Het wereldwijde advocatenkantoor DLA Piper gaf onlangs een onderzoek vrij met cijfergegevens over de data breaches in Europa sinds de invoering van de GDPR in mei 2018 tot januari 2019. De focus van het onderzoek lag op de gevallen die aangegeven werden bij regelgevers. Verder werd er gekeken naar de boetes die onder het nieuwe GDPR regime reeds werden uitgedeeld.
Wat zegt de GDPR over het aangeven van breaches?
Vanaf 25 mei 2018 moeten bedrijven die getroffen worden door een databreach, waarbij persoonsgegevens in gevaar zijn, dit aangeven bij de data-autoriteiten. Ook de getroffen individuen moeten verwittigd worden. Boetes voor het niet naleven, kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet van het vorige jaar. Het hoogste van de twee telt!
Hoe snel moet er verwittigd worden?
Dit moet gebeuren zonder onnodige vertragingen of binnen 72 uur wanneer praktisch mogelijk. Ook als er individuen moeten gewaarschuwd worden, gebeurt dit zo snel mogelijk.
Wie gaf de meeste/minste breaches aan?
Het onderzoek omvatte 23 van de 28 lidstaten van de EU. In deze 23 landen zijn er in totaal 59,000 data breaches aangegeven bij autoriteiten. Dit gaat van zeer grote datadiefstallen met significante gevolgen tot de kleinste misstappen. In Nederland, Duitsland en Engeland werden er het meeste aangiftes gedaan. Liechtenstein, IJsland en Cyprus stonden onderaan de lijst. Wanneer er rekening werd gehouden met het bevolkingsaantal van de lidstaten scoorden Nederland, Ierland en Denemarken het hoogst per inwoner en hinken Griekenland, Italië en Roemenië achterop.
Hoe zit het met de boetes?
Er zijn in totaal al 91 boetes uitgedeeld sinds de inwerkingtreding van de GDPR, al zijn deze niet allemaal gerelateerd aan de diefstal of lek van persoonlijke gegevens. Google betaalde tot op vandaag het grootste bedrag (50 miljoen euro) aan Franse autoriteiten omdat het persoonlijke data gebruikte voor reclamedoeleinden zonder daar op een correcte manier toestemming voor te vragen.[i] Ook de data-autoriteiten van Duitsland, Cyprus en Malta deelden al verschillende boetes uit.
Om af te sluiten merken de onderzoekers op dat het in dit rapport gaat over databreaches die aangegeven zijn. De resultaten suggereren dat in een land als Italië erg weinig databreaches voorkomen, wat men niet zou verwachten van een land met relatief veel inwoners (3,5 keer meer dan Nederland). Het feit dat de databreaches niet aangegeven worden, betekent echter niet dat ze niet voorgevallen zijn. Ten tweede vermelden de auteurs dat de boetes die de 91 bedrijven hebben moeten neerleggen over het algemeen (op de boete van Google na dan) laag liggen. Ze voorspellen dat dit in 2019 fors kan veranderen omdat regelgevers voor de bepaling van het bedrag van de boetes wel eens inspiratie zouden kunnen op doen in het mededingingsrecht. Jammer genoeg zullen dus ook kleine bedrijven niet gespaard blijven van deze zeer hoge boetes.
Bronnen:
- Het rapport van het onderzoek kan je hier terugvinden: https://www.dlapiper.com/en/uk/insights/publications/2019/01/gdpr-data-breach-survey/
[i] https://www.theverge.com/2019/1/21/18191591/google-gdpr-fine-50-million-euros-data-consent-cnil
