Al weer voor de twaalfde keer turfde het Ponemon Instituut in opdracht van IBM, wat de feitelijke kosten zijn van ‘data breaches’, zeg maar GDPR-incidenten. Het resulterend rapport, de 2017 Cost of Data Breach Study, definieert  dergelijke incidenten als  “ [events] in which an individual’s name plus Social Security number, medical record and/or a financial record or debit card is potentially put at risk – either in electronic or paper format.”

Het rapport onderscheidt drie verschillende oorzaken/vormen van inbreuken op de beveiliging van persoonsgegevens:  een al dan niet criminele hack-actie,  een systeemstoring of een menselijke fout of nalatigheid.

Medewerkers van Ponemon interviewden IT’ers, compliance managers en informatiebeveiligers van 419 organisaties in 12 landen of regio’s: de USA, het Verenigd Koninkrijk, Duitsland, Australië, Frankrijk, Brazilië, Japan, Italië, India, het Midden-Oosten, Canada en de ASEAN regio (Singapore, Indonesië, de Filipijnen en Maleisië).

Voor ons land zullen vooral de bevindingen over ons buurland Duitsland  als benchmark gebruikt kunnen worden: zie 2017 Cost of Data BreachStudy – Germany. Aan dat onderzoek deden 35 Duitse organisaties mee. Het blijkt dat de kosten (per gecompromitteerd record) gemiddeld gedaald zijn van €154 in 2016 tot €149 in 2017. Ook de totale kosten per incident daalde licht: van 3,61 miljoen naar €3,42 miljoen. Het gaat bij deze bedragen overigens om werkelijk door de deelnemers gerapporteerde kosten, dus niet om theoretische berekeningen!

De 35 deelnemers rapporteerden elk tussen de 5000 en 81.800 ‘verloren’ records, met een gemiddelde van 22.490. NB: ‘grote’ incidenten, waarbij meer dan 100.000 records getroffen werden, zijn niet meegeteld, omdat deze niet representatief geacht worden voor de ‘normale’ praktijk.

Bij het berekenen van de uiteindelijke kosten werden veel verschillende aspecten meegenomen, zoals (natuurlijk) het aantal getroffen records, de tijd die verliep tot de ontdekking van de inbreuk/het lek,  het verloop van de escalatie van het incident, de kosten van reparatie en de post-detectie kosten, zoals het waarschuwen van de getroffen gegevenseigenaren.

Er zijn forse verschillen te constateren in de uiteindelijke kosten per record, per sector:

Meer vergelijkingscijfers via de 2017 Cost of Data Breach Study-Global Overview.