiner. Maar het bedrijf zou er wel goed aan doen om er werk van te maken, zegt Vlerona Saliesai van ROC Friese Poort

,,Voor een klein bedrijf is het relatief weinig werk om aan de regels te voldoen. Op de website van de Autoriteit Persoonsgegevens staan allerlei formulieren die daarmee kunnen helpen. Dus waarom zou je het risico nemen?” ,,Bovendien is het naar je klanten toe een goed signaal dat je ermee bezig bent”, vult Gezine de Jong van NHL Stenden aan.

there is een relatief klein en jong bedrijf, dat niet veel gevoelige informatie beheert. Eigenaar Kenter heeft wel groeiambities en ziet de scan vooral als nulmeting. Verstandig, denkt student Jeffrey Smink van NHL Stenden. ,,Als je nu de basis legt, hoef je straks niet een heel AVG-protocol te implementeren. Dan hoef je het alleen maar bij te werken.”

Als je nu de basis legt, hoef je straks niet een heel AVG-protocol te implementeren

Een tafel verderop ontdekken IT-studenten Tom Paulusma en Tom Buwalda van ROC Friese Poort dat een aantal noodzakelijke certificaten, die aantonen dat de systemen veilig zijn, ontbreekt. Ook kunnen de tweedejaars mbo-studenten via het WiFi-netwerk een aantal aangesloten apparaten benaderen. ,,En als je op het apparaat komt kun je bijvoorbeeld gegevens stelen”, meldt Buwalda. Zo ver gaan de studenten niet, vertelt Paulusma. ,,We mogen niets aanpassen. Maar we maken er wel een rapport met aanbevelingen van.”

Vaak weinig IT-kennis

Over het algemeen heeft there de beveiliging wel op orde, denken Paulusma en Buwalda. Ze vermoeden dat veel mkb’ers het minder goed voor elkaar hebben. Buwalda: ,,Goede digitale beveiliging is best lastig voor een klein bedrijf, zeker als je niet veel IT-kennis hebt.”

Dat de IT-ers makkelijk op het WiFi-netwerk konden komen is volgens Kenter niet gek. ,,Ik heb hen het wachtwoord gegeven.” Maar dat ze binnen dat netwerk andere apparaten konden benaderen is niet de bedoeling. Wie denkt dat hij of zij daar misbruik van kan maken komt bedrogen uit: het bedrijf werkt al aan een nieuw netwerk waarbij dergelijke acties niet mogelijk zijn.

Goede digitale beveiliging is best lastig voor een klein bedrijf, zeker als je niet veel IT-kenis hebt

Kenter gaat de rapportages van de studenten goed doornemen. ,,Ik ben benieuwd waar ze mee komen.” Hij is blij met het initiatief. ,,Het is goed om te zien waar wij nu staan. En ik denk dat het voor de studenten goed is om eens in de keuken van de bedrijven te kijken.”