Datalekken: direct risico en kostenpost

Datalekken zijn al lang geen theoretisch complianceprobleem meer. Eén incident kan direct leiden tot financiële schade, reputatieverlies en langdurige juridische trajecten. Recente, veelbesproken casussen laten dat zien. Hoe goed je je zaken ook op orde denkt te hebben: een datalek kan je organisatie stevig raken.

Waar gaat het in de praktijk mis?

Neem het recente datalek bij Odido. Daarbij zijn grote hoeveelheden klantgegevens buitgemaakt. De Autoriteit Persoonsgegevens doet onderzoek en kijkt onder meer naar de beveiligingsmaatregelen en bewaartermijnen. Er is nog geen oordeel, maar deze casus laat iets belangrijks zien: niet alleen het incident telt, vooral de vraag of vooraf passende technische en organisatorische maatregelen zijn getroffen.

Een ander bekend voorbeeld is Uber. Daar leidde een datalek tot handhavend optreden, waaronder een boete van € 600.000 omdat het lek niet op tijd werd gemeld bij de toezichthouder en betrokkenen. Dit onderstreept dat ook procedurele fouten directe financiële gevolgen hebben.

Ook bij Clinical Diagnostics groeide een datalek uit tot een collectief probleem. Na een grootschalig incident meldden zich tienduizenden betrokkenen. Dat vergroot het risico op omvangrijke schadeclaims aanzienlijk.

Wat deze voorbeelden gemeen hebben? De impact van een datalek gaat verder dan één sanctie. Vaak krijg je te maken met:

• toezicht en mogelijke boetes van de toezichthouder;
• aansprakelijkheid op grond van artikel 82 AVG (Algemene Verordening Gegevensbescherming);
• het risico op collectieve acties bij grote groepen betrokkenen.

Juridisch kader: niet ieder datalek is aansprakelijkheid

Niet ieder datalek leidt automatisch tot aansprakelijkheid. Voor aansprakelijkheid op grond van artikel 82 AVG moet er sprake zijn van een schending van de AVG, schade en een causaal verband tussen beide.

Toch zie je in de rechtspraak dat immateriële schade onder omstandigheden vergoed kan worden. Denk aan stress, onzekerheid of verlies van controle over persoonsgegevens. Bij grote incidenten kunnen kleine bedragen per persoon snel oplopen tot een grote totale claim.

Toezichthouders en rechters kijken daarbij steeds vaker naar je voorbereiding. De belangrijkste vragen zijn:

• heb je passende technische en organisatorische maatregelen genomen (artikel 32 AVG);
• heb je het datalek tijdig gemeld (artikel 33 AVG);
• bewaar je persoonsgegevens niet langer dan nodig?

Juist op deze punten blijken organisaties in de praktijk vaak kwetsbaar.

Voorkomen van een datalek is goedkoper dan herstellen

De kosten van een datalek bestaan zelden uit één post. Je krijgt vaak te maken met een combinatie van boetes, claims, juridische kosten en reputatieschade. Het goede nieuws: veel van deze risico’s kun je vooraf in beeld krijgen én beperken.

Wij helpen je daar graag bij. Onze gratis AVG Pre-scan is daarvoor een praktische eerste stap en krijg je snel en eenvoudig inzicht in hoe jouw organisatie ervoor staat.

Met onze gratis AVG Pre-scan krijg je snel inzicht in:

• de belangrijkste privacy- en datalekrisico’s binnen je organisatie;
• de mate waarin je aan de AVG voldoet;
• concrete verbeterpunten om boetes en aansprakelijkheid te beperken.

Zo voorkom je dat privacy een sluitpost wordt na een incident en maak je het een vast onderdeel van je risicomanagement.

Meer weten? 

aaff is graag overal van betekenis. Wil je meer weten over hoe je datalekrisico’s in je organisatie voorkomt en beheerst? Neem dan contact op met onze specialist.