Drie jaar AVG: een overzicht in cijfers


Drie jaar AVG: een overzicht in cijfers

Veel organisaties kunnen zich het nog wel herinneren: de dag waarop de AVG werd geïntroduceerd. Op 25 mei 2018 werd de AVG geïntroduceerd. Voor sommigen een logische stap, terwijl er voor anderen veel aanpassingen moesten worden gedaan.

Hoe staan we er nu voor en wat is er allemaal gebeurd in drie jaar AVG?

 

Meer aanpassingen door de AVG

Ondanks dat de AVG alweer drie jaar geleden z’n intrede heeft gedaan, wordt er nog weleens vergeten wat er is veranderd. Met de toename van het aantal datalekken veroorzaakt door hacking, malware en phishing in 2020, blijkt nog niet iedereen de juiste maatregelen te hebben genomen.

Maar, wat veranderde er ook alweer met de AVG? Hier een kort overzicht (bron Autoriteit Persoonsgegevens) :

De verzameling van gegevens op basis van:

  • Toestemming van de gebruiker
  • Vitale belangen
  • Wettelijke verplichting
  • Overeenkomst
  • Algemeen belang
  • Gerechtvaardigd belang

Technische en organisatorische maatregelen

  • Register met alle verwerkingen
  • Gegevensbeschermingsbeleid
  • (Digitale) beveiliging

Daarnaast hebben de betrokkenen meer rechten gekregen:

  • Recht om gegevens in te zien
  • Recht om te wijzigen
  • Recht om vergeten te worden
  • Recht om gegevens over te dragen
  • Recht op informatie.

Waar het in feite op neerkomt, is dat betrokkenen meer rechten hebben gekregen wat betreft het verwerken van persoonsgegevens. Waar het eerst mogelijk was om gegevens langer te bewaren dan nodig, is dit nu niet meer het geval.

 

Dit is wat er in drie jaar AVG is gebeurd

De meeste organisaties hebben de juiste technische maatregelen kunnen nemen. Hierdoor werden de nare gevolgen van een datalek bespaard: boetes die konden oplopen tot 4% van de wereldwijde jaaromzet, reputatieschade en kostenverlies door stilgevallen activiteiten.

Toch heeft niet iedere organisatie zich even goed kunnen beschermen. Het aantal datalekken veroorzaakt door hacking, malware en phishing in 2020 is gestegen met 30% ten opzichte van het jaar ervoor. Wat er nog meer is veranderd, zie je hier:

Recognize Insider threats (12)-1

 

  • Duitsland voert de lijst aan als het aankomt op de meest gemelde datalekken. Vanaf de invoering van de AVG zijn er 77.747 datalekken gemeld. Hiermee laat het landen zoals Nederland (nummer twee met 66.527 gemelde datalekken) en het Verenigd Koninkrijk (nummer drie met 30.536 gemelde datalekken) achter zich. Hoewel dit veel datalekken zijn, kan er ook worden gezegd dat de meldplicht datalekken strikt wordt nageleefd.

  • Per 100.000 inwoners in Nederland, zijn dit 150 datalekken. Dat zijn er op een bevolking van ruim 17 miljoen inwoners best veel.

  • Sinds de invoering van de AVG heeft de Autoriteit Persoonsgegevens al €2.540.000 aan boetes uitgedeeld.

  • In Europa zijn er sinds de invoering van de AVG in totaal €272.500.000 aan boetes uitgedeeld.

  • De drie grootste boetes in Europa zijn:
    • De Franse databescherming autoriteit CNIL gaf in 2019 een boete van €50.000.000 aan Google Inc. door gebrek aan transparantie over hun AVG-regels.
    • De Hamburgse databescherming autoriteit gaf in 2020 een boete van €35.260.000 aan een wereldwijde detailhandelaar omdat hun juridische redenen voor het opslaan van data niet goed genoeg waren.
    • De Italiaanse databescherming autoriteit, de Garante, heeft in 2020 een boete van €27.800.000 uitgedeeld aan een telecommunicatie bedrijf voor een gebrek aan transparantie.

 

Europese databescherming autoriteiten

In Europa staat de General Data Protection Regulation (GDPR) centraal. Deze wet is er sinds 2016 en verplicht organisaties in Europa om de persoonlijke gegevens van EU-burgers te beschermen als deze worden uitgewisseld binnen de EU. Deze norm vormt de basis, maar elk land heeft zijn eigen autoriteit die de naleving hiervan monitort en die datalekken registreert. Hier wat voorbeelden van Europese autoriteiten:

  • De Autoriteit Persoonsgegevens (AP) is in Nederland het meldpunt voor datalekken. Binnen 72 uur moet je als organisatie een datalek bij hen melden.
  • In Duitsland is de nationale autoriteit de Bundesdatenschutzgesetz (BDSG). Hier worden alle Duitse datalekken gemeld.
  • Het Verenigd Koninkrijk heeft ook een eigen variant. De Information Commissioner’s Office (ICO) beschermt hier de data van hun burgers.
  • Buurland Ierland heeft de norm The Data Protection Commission (DPC) die ervoor zorgt dat de GDPR wordt nageleefd.
  • In Zweden zorgt de Integritetsskyddsmyndigheten (IMY) ervoor dat de data van burgers wordt beschermd.
  • In België is de Autorité de protection des données (APD) oftewel de Gegevensbeschermingsautoriteit (GBA) het meldpunt voor alle datalekken.
  • Datatilsynet is de Deense autoriteit op het gebied van databescherming en datalekken.

 

De beste verdediging tegen datalekken

Niemand zit te wachten op een datalek. Er zijn gelukkig meerdere manieren om dit te voorkomen. Hier een paar tips:

  • Train je werknemers. Maak ze bewust van databeveiliging en voorkom dat ze een datalek veroorzaken door bijvoorbeeld een phishing-aanval.
  • Gebruik twee-factor authenticatie als je gevoelige informatie uitwisselt.
  • Gebruik een password manager om de wachtwoorden van je werknemers te versterken.

 

Wil je nog meer weten over het voorkomen van datalekken? Download dan onze whitepaper en leer hoe je dit eenvoudig kunt doen:

Download nu!

Similar posts