Wat kost een GDPR-datalek – afgezien van eventuele boetes?

Al weer voor de twaalfde keer turfde het Ponemon Instituut in opdracht van IBM, wat de feitelijke kosten zijn van ‘data breaches’, zeg maar GDPR-incidenten. Het resulterend rapport, de 2017 Cost of Data Breach Study, definieert  dergelijke incidenten als  “ [events] in which an individual’s name plus Social Security number, medical record and/or a financial record or debit card is potentially put at risk – either in electronic or paper format.”

Het rapport onderscheidt drie verschillende oorzaken/vormen van inbreuken op de beveiliging van persoonsgegevens:  een al dan niet criminele hack-actie,  een systeemstoring of een menselijke fout of nalatigheid.

Medewerkers van Ponemon interviewden IT’ers, compliance managers en informatiebeveiligers van 419 organisaties in 12 landen of regio’s: de USA, het Verenigd Koninkrijk, Duitsland, Australië, Frankrijk, Brazilië, Japan, Italië, India, het Midden-Oosten, Canada en de ASEAN regio (Singapore, Indonesië, de Filipijnen en Maleisië).

Voor ons land zullen vooral de bevindingen over ons buurland Duitsland  als benchmark gebruikt kunnen worden: zie 2017 Cost of Data BreachStudy – Germany. Aan dat onderzoek deden 35 Duitse organisaties mee. Het blijkt dat de kosten (per gecompromitteerd record) gemiddeld gedaald zijn van €154 in 2016 tot €149 in 2017. Ook de totale kosten per incident daalde licht: van 3,61 miljoen naar €3,42 miljoen. Het gaat bij deze bedragen overigens om werkelijk door de deelnemers gerapporteerde kosten, dus niet om theoretische berekeningen!

De 35 deelnemers rapporteerden elk tussen de 5000 en 81.800 ‘verloren’ records, met een gemiddelde van 22.490. NB: ‘grote’ incidenten, waarbij meer dan 100.000 records getroffen werden, zijn niet meegeteld, omdat deze niet representatief geacht worden voor de ‘normale’ praktijk.

Bij het berekenen van de uiteindelijke kosten werden veel verschillende aspecten meegenomen, zoals (natuurlijk) het aantal getroffen records, de tijd die verliep tot de ontdekking van de inbreuk/het lek,  het verloop van de escalatie van het incident, de kosten van reparatie en de post-detectie kosten, zoals het waarschuwen van de getroffen gegevenseigenaren.

Er zijn forse verschillen te constateren in de uiteindelijke kosten per record, per sector:

Meer vergelijkingscijfers via de 2017 Cost of Data Breach Study-Global Overview.

Arne Lasance begon zijn carrière in de uitgeverij, als journalist voor een managementblad. Snel daarna vervulde hij diverse uitgevers- en managementfuncties. Vanaf begin jaren ‘90 was hij corporate business consultant en projectmanager voor intranet- en internetpublishingprojecten.
Posts created 138

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Gerelateerde berichten

Type je zoekwoorden hierboven en druk op Enter om te zoeken. Druk ESC om te annuleren.

Terug naar boven