56 miljoen euro aan boetes - resultaten van het jaar met GDPR

Er zijn gegevens gepubliceerd over het totale bedrag aan boetes voor overtredingen van de regelgeving.

/ foto Bankenverband PD

Wie publiceerde het rapport over de hoogte van de boetes

De Algemene Verordening Gegevensbescherming bestaat in mei pas een jaar, maar de Europese toezichthouders hebben dat al gedaan resultaten. In februari 2019 werd een rapport met de bevindingen van de AVG uitgebracht door de European Data Protection Board (EDPB), het orgaan dat toezicht houdt op de naleving van de verordening.

Eerste boetes onder AVG waren laag vanwege de onvoorbereidheid van bedrijven op de inwerkingtreding van regelgeving. In principe betaalden overtreders van de regelgeving niet meer dan een paar honderdduizend euro. Het totale bedrag aan boetes bleek echter behoorlijk indrukwekkend: bijna € 56 miljoen. In het rapport verstrekte de EDPB andere informatie over de “relatie” van IT-bedrijven en hun klanten.

Wat staat er in het document en wie heeft de boete al betaald?

Sinds de verordening van kracht werd, hebben Europese toezichthouders ongeveer 206 gevallen van schending van de beveiliging van persoonsgegevens geopend. Bijna de helft daarvan (94) was gebaseerd op klachten van particulieren. EU-burgers kunnen een klacht indienen over schendingen van de verwerking en opslag van hun persoonsgegevens en contact opnemen met de nationale regelgevende instanties, waarna de zaak wordt onderzocht in de jurisdictie van een bepaald land.

De belangrijkste onderwerpen waarmee klachten van Europeanen verband hielden, waren schendingen van de rechten op het gebied van persoonsgegevens en consumentenrechten, evenals het lekken van persoonsgegevens.

Nog eens 64 zaken werden geopend na meldingen van datalekken door de bedrijven die verantwoordelijk waren voor het incident. Het is niet precies bekend hoeveel van de zaken tot boetes hebben geleid, maar in totaal hebben de overtreders €864 miljoen betaald. volgens informatiebeveiligingsexperts zal het grootste deel van dit bedrag aan Google moeten worden betaald. In januari 2019 legde de Franse toezichthouder CNIL de IT-gigant een boete van €50 miljoen op.

De procedure in deze zaak duurde vanaf de eerste dag van de AVG - een klacht tegen het bedrijf werd ingediend door de Oostenrijkse gegevensbeschermingsactivist Max Schrems. De oorzaak van de ontevredenheid van de activist staal onvoldoende precieze formulering in de toestemming voor de verwerking van persoonsgegevens, die gebruikers accepteren bij het aanmaken van een account vanaf Android-apparaten.

Vóór de zaak van de IT-gigant waren de boetes voor het niet naleven van de AVG aanzienlijk lager. In september 2018 betaalde een Portugees ziekenhuis €400 voor een kwetsbaarheid in zijn medische opslagsysteem. records, en € 20 - een Duitse chattoepassing (logingegevens en wachtwoorden van klanten werden in niet-gecodeerde vorm opgeslagen).

Wat experts zeggen over de regelgeving

Toezichthouders zijn van mening dat de AVG na negen maanden zijn effectiviteit heeft bewezen. Volgens hen heeft de verordening ertoe bijgedragen dat de aandacht van gebruikers werd gevestigd op de kwestie van de beveiliging van hun eigen gegevens.

Deskundigen wijzen ook op enkele tekortkomingen die tijdens het eerste jaar van de verordening merkbaar werden. De belangrijkste daarvan is het ontbreken van een uniform systeem voor het bepalen van het bedrag van de boetes. Door volgens advocaten leidt het ontbreken van algemeen aanvaarde regels tot een groot aantal beroepsprocedures. Klachten moeten worden behandeld door commissies voor gegevensbescherming, wat betekent dat de autoriteiten minder tijd hoeven te besteden aan oproepen van EU-burgers.

Om dit probleem aan te pakken hebben toezichthouders uit Groot-Brittannië, Noorwegen en Nederland dat al gedaan ontwikkelen regels voor het bepalen van het terugvorderingsbedrag. Het document verzamelt factoren die van invloed zijn op de hoogte van de boete: de duur van het incident, de snelheid van de reactie van het bedrijf, het aantal slachtoffers van het lek.

/ foto Bankenverband CC BY-SA

What's Next

Experts zijn van mening dat het voor IT-bedrijven nog te vroeg is om te ontspannen. Het is waarschijnlijk dat de boetes voor het niet naleven van de AVG in de toekomst zullen stijgen.

De eerste reden zijn frequente datalekken. Volgens statistieken uit Nederland, waar al vóór de AVG inbreuken op de opslag van persoonsgegevens werden gemeld, daalde het aantal meldingen over lekken in 2018 is gegroeid tweemaal. Door volgens Volgens gegevensbeschermingsexpert Guy Bunker worden er bijna dagelijks nieuwe schendingen van de AVG bekend, en daarom zullen toezichthouders in de nabije toekomst overtredende bedrijven harder gaan behandelen.

De tweede reden is het einde van de “zachte” aanpak. In 2018 waren boetes een laatste redmiddel; vooral toezichthouders probeerden bedrijven te helpen klantgegevens te beschermen. Er worden echter in Europa al verschillende gevallen overwogen die zouden kunnen leiden tot hoge boetes op grond van de AVG.

In september 2018 vond een grootschalig datalek plaats heeft plaatsgevonden bij British Airways. Door een kwetsbaarheid in het betalingssysteem van de luchtvaartmaatschappij kregen hackers vijftien dagen lang toegang tot de creditcardgegevens van klanten. Naar schatting 400 personen werden getroffen door de hack. Specialisten op het gebied van informatiebeveiliging verwachtendat de luchtvaartmaatschappij de eerste maximale boete in Groot-Brittannië kan betalen – deze zal € 20 miljoen bedragen of 4% van de jaaromzet van het bedrijf (afhankelijk van welk bedrag het hoogste is).

Een andere kanshebber voor grote financiële straffen is Facebook. De Ierse Data Protection Commission heeft tien zaken tegen de IT-gigant geopend vanwege verschillende schendingen van de AVG. De grootste hiervan vond afgelopen september plaats: een kwetsbaarheid in de sociale netwerkinfrastructuur toegestaan hackers om tokens te verkrijgen voor automatisch inloggen. De hack trof 50 miljoen Facebook-gebruikers, van wie 5 miljoen inwoners van de EU. Volgens editie ZDNet kan dit datalek alleen al het bedrijf miljarden dollars kosten.

Als gevolg hiervan moet u erop voorbereid zijn dat de AVG in 2019 zijn kracht zal tonen en dat regelgevende instanties niet langer “de ogen zullen sluiten” voor schendingen. Hoogstwaarschijnlijk zullen er in de toekomst alleen maar meer spraakmakende gevallen van overtreding van de regelgeving plaatsvinden.

Berichten uit de eerste blog over corporate IaaS:

• Wat u moet weten over PCI DSS: standaardoverzicht
• Het effect van GDPR: hoe de nieuwe regelgeving het IT-ecosysteem beïnvloedde
• Regulering van het werk met persoonlijke gegevens in Rusland en Europa

Waar schrijven we over? in ons Telegram-kanaal:

• Wie ondersteunt cloudprojecten - we hebben het over vier open source-fondsen
• Hardware beheren in een datacenter - twee nieuwe technologieën
• Waarom harde schijven steeds minder snel kapot gaan

Bron: www.habr.com