Cyberaanval kan tot schadeclaims leiden

Na de Universiteit Maastricht en geldwisselbedrijf Travelex zijn nu ook Medisch Centrum Leeuwarden en Gemeente Zutphen getroffen door een cyberaanval. Zo’n aanval kan een organisatie platleggen, maar het verhaal kan ook nog een venijnig staartje krijgen. Kor de Boer, privacy-expert en commercieel directeur van Privacy Zeker, waarschuwt voor het risico op schadeclaims van gedupeerden.

De dreiging van cybercriminaliteit

‘De recente cyberaanvallen tonen aan dat Nederlandse organisaties kwetsbaar zijn. Niet alleen publieke instellingen, maar ook bedrijven zijn slachtoffer. Veel ondernemers steken nog steeds de kop in het zand; denken dat cybercrime een ver-van-hun-bed-show is en onderschatten hiermee de risico’s van cybercriminaliteit. Toch heeft één op de twee bedrijven al te maken gehad met een vorm van internetcriminaliteit. Vaak zonder dit direct door te hebben.

Schrikbarende cijfers

Ondernemers komen er gemiddeld na 191 dagen achter dat ze slachtoffer zijn, zo blijkt uit de Cybersecuritymonitor van het CBS. De cijfers van de politie liegen er ook niet om: het aantal aangiftes van cybercrime in 2019 is 64 procent hoger dan in 2018. Het aantal aangiftes van cybercrime valt in het niet bij het aantal slachtoffers.

Slechts een fractie van de slachtoffers doet aangifte. Deze lage aangiftebereidheid kan voortkomen uit schaamte of het idee dat de cybercriminelen toch niet gepakt worden. De verdiensten voor de criminelen zijn hoog en de pakkans is laag. Cybercrime is daarom één van de snelst groeiende vorm van criminaliteit en de dreiging zal alleen maar toenemen.

Schadeclaims en boete

Organisaties moeten de persoonsgegevens die ze verwerken goed beveiligen. Volgens de privacywetgeving (AVG) moeten organisaties hiervoor ‘passende technische en organisatorische maatregelen’ nemen. Wanneer blijkt dat de beveiliging niet op orde was tijdens een cyberaanval, kunnen gedupeerden – degenen van wie de persoonsgegevens zijn gestolen – een schadeclaim indienen. Verantwoordelijke organisaties moeten op grond van de AVG namelijk alle materiële en immateriële schade vergoeden. Het verlies van controle over persoonsgegevens – en dus schending van het privacy-grondrecht – kan op zichzelf al een schade zijn die een vergoeding eist.

Kostbare nalatigheid

Vorig jaar werd er twee keer een schadevergoeding toegekend door een rechtbank, nadat persoonsgegevens waren gelekt. In één van de rechtszaken werd een schadevergoeding van € 500,- toegekend aan een gedupeerde wiens gegevens onterecht waren doorgestuurd. In de andere zaak werd de schade voor één persoon op € 250,- geschat. Deze uitspraken worden gezien als startschot voor (massa)claims vanwege privacyschending. Reken maar uit wat het je gaat kosten als al je klanten een schadeclaim indienen.

Ook nog risico op AP-boete

Naast de schadeclaims hangt een getroffen organisatie een boete van de Autoriteit Persoonsgegevens boven het hoofd. Ik verwacht dat de opkomst van schadeclaims op grond van privacyschending organisaties dwingt zorgvuldiger met persoonsgegevens en de beveiliging hiervan om te gaan. Wanneer je als ondernemer kunt aantonen dat de privacyzaken binnen jouw bedrijf goed op orde zijn, werkt dit ook in je voordeel. Op deze manier laat je zien dat jij je klanten en leveranciers serieus neemt en dat hun gegevens veilig zijn bij jou.’

Doe de gratis AVG- en beveiligingscheck

Databeveiliging is een belangrijk thema binnen de AVG. Voldoet uw bedrijf al aan alle eisen die de AVG stelt? Twijfelt u of u alles wel goed geregeld heeft? Of heeft u eigenlijk geen idee? Privacy Zeker heeft een handige AVG- en beveiligingscheck. Daarmee komt u er binnen 10 minuten achter of uw bedrijf al AVG-proof is of aan welke punten u nog aandacht moet besteden, zowel op juridisch als op technisch vlak.

Dit artikel is geplaatst door

Kor de Boer Commercieel Directeur van Privacy Zeker
Kor de Boer
Commercieel directeur
Logo Privacy Zeker