Privacyschendingen en de gevolgen daarvan

Wat gebeurt er als een bedrijf de wetgeving inzake gegevensbescherming schendt en wat zijn de gevolgen?

Met de nieuwe Algemene Verordening Gegevensbescherming (AVG) werd opnieuw de nadruk gelegd op het onderwerp gegevensbescherming. Hieraan gekoppeld is de aankondiging om steeds vaker overtredingen van deze richtlijnen na te streven en te bestraffen. Sinds de inwerkingtreding in mei 2018 hebben bedrijven van Europese gegevensbeschermingsautoriteiten meer dan 90.000 meldingen van datalekken ontvangen. Volgens een BitKOM-onderzoek is slechts 25% van alle bedrijven volledig AVG-compliant.

Dus veel werk voor de autoriteiten, die al zware boetes geven. Op dit punt willen we enkele eerdere gevallen nader bekijken en deze gevallen gebruiken om uit de praktijk te benadrukken hoe dergelijke straffen kunnen worden voorkomen. 

De eerste boete voor HagaZiekenhuis

De allereerste boete die in Nederland is gegeven voor het schenden van de privacy was voor het HagaZiekenhuis. Meer dan 100 medewerkers hadden het patiëntendossier van een bekende Nederlander ingezien. De Autoriteit Persoonsgegevens (AP) deelde een boete van maar liefst €460.000,- uit aan het Haagse ziekenhuis voor onvoldoende interne beveiliging. Vervolgens kreeg men 2 weken de tijd om de situatie te verbeteren of er stond een dwangsom van €100.000,- te wachten, met een maximum van €300.000,-.

Boete tegen Delivery Hero

Delivery Hero behaalde eerder het record van de hoogste boete voor schendingen van de Algemene Verordening Gegevensbescherming met 195.407 euro. Dat klinkt relatief weinig vergeleken met DW's straf, maar het is ook pijnlijk. Omdat in tien gevallen oude accounts van inactieve klanten niet werden verwijderd en in acht gevallen advertentie-e-mails op een ongewenste manier naar voormalige klanten werden gestuurd. Ondanks de tegenstrijdigheid ontving een klant nog eens 15 reclamemails en in vijf andere gevallen negeerde het bedrijf de zelfinformatie die de klagers hadden gevraagd. Deze casus laat uiteindelijk zien wat er gebeurt als u de AVG te licht opvat in termen van het verwijderen van gegevens en het negeren van zelfonthulling en niet voldoen.

Recordbedrag voor Duitse wooncorporatie

Een van de prominentere zaken in Duitsland betrof Deutsche Wohnen (DW), die een recordbedrag van 14,5 miljoen euro ontving van de Berlijnse autoriteit voor gegevensbescherming wegens schendingen van de AVG. Wat was er gebeurd? De gegevensbeschermingsautoriteit van Berlijn had in 2017 al contact opgenomen met DW en deelde mee dat hun archiefsysteem moest worden herzien, omdat dit niet de mogelijkheid biedt om gegevens van huurders te verwijderen.

De specifieke gegevens waren voornamelijk salariscertificaten, formulieren voor zelf openbaarmaking of uittreksels uit arbeidsovereenkomsten en gegevens over belastingen en ziektekostenverzekeringen. Aangezien er na een onderzoek in maart 2019 niets was gebeurd, legde de gegevensbeschermingsautoriteit van Berlijn de overeenkomstige boete op. In een persbericht werd aangekondigd dat, helaas, gegevensbegraafplaatsen zoals die bij DW vaak werden aangetroffen. De explosiviteit wordt pas duidelijk wanneer cyberaanvallen dergelijke gegevens misbruiken.
Maar zelfs zonder dergelijke aanvallen is het gedrag van DW niets meer dan een duidelijke schending van de algemene verordening gegevensbescherming, zegt Maja Smoltczyk, functionaris voor gegevensbescherming in Berlijn.

British Airways is de onbetwiste leider

De hoogste boete tot nu toe onder de AVG is opgelegd aan British Airways. In dit geval was er minder een datalek in engere zin dan een probleem in de IT-beveiliging. Onbekenden maakten gebruik van een beveiligingslek in het IT-systeem van British Airways om gegevens van meer dan een half miljoen klanten aan te boren.

De aanvallers hebben waarschijnlijk gebruikers van de British Airways-website omgeleid naar een neppagina, waar ze hun gegevens hebben ingevoerd. De boete die British Airways moest betalen voor deze kwetsbaarheid was iets meer dan 200 miljoen euro, maar is nog niet definitief. In dit geval werd te weinig aandacht besteed aan de beveiliging van de eigen website, wat leidde tot een ernstig schandaal. 
Marriott-hotelketen met gegevenslek

De Britse autoriteit voor gegevensbescherming eist ongeveer 110 miljoen euro van de Amerikaanse hotelketen Marriott. Hackers zijn erin geslaagd om gegevens te verzamelen van ongeveer 383 miljoen gasten van de hotelketen, waaronder ongeveer 385.000 nog steeds geldige betaalkaartnummers. De hackers vielen een reserveringsdatabase van een dochteronderneming aan en legden de gegevens van daaruit vast.

Dit voorbeeld laat nogmaals duidelijk zien hoe belangrijk de selectie van de opslaglocatie en de back-up ervan kan worden. Een Europese autoriteit kan een boete tot 20 miljoen euro opleggen voor schendingen van de AVG. In het geval van grotere bedrijven, zoals British Airways en de Marriott hotelketen, kan tot 4% van de jaarlijkse omzet ook worden gebruikt om het bedrag van een boete te berekenen. Miljoenen boetes zijn theoretisch denkbaar.

CRM-systeem had kunnen helpen

Wat heeft dit uiteindelijk met CRM-systemen te maken? Welnu, in de eerste twee gevallen die hier worden beschreven, zouden speciale functies in het CRM-systeem daadwerkelijk hebben geholpen. Er waren hier geen externe aanvallen, maar eerder interne mislukkingen. In het geval van Deutsche Wohnen is er geen nieuwe archiveringsprocedure geïmplementeerd. CRM-systemen kunnen helpen om verwijderingsperioden te observeren en gevoelige gegevens dienovereenkomstig te behandelen.

Zelfs in het geval van Delivery Hero zou een CRM-systeem de wensen van de voormalige klanten voor het rechtstreeks verwijderen van de gegevens kunnen hebben omgezet in een overeenkomstige workflow, zodat dit "ongemak" niet zou zijn opgetreden. Een CRM-systeem verbetert de klantenservice enorm, en bijgevolg klachten en klachtenbeheer.

Vooral voor kleine bedrijven bedreigend

De hier gegeven voorbeelden maken één ding duidelijk: gegevensbescherming is geen optie en moet niet licht worden opgevat. Vooral voor kleinere bedrijven, die vaak met een veel strakker korset moeten werken, kan een dergelijke boete een reëel probleem zijn en zelfs tot faillissement leiden.
Om dit te voorkomen, moet u goed weten hoe persoonlijke gegevens in het bedrijf worden verwerkt. Een CRM-systeem helpt niet alleen om de gegevens bij elkaar te houden, het kan ervoor zorgen dat deadlines voor verwijdering worden gehaald, verzoeken om zelfonthulling worden ingewilligd of gegevens worden beschermd tegen toegang door derden. Uiteindelijk betekent naleving van de Algemene Verordening Gegevensbescherming met behulp van een CRM-systeem dat veel processen kunnen worden geautomatiseerd en gegevens sneller kunnen worden gevonden.