Dit zijn de boetes en reputatieschade door een datalek
Ken jij de gevolgen van het niet op orde hebben van je privacy- en databeveiliging?
“Wat voor problemen kun je verwachten als je geconfronteerd wordt met een datalek of niet voldoen aan de AVG wetgeving.”
In dit blog behandelen we zowel reputatieschade als gevolg van een datalek maar ook de consequenties voor jouw bedrijf als je niet voldoet aan de AVG.
Cyberaanvallen, productiefouten, kritische recensies op social media, niet voldoen aan de AVG. Reputatieschade kan elk bedrijf, groot of klein, overkomen. Lang niet elke ondernemer is zich daarvan bewust. Toch is dat wel nodig, want de gevolgen kunnen groot zijn. Gelukkig kunnen ondernemers zich er wel tegen weren.
Reputatieschade als gevolg van een datalek
Reputatieschade als gevolg van een datalek ontstaat als een organisatie door een beveiligingsincident negatief in het nieuws komt.
Reputatieschade wordt gezien als indirecte schade; directe schade zijn de kosten die bijvoorbeeld te maken hebben met schadevergoeding, manuren om het lek te dichten, gegevens terug te zetten uit een backup, etc.
Reputatieschade gaat uiteindelijk om financieel verlies, omdat bijvoorbeeld trouwe klanten vertrekken en nieuwe klanten zich niet meer aanmelden. Als je business afhankelijk is van vertrouwen, dan is er sprake van negatieve reclame op het moment dat het vertrouwen beschaamd wordt door reputatieschade.
Een bijkomend financieel verlies vormen ook nog kosten van een crisiscommunicatie expert, als je die inhuurt om te proberen de schade te beperken. Een dergelijke expert kost al gauw € 175 excl. BTW per uur, en het is niet ongebruikelijk om bij een forse reputatieschade een crisiscommunicatie expert dagenlang in te huren.
Doe-het-zelf pakket AVG opzetten
Dit pakket combineert het verkrijgen van de juiste kennis én het snel op orde brengen van alle basisdocumenten en registers tegelijk. Het doorlopen garandeert dat je snel AVG-klaar bent!
Reputatieschade als gevolg van niet voldoen aan de AVG
Een andere manier om reputatieschade op te lopen, naast het openbaar worden van een datalek zelf, is als de Autoriteit Persoonsgegevens (AP) een boete oplegt omdat je onvoldoende aan de AVG gevolg hebt gegeven. Behalve het uitdelen van een boete maakt de AP uiteindelijk openbaar wie er een boete heeft gekregen. Voor een overzicht, zie deze pagina
Interessant natuurlijk is de stijging van de boetes met de tijd:
Jaar | Aantal | Gemiddeld | Totaal |
2018 | 1 | € 600.000 | € 600.000 |
2019 | 1 | € 460.000 | € 460.000 |
2020 | 3 | € 693.333 | € 2.080.000 |
2021 | 9 | € 363.833 | € 3.274.500 |
Ook opvallend is dat er een aantal kleinere organisaties zijn die lagere boetes kregen, die in verhouding staan tot hun grootte, zoals de orthodontiepraktijk met een boete van € 12.000 voor een onbeveiligde patiënten website. Interessant te weten is dat de orthodontiepraktijk nu nog niet met naam en toenaam is gepubliceerd, omdat de praktijk daar actief bezwaar tegen heeft aangetekend. Hangende het beroep bij de rechtbank blijft de naam onbekend. Als de rechter beslist in het nadeel van de praktijk, wordt de naam alsnog openbaar gemaakt.
Wanneer meld je een datalek?
Als je een datalek hebt, moet je dat melden aan de AP, tenzij het onwaarschijnlijk is dat er negatieve gevolgen zijn. Het komt wel voor dat datalekken niet worden gemeld; meestal gaat het dan om een mailtje naar een verkeerde ontvanger, of met te veel gegevens.
Als het waarschijnlijk is dat er grote negatieve gevolgen zijn voor de personen over wie de data gaat, dan moet je ook het datalek melden aan deze personen zelf.
Maar ook als je gegevens verwerkt in opdracht van een andere partij, zoals wanneer je een SaaS-dienst aanbiedt, dan moet je je opdrachtgever van een datalek op de hoogte brengen. De opdrachtgever moet vervolgens bepalen of er gemeld wordt bij de AP of niet.
Je bent dus al snel verplicht om naar buiten te treden met een datalek.
Ook als er systemen worden gegijzeld wordt het vaak bekend dat er iets aan de hand was met de beveiliging. Denk aan alle berichten over ransomware. Je zou de whitepaper kunnen downloaden van deze link: https://www.comex.eu/feitencheck-welke-kosten-zijn-er-met-een-ransomware-aanval-gemoeid/ (ik denk dat ik dat beter niet zelf kan doen)
Hoe maak ik mijn bedrijf AVG proof?
Veel bedrijven beginnen met een fee van € 5000 excl. BTW om een kleine organisatie AVG proof te maken. Uurtarieven beginnen bij € 125, maar vaak gaat het dan meteen ook om vele dagen werk.
Als je het zelf wilt doen, heb je een zware dobber aan het werk. Je moet op veel aspecten letten, en de echt handige sjablonen ed. zijn niet gratis. Meestal moet je in staat zijn om een checklist te schrijven om een dergelijke lijst te kunnen opvolgen.
In ons blog over: “hoe maak ik mijn bedrijf AVG proof?” gaan we hier verder op in.
We behandelen waar je tegenaan loopt, wat een consultant kan doen en hoe je door middel van ons doe-het-zelf pakket kunt opzetten.
Doe-het-zelf pakket AVG opzetten
Dit pakket combineert het verkrijgen van de juiste kennis én het snel op orde brengen van alle basisdocumenten en registers tegelijk. Het doorlopen garandeert dat je snel AVG-klaar bent!
Lees ook:
DPIA en de rol van de Functionaris Gegevensbescherming: Alles wat je moet weten
Als bestuurder in de zorg wil je de risico’s op problemen met gegevensbescherming voorkomen. Toch ervaren wij dat het vaak mis gaat.
NIS2-richtlijn: Wat je moet weten
De Network and Information Security directive, beter bekend als de NIS2-richtlijn, is een vernieuwde versie van de NIS-richtlijn