De link tussen BA, Marriott en Haga

      Reacties uitgeschakeld voor De link tussen BA, Marriott en Haga

Vorige week maakte de Britse toezichthouder ICO bekend dat het twee boetes zal opleggen wegens niet voldoen aan de AVG. Dinsdag was het de Nederlandse toezichthouder AP die liet weten dat het Haga ziekenhuis zich niet aan de AVG houdt. Ook die misstand zal met een forse boete worden bestraft. De drie zaken leiden tot de nodige discussie.

Simpele cases

Van enige afstand gaat het in alle drie de gevallen heel simpel om het niet voldoen aan de eisen die de AVG stelt. Data moet permanent en afdoende beschermd zijn, onbevoegden moeten er niet mee aan de haal kunnen gaan. Bij British Airways heeft een datalek geleid tot het ontvreemden van persoonsgegevens. Bij Marriott geldt dat het een concurrent heeft overgenomen, zonder te onderzoeken hoe daar de data was beveiligd. Als gevolg daarvan bleef een datalek, waarbij de data van 30+ miljoen EU burgers zijn gestolen, nog twee jaar langer onopgemerkt. Het Haga ziekenhuis in de regio Den Haag blijkt niet in staat en bereid patiëntgegevens te beschermen.

Eigenlijk was te verwachten dat de meeste artikelen over deze drie zaken suggesties voor verbetering zouden doen. Dat kan door de mening van de journalist weer te geven. Het kan ook door de mening van een deskundige of leverancier weer te geven. In een aantal artikelen zien we dat ook terugkomen. De lezer weet daardoor bij benadering hoe dergelijke ernstige incidenten in de toekomst te vermijden zijn.

Geringe herkenning

Dat laatste is belangrijk en ook een van de redenen waarom de boetbesluiten van de toezichthouders openbaar zijn. De markt kan leren en daarmee herhalingen voorkomen. Dat lerende effect is in deze drie gevallen echter mogelijk kleiner dan gedacht. De reden daarvoor is dat de cases, die op zich als bekend kunnen worden ingeschat, nog steeds een ver van de bed show zijn voor de meeste ondernemers en werknemers. Hotelketens, luchtvaartmaatschappijen en ziekenhuizen zijn elk op zich redelijk uniek. De kans dat een garagebedrijf of hostingproviders de situaties herkent of aan de eigen business kan relateren is gering. Er is mede daarom iets anders zichtbaar bij de reacties rond de drie boetes. De meeste vragen en opmerkingen gaan over de juistheid en hoogte van de boetes.

Knuddels

Die situatie is anders toen eind vorig dit jaar de eerste Duitse boete bekend werd. Die was veel kleiner dan de miljoenen die ICO wil incasseren en de vier ton die de AP oplegt. De online community Knuddels kreeg een boete van 20.000 Euro opgelegd omdat het de wachtwoorden van de gebruikers in plaintext had opgeslagen. Toen hackers eenmaal binnen waren hadden ze de rijke buit zonder verdere inspanningen in handen.

De reacties op die zaak was echt anders dan wat we nu zien. De herkenbaarheid van de situatie leidde tot andere discussies. Dat er sprake was van meer sympathie met de Duitse site dan voor BA en Marriott kan ook niet worden ontkend. Dat ondernemers (in ieder geval in Duitsland) meer tot denken en handelen zijn aangezet door Knuddels dan door de hotelketen of luchtvaartmaatschappij ligt dan ook voor de hand.

Voor Nederland geldt dat Haga op dit moment de eerste grotere case is. Ziekenhuizen zijn een sector waar weinigen zich mee identificeren. Het gevolg lijkt daarmee vooralsnog dat we, net als bij BA en Marriott, de zaak gebruiken vooral gebruiken voor het verkeerde soort discussie. De link tussen de drie is dan ook dat ze niet of amper bijdragen tot het vergroten van AVG awareness.