Wat kost een datalek écht? Alle (verborgen) kostenposten op een rij

Als we het hebben over een datalek, gaat het vaak direct over de boetes van de Autoriteit Persoonsgegevens. Hoewel die bedragen fors kunnen zijn, vormen ze vaak maar een fractie van de totale schade van een datalek. De echte kosten zitten dieper in de organisatie en kunnen maandenlang doorsluimeren.

Wilt u weten wat een datalek onder de streep kost? Dan moeten we kijken naar de omvang van uw bedrijf, het type gegevens dat op straat ligt en de directe gevolgen voor uw bedrijfsvoering.

Wat is een datalek?

Voordat we naar de kosten kijken, is de vraag: wanneer is er sprake van een datalek? Volgens de wet is een datalek AVG-gerelateerd zodra persoonsgegevens verloren zijn gegaan of als er sprake is van onrechtmatige verwerking. Dit kan gaan over een gehackte database, maar ook over een kwijtgeraakte USB-stick of oude harde schijven die niet goed zijn gewist. In al deze gevallen hebben onbevoegden toegang (gehad) tot informatie die niet voor hen bestemd was.

Wilt u weten wat een datalek onder de streep kost? Dan moeten we kijken naar de omvang van uw bedrijf, het type gegevens dat op straat ligt en de directe gevolgen voor uw bedrijfsvoering.

MKB versus grote organisaties: andere bedragen, zelfde risico

Datalekken raken elke organisatie, ongeacht de grootte. Waar grote bedrijven vaak miljoenen aan herstelkosten kwijt zijn, staat bij een MKB-ondernemer direct de voortgang van het bedrijf op het spel. De hoogte van de uiteindelijke rekening verschilt, maar de financiële dreiging is voor iedereen even reëel.

Het MKB: impact op de continuïteit

Voor een middelgroot bedrijf liggen de kosten van een datalek gemiddeld tussen de €50.000 en €150.000. Dit lijkt misschien behapbaar vergeleken met multinationals, maar voor veel MKB-bedrijven is dit het verschil tussen winst of verlies aan het einde van het jaar. De schade zit hier vaak in het feit dat de eigenaar of het management wekenlang bezig is met brandjes blussen in plaats van ondernemen.

Grote organisaties: schade in de miljoenen

Bij grotere organisaties lopen de bedragen snel op tot miljoenen euro’s, met een gemiddelde van €4 miljoen per incident. Een groot datalek ontstaat vaak doordat er tienduizenden persoonlijke dossiers tegelijkertijd op straat liggen. Hoe meer individuele klantgegevens er lekken, hoe hoger de kosten voor de verplichte meldingen, de juridische bijstand en de uiteindelijke compensatieregelingen voor alle gedupeerden.

Waar betaalt u precies voor?

De kosten van een datalek zijn op te splitsen in vier duidelijke categorieën:

1. Stilstand en herstel: Zodra een lek ontdekt wordt, moet de bron worden gevonden. Soms moeten systemen tijdelijk plat. Dit betekent dat uw personeel niet kan werken en de omzet stopt, terwijl de kosten voor externe IT-specialisten en forensisch onderzoekers hard oplopen.
2. Juridische claims en schadevergoedingen: Gedupeerden hebben recht op een vergoeding als hun privacy is geschonden. We zien steeds vaker dat advocatenkantoren een massaclaim datalek indienen namens duizenden klanten tegelijk.
3. Reputatieschade: Dit is de moeilijkste post om te berekenen, maar vaak de hardnekkigste. Bestaande klanten vertrekken en nieuwe klanten kiezen voor een concurrent die de beveiliging wel op orde lijkt te hebben.
4. De AVG-boete: De Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Dit is een bittere pil die boven op alle operationele schade komt.

Maakt het uit welke data er lekt?

Het maakt zeker uit wat voor data er lekt. In een eerder artikel legden we al uit dat de AVG onderscheid maakt tussen verschillende soorten gegevens. De financiële gevolgen volgen diezelfde logica:

• Gewone persoonsgegevens: Naam- en adresgegevens zijn vervelend, maar de financiële impact blijft vaak beperkt tot administratieve afhandeling.
• Financiële gegevens en BSN-nummers: Hier schieten de kosten omhoog. Het risico op identiteitsfraude is groot, waardoor de bewakingskosten (zoals het monitoren van kredietwaardigheid voor slachtoffers) voor uw rekening komen.
• Bijzondere gegevens: Informatie over gezondheid, religie of politieke voorkeur is het duurst. De wetgever oordeelt hier veel strenger over, wat direct terug te zien is in de hoogte van de boetes en de toegekende schadevergoedingen.

De onnodige kostenpost: oude hardware

Een datalek persoonsgegevens dat eenvoudig te voorkomen is, is wanneer hardware de organisatie verlaat. Bekende voorbeelden van een datalek zijn computers die op veilingsites belanden terwijl de schijf nog vol staat met gevoelige bedrijfsinformatie. Bij het verkopen van oude laptops of het vervangen van een server, is het belangrijk om op een juiste manier met data om te gaan. Als er nog data op de afgevoerde apparaten staat, bent u namelijk aansprakelijk. Een datalek dat ontstaat doordat apparatuur onveilig is afgevoerd, wordt door de toezichthouder gezien als nalatigheid. Dit weegt zwaar mee in de uiteindelijke sanctie.

Datalek voorkomen

A datalek voorkomen begint bij het veilig verwijderen van gegevens van oude apparaten. Voorkomen is in dit geval simpelweg vele malen goedkoper dan genezen. Door te zorgen voor een gesloten proces waarbij data onherstelbaar wordt gewist, neemt u de grootste financiële risico’s weg.

Bij W3E nemen we de zorg voor uw data volledig uit handen. Wij waarborgen dat aan alle AVG-verplichtingen wordt voldaan en dat elke bit aan informatie onherstelbaar wordt vernietigd. Hierdoor kunt u met een gerust hart afscheid nemen van uw oude hardware, in de wetenschap dat klantgegevens en gevoelige informatie nooit in de verkeerde handen vallen. Zo voorkomt u niet alleen een datalek, maar ook de onnodige financiële gevolgen die daarbij horen. 

Wilt u uw dataveiligheid garanderen? Neem contact met ons op voor een vrijblijvend advies of een offerte op maat.