De stand van zaken in Privacy
Tijdens het Cyber Risk congres op 12 maart 2019 gaf ik een update over de privacywetgeving (AVG) en cybersecurity, met name in de financiële sector. Dit artikel is een bewerking van die presentatie.
De presentatie ging over drie onderwerpen:
- Een recent onderzoek over hoe Nederlanders denken over privacy;
- De gemelde datalekken in 2018; en
- De opgelegde privacy-boetes in 2018.
Privacy in de verzekeringssector
Maar eerst werd een kort uitstapje gemaakt naar privacy in de verzekeringssector.
Als we kijken naar de klantreis (oftewel ‘customer journey’) van een verzekerde, dan blijkt dat privacy wel in alle fasen van de klantreis van belang kan zijn:
- Awareness: marketing richting de verzekerde;
- Research & purchase: van oriëntatiefase, offerte-traject, acceptatie, tot het sluiten van een verzekeringsovereenkomst;
- Claim: melding van schade, onderzoek van de claim, uitkering of afwijzing van de claim;
- Renewal: eventuele aanpassing van de verzekeringsvoorwaarden, verlenging of beëindiging van de verzekeringsovereenkomst.
Privacy-update: We maken ons massaal zorgen over privacy
Dan is het nu tijd voor de privacy-update: Hoe is het gesteld met de privacy in Nederland? Hoe denken we nu echt over privacy? Waar maken we ons zorgen over?
De privacy-autoriteit in Nederland (Autoriteit Persoonsgegevens) heeft een onderzoek gedaan onder 1.002 Nederlanders van 18-75 jaar, over de vraag of zij zich zorgen maken om hun privacy.
Uit dit onderzoek blijkt dat maar liefst 94% van de ondervraagde Nederlanders zich enige zorgen maken over privacy.
En maar liefst 1 op de 3 Nederlanders maakt zich veel tot zeer veel zorgen over privacy.
Financiële sector ‘scoort’ hoog qua zorgen
Als we ons al zorgen maken, over welke organisaties maken we ons dan zorgen?
Maar liefst 79% van de ondervraagden maken zich veel tot zeer veel zorgen over banken en verzekeraars. En 64% maakt zich veel tot zeer veel zorgen over pensioenfondsen.
Banken en verzekeraars ‘scoren’ daarbij dus even hoog als tech-bedrijven; en dat is geen goed nieuws.
Over welke gegevens maken we ons zorgen?
We maken ons met name zorgen over de gegevens met betrekking tot onze kredietwaardigheid.
57% van de mensen maken zich hierover veel tot zeer veel zorgen. Het vreemde is wel dat ‘kredietwaardigheid’ is gecombineerd met ‘strafbare feiten’, terwijl dat toch heel verschillende type gegevens zijn.
Stand van zaken: gemelde datalekken in 2018
De Autoriteit Persoonsgegevens heeft een rapport gepubliceerd over de gemelde datalekken in 2018. Enkele interessante bevindingen zijn:
- In Nederland zijn 20.881 meldingen gedaan in 2018. Ter vergelijking: in de hele Europese Unie zijn er in heel 2018 circa 59.000 datalek-meldingen gedaan. Dit betekent dus dat Nederlanders goed zijn voor bijna de helft van alle datalek-meldingen in de hele Europese Unie.
- Het aantal datalek-meldingen is in 2018 met 109% gestegen ten opzichte van 2017. In Nederland hebben we al sinds 2016 een meldplicht voor datalekken, al voordat de AVG in werking trad in de EU. De grote stijging valt te verklaren doordat er meer ‘awareness’ is gekomen door de AVG en ook meer vrees voor de hogere boetes. Onder de vorige privacywet bedroeg de maximumboete voor het niet-melden van een datalek 820.000 Euro, maar onder de AVG bedraagt dit maximaal 10 miljoen Euro. Dat scheelt dus meer dan 9 miljoen Euro.
- De zorg en de financiële sector zijn de grootste melders. Gezamenlijk zijn deze twee sectoren goed voor meer dan de helft van het totale aantal gemelde datalekken en zijn daarmee de grootste ‘melder’ van datalekken.
De mens is grootste oorzaak van datalekken
Niet cyberaanvallen, maar menselijke fouten zijn de voornaamste oorzaak van de gemelde datalekken.
63% van de gemelde datalekken betrof persoonsgegevens die waren verstuurd of afgegeven aan een verkeerde ontvanger.
Slechts 4% van de gemelde datalekken kwam door hacking, malware of een phishing-aanval.
De grootste privacy-boetes in 2018
In 2018 werden al enkele boetes uitgedeeld, maar de meeste boetes werden nog opgelegd onder de ‘oude’ privacywet. Hieronder volgt een lijst van de hoogste boetes uit 2018. Van deze lijst werd de grootste boete werd opgelegd in Frankrijk en de ‘laagste’ boete in Nederland.
Google: 50 miljoen
Google strijkt met de ‘eer’ voor de allerhoogste boete tot nu toe opgelegd onder de AVG. Google kreeg van de Franse privacy-autoriteit (CNIL) een boete opgelegd van maar liefst 50 miljoen Euro. De reden? Onvoldoende transparantie en onvoldoende duidelijke informatievoorziening.
Uber: 600.000 Euro
In 2016 vond een groot datalek plaats bij Uber, waarbij ook veel klantgegevens in Nederland werden getroffen. Pas in 2017 werd het datalek gemeld bij de Nederlandse privacy-autoriteit (AP). De AP oordeelde dat dit aanzienlijk te laat was en legde Uber een boete op. In 2017 gold nog de ‘oude’ privacywet, toen een boete tot maximaal 820.000 Euro kon worden opgelegd. Als deze zaak volgens de AVG zou worden beoordeeld, was de boete waarschijnlijk vele malen hoger uitgevallen.
Facebook: 500.000 Pond
Facebook kreeg in het Verenigd Koninkrijk een boete van een half miljoen Britse pond opgelegd, naar aanleiding van het grootschalige Cambridge Analytica schandaal.
Equifax: 500.000 Pond
Equifax was slachtoffer van een grootschalige hack, waarbij de betalingsgegevens van zeer veel mensen werden gestolen. De Britse privacy-autoriteit vond dat Equifax vijf privacy-beginselen schond en legde Equifax ook een boete op van 500.000 Britse pond. Beide boetes werden opgelegd onder de ‘oude’ privacywet in het Verenigd Koninkrijk.
Theodoor Gilissen: 48.000 Euro
De bank Theodoor Gilissen Bankiers (thans Insinger Gilissen genaamd) kreeg een dwangsom opgelegd van 48.000 Euro, wegens een schending van het inzagerecht.
Wat kunnen we verwachten in 2019?
In werkelijkheid zijn er waarschijnlijk nog veel meer datalekken, die gemeld had moeten worden. Het ‘echte’ aantal datalekken in 2018 is dus eigenlijk hoger.
Maar hoe kom je daar dan achter? De niet-gemelde datalekken komen bijvoorbeeld naar boven als iemand klaagt over een datalek, terwijl dat niet door de organisatie zelf is gemeld. De privacy-toezichthouder heeft aangegeven meer aandacht te geven aan de niet-gemelde datalekken en zal hiervoor sneller hoge boetes uitdelen.
De verwachting is daarom: 2019 is het jaar van het niet-gemelde datalek.
Meer weten?
Wil je meer weten over wanneer je een datalek moet melden, of over privacyrecht in het algemeen? Laat hieronder een bericht achter, ga naar de privacyrecht pagina, of neem contact met me op.