Risico

Eerst een stapje terug. Als het gaat over informatiebeveiligingsrisico’s is het belangrijk om twee dingen in gedachten te houden:

1. Een risico is een onzekerheid op een (organisatorische) doelstelling. Denk aan het maken van winst, verlenen van zorg, of het bedienen van burgers. Geen relatie met een doelstelling? Geen risico.
2. Risico is een functie van kans en impact. Alleen als een datalek kan plaatsvinden én je als organisatie daar negatieve gevolgen van ondervindt, is er sprake van een risico. Een datalek van het door de organisatie gedeponeerde jaarverslag van 2024 is niet zo interessant.

Met dit in gedachten komt de vraag op, op welke manier (een datalek van) persoonsgegevens een onzekerheid op bedrijfsdoelstellingen vormt.

Impact

De directe impact op een organisatie in het geval van een datalek is niet vanzelfsprekend groot. Immers:

• Vindt er geen bedrijfsonderbreking plaats; primaire bedrijfsprocessen kunnen gewoon doorgaan
• Is een boete op basis van de AVG in het geval van een datalek niet per definitie aan de orde, en al helemaal niet de 4% van de wereldwijde jaaromzet waar menig bestuurder mee bang gemaakt wordt

Hierdoor lijkt er weinig relatie te zijn met de bedrijfsdoelstellingen van de organisatie.

Of... toch wel?

Het zwaartepunt van een datalek zit hem in de indirecte impact op een organisatie. De organisatie kan weliswaar nog functioneren, maar toch gebeurt er direct na een datalek op de achtergrond een hoop:

• Getroffen individuen moeten vanuit de AVG geïnformeerd worden, terwijl je zelf op dat moment ook nog op zoek bent naar antwoorden.
• De meldplicht vanuit de AVG en NIS2/Cbw komt om de hoek kijken
• De pers heeft vragen, op LinkedIn barst de speculatie los en voor je het weet wordt diezelfde avond in een talkshow een onjuist beeld geschetst.
• Het oude doemsdag verhaal over een AVG-boete van 4% van de wereldwijde jaaromzet wordt weer van stal gehaald.
• De capaciteit van de klantenservice moet worden vergroot, want er is veel onduidelijkheid onder klanten
• Afhankelijk van de oorzaak van het datalek moet misschien een Forensisch IT-onderzoek uitgevoerd worden naar de toedracht.

Alleen het organiseren van een (re)actie op deze punten kan al voor een flink prijskaartje (lees: impact) zorgen.

Conclusie

Voor organisaties met een winstoogmerk is het maken van winst een duidelijke bedrijfsdoelstelling. Kosten die je maakt voor het beheersen van het datalek, drukken de winst op korte termijn (bedrijfsdoelstelling). Op lange termijn kan de winst gedrukt worden door een teruglopend marktaandeel, aansprakelijkheid en boetes en vonnissen.

Overheidsinstellingen en NGO’s zijn net wat anders. Zij hebben immers geen winstoogmerk. Voor hun bedrijfsdoelstellingen zijn ze afhankelijk van een budget om hun doelstellingen te realiseren. Kosten die je maakt voor het datalek kun je niet inzetten voor je bedrijfsdoelstellingen.

De impact van een datalek met persoonsgegevens hangt dus echt sterk af van de impact die jouw organisaties op de lange termijn verwacht. Kortstondige ophef in de media hoeft niet te leiden tot een hoge impact onder aan de streep.

Is de impact van een datalek met persoonsgegevens voor jouw organisatie duidelijk?