Netherlands

Cyberrisico’s in de retail- en wholesalesector

 

Blog

Tot hoever mogen retail- en wholesalebedrijven bij hun marketing gaan in het gebruik van online verkregen persoonsgegevens? Die vraag stond centraal op 27 maart 2015, toen het Hof van Beroep van Engeland en Wales zich uitsprak in de zaak Google versus Vidal-Hall. Het ging over Google's vermeend gebruik en verkoop van browser-gegenereerde informatie. Die werd via cookies verzameld zonder medeweten of toestemming van de eiser.

Het Hof oordeelde helder: Google was in overtreding. Belangrijke conclusie van het Hof is dat van financiële schade geen sprake hoeft te zijn om van privacy-schending te kunnen spreken. De gevolgen van deze uitspraak kunnen groot zijn voor de retail- en wholesale sector, waar steeds meer (privacygevoelige) data digitaal en online opgeslagen wordt.

In de Verenigde Staten kreeg Google met vergelijkbare claims te maken. Die werden toen nog gesetteld voor bijna 40 miljoen USD.

Meldplicht datalekken
Ook in Nederland zijn steeds meer juridische ontwikkelingen gaande die retailers en wholesalers raken. Een zeer recent voorbeeld is de meldplicht datalekken, een wetsvoorstel dat onlangs door de Eerste Kamer is aangenomen. Die verplicht organisaties een datalek aan het College Bescherming Persoonsgegevens en de personen in kwestie te melden. Het College kan dankzij deze wet straks ook forse boetes uitdelen (tot 810.000 euro of 10% van de jaaromzet). Dat is niet alleen rechtstreekse financiële schade, maar brengt ook veel negatieve publiciteit met zich mee.

De plicht om datalekken te melden wordt mogelijk nog strenger als de voorgestelde EU Privacy-verordening binnenkort aangenomen wordt. Die legt nog meer nadruk op IT-beveiliging en toezicht; er wordt gesproken over boetes die kunnen oplopen tot 1 miljoen euro of 2% van de wereldwijde omzet.

Bestuurdersaansprakelijkheid
Naast jurisprudentie en wet- en regelgeving is ook bestuurdersaansprakelijkheid een reden om cyberrisico’s (meer) aandacht te geven. Van zo’n aansprakelijkheid kan onder meer sprake zijn als gebruikelijke en noodzakelijke verzekeringen niet afgesloten zijn. Een bekend voorbeeld is een evenementenbureau, waarvan de rechtbank in Den Haag in 2011 het bestuur aansprakelijk stelde wegens het ontbreken van een bedrijfsaansprakelijkheidsverzekering. Nu retailers en wholesalers steeds afhankelijker worden van IT en online data, security en bedieningsconcepten, moeten ook hun bestuurders rekening houden met aansprakelijkheidsclaims in geval van verlies, vernietiging of diefstal van digitale gegevens. Passende beheersmaatregelen voor zulke incidenten zijn het enige wapen tegen claims.

Dat ook de directe financiële gevolgen van een datalek, systeemuitval of hack groot kunnen zijn, bewijzen diverse studies. Het Ponemon Institute berekende dat de kosten van een datalek tussen de 100 en 300 euro per record van klant- of medewerkersgegevens liggen. Daarbij dient te worden aangetekend dat de onderzoekers alleen datalekken tot aan 100.000 records onderzochten. Het Verizon 2015 Data Breach Investigations Report komt voor een datalek van 10 miljoen records uit op kosten variërend van een kleine 2 miljoen euro tot ruim 70 miljoen euro.

Al met al wordt het voor retailers en wholesalers steeds belangrijker om na te gaan hoe data wordt verzameld, opgeslagen, gebruikt en beschermd. Cyberrisico’s dienen daarom niet geïsoleerd bekeken te worden. Ze moeten verweven zijn in de strategie en beleidsbepaling van de raad van bestuur en raad van commissarissen. Het einddoel zijn concrete beheersmaatregelen om de onderneming tegen schadeclaims te beschermen.

Meer informatie over cyberrisico’s is te vinden op www.aon.nl/cyber.

Eelco Ouwerkerk, Industry Director Wholesale & Retail bij Aon