Κύμα απαιτήσεων & αποζημιώσεων για παραβιάσεις προσωπικών δεδομένων

Πάνω από 200.000 ήταν ο αριθμός των καταγγελιών στις τοπικές αρχές προστασίας δεδομένων προσωπικού χαρακτήρα και άνω των 64.000 ο αριθμός των περιστατικών παραβίασης ασφάλειας προσωπικών δεδομένων το 2018, σύμφωνα με την International Association of Privacy Professionals. 56 εκατ. ευρώ ήταν το ποσό των προστίμων που επιβλήθηκε από τις Τοπικές Αρχές. Οι απαιτήσεις για αποζημιώσεις έναντι παραβιάσεων αναμένεται να πάρουν την μορφή κύματος χιονοστιβάδας και στην Ελλάδα με το που ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων GDPR γίνει νόμος του κράτους, άλλα και όσο η ψηφιακή τεχνολογία εξελίσσεται και μετατρέπεται σε όπλο στα χέρια των κυρβερνοεγκληματιών.

Κόντρες και απειλές

Αξιοσημείωτο είναι ότι η ασφαλιστική αγορά, σύμφωνα με πηγές που επιθυμούν να κρατήσουν για ευνόητους λόγους την ανωνυμία τους, έχει γίνει μάρτυρας διαφόρων φαινομένων κυβερνο-εκβιασμού. Οι κυβερνοεγκληματίες απειλούν, οι απαιτήσεις τους δεν ικανοποιούνται και τότε οι απειλές των κυβερνοεγκληματίων περνούν σε δεύτερη φάση: απειλούν για παραβιάσεις ευαίσθητων προσωπικών δεδομένων. Συμβάντα που αν πραγματοποιηθούν θα κοστίσουν στις επιχειρήσεις μία περιουσία.

Στην μαύρη αγορά προσωπικά ιατρικά δεδομένα

Αντιμέτωπες με παραβιάσεις ασφάλειας προσωπικών δεδομένων έχουν έλθει και οι ασφαλιστικές. Ασφαλιστικές και εταιρείες υγείας στις ΗΠΑ έπεσαν θύματα κλοπών, όπου ευαίσθητα προσωπικά δεδομένα εκλάπησαν και πωλήθηκαν στην “μαύρη αγορά”. Μάλιστα, οι τιμές πώλησης των προσωπικών ιατρικών δεδομένων σε αυτήν την αγορά είναι υψηλότερες ακόμα και από τις τιμές πώλησης των δεδομένων πιστωτικών καρτών. Οι αγοραστές των δεδομένων αυτών μπορούν να τα χρησιμοποιήσουν για την δημιουργία απαιτήσεων από ασφαλιστικές και συνταξιοδοτικά ταμεία.

Άλλοι επικίνδυνοι στόχοι είναι: οι Χρηματοοικονομικοί Οργανισμοί, η Βιομηχανία και το Χονδρεμπόριο, τα Logistics, οι Τηλεπικοινωνίες, τα Ε-shops, οι υπηρεσίες outsourcing, οι εταιρείες telemarketing, τα Μέσα Μαζικής Ενημέρωσης, και λιγότερο κλάδοι όπως το Real Estate, Ψυχαγωγία, Εκπαίδευση, Λιανεμπόριο.

Οι αλλαγές που ήλθαν στην ζωή των επιχειρήσεων

O Κανονισμός εφαρμόζεται από τις 25 Μαΐου 2018 σε όλα τα κράτη μέλη της ΕΕ και ρυθμίζει τα δικαιώματα των φυσικών προσώπων με: Τα προσωπικά τους δεδομένα, την επεξεργασία των προσωπικών τους δεδομένων, την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της ΕΕ, τις διαδικασίες διαβίβασης προσωπικών δεδομένων εκτός ΕΕ.

Ο Κανονισμός επίσης απαιτεί από τις εταιρείες να εκπαιδεύσουν το προσωπικό τους, να πάρουν τα κατάλληλα μέτρα ασφαλείας για την προστασία των πληροφοριών τους, να κάνουν μελέτες επιπτώσεων εξ’ αιτίας παραβιάσεων, να σχεδιάσουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας, να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων, να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (DPO),να έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων. Οι εταιρείες πρέπει να αποδεικνύουν ότι έχουν συμμορφωθεί με τον Κανονισμό.

Τι θεωρείται προσωπικό δεδομένο

Προσωπικά δεδομένα είναι κάθε πληροφορία που δίνει την περιγραφή ενός ατόμου, όπως για παράδειγμα το όνομα, η διεύθυνση κατοικίας, η ηλικία, το επάγγελμα, το οικονομικό στάτους, το επίπεδο μόρφωσης, γενετικά δεδομένα, δεδομένα υγείας, ενδιαφέροντα, δραστηριότητες.

Τι προβλέπεται από τον Κανονισμό σε περίπτωση παραβίασης

Ο Κανονισμός επιβάλλει την υποχρεωτική γνωστοποίηση του συμβάντος μέσα σε 72 ώρες. Αλλά και την επιβολή προστίμων προς τις επιχειρήσεις που δεν έλαβαν τα κατάλληλα μέτρα ασφαλείας προστασίας των δεδομένων των πελατών τους. Το ύψος του προστίμου μπορεί να ανέλθει στο 4% του τζίρου τους ή στα 20 εκατ. ευρώ όποιο από τα δύο αυτά είναι υψηλότερο.

Τα διοικητικά πρόστιμα που επιβάλλονται για την Παραβίαση Προσωπικών Δεδομένων ασφαλίζονται στην Ελλάδα, εν αντιθέσει με τα ποινικά που δεν ασφαλίζονται.

Και οι ασφάλειες που κολλάνε;

Ο ρόλος των ασφαλειών είναι να μεταφέρουν τον κίνδυνο από τους ιδιώτες ή την επιχείρηση στις αγορές, συνεπώς και το cyber insurance είναι εργαλείο του υπολειπόμενου κίνδυνου. Με άλλα λόγια εκείνων των κινδύνων που δεν δύνανται να μειωθούν με τη χρήση διαδικασιών και συναφών πολιτικών διαχείρισης. Στο νέο αυτό περιβάλλον καλούνται να λειτουργήσουν οι επιχειρήσεις και να συμμορφωθούν με τον GDPR.

Οι επιχειρήσεις, λαμβάνοντας υπ’ όψιν ότι δεν υπάρχει ασφάλεια 100%, καλούνται να εξετάσουν τις επιλογές που έχουν ως προς την μεταφορά των κινδύνων που απομένουν με ασφαλιστικά προϊόντα κατά των κυβερνοεπιθέσεων ή πιο σωστά cyber κινδύνων.

Τι είναι η Cyber Ασφάλιση

Το είδος αυτό της ασφάλισης είναι μέρος της συνολικής στρατηγικής των επιχειρήσεων για την διαχείριση των cyber κινδύνων. Η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό παραβίασης, μπορεί όμως να καλύψει τις οικονομικές απώλειες, να δώσει εξειδικευμένες συμβουλευτικές υπηρεσίες, να παρέχει κατάλληλο προσωπικό και κατάλληλες υποδομές όταν επέλθει το συμβάν, να προστατεύσει το εμπορικό σήμα της επιχείρησης και την φήμη της.

Προστασία στους ισολογισμούς των εταιρειών

Σε βασικές γραμμές καλύπτει την αστική ευθύνη έναντι τρίτων, -έξοδα και υπηρεσίες διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών, καλύψεις για διακοπή εργασιών, κυβερνοεκβιασμούς, διοικητικά πρόστιμα έναντι περιστατικών απώλειας δεδομένων.

Σε περίπτωση επέλασης συμβάντος οι εταιρείες θα κληθούν να πληρώσουν τα πρόστιμα που επιβάλλει ο Κανονισμός με αποτέλεσμα να γράψουν μειωμένες επιδόσεις στους ισολογισμούς τους.

Οι πιο σημαντικές αποζημιώσεις

Κύμα απαιτήσεων & αποζημιώσεων για παραβιάσεις Προσωπικών Δεδομένων

Οι πιο σημαντικές περιπτώσεις αποζημιώσεων μεταξύ 2013-2016 οφείλονταν σε ransomware & cyber extortion, σε απώλεια δεδομένων από hacking, σε μη εξουσιοδοτημένη πρόσβαση σε εταιρικά συστήματα, σε malware/virus, σε απώλεια δεδομένων εξ’ αμελείας εργαζομένων, σε κυβερνοεκβιασμό, σε συμβάντα παραβίασης νομοθεσίας προσωπικών δεδομένων, σε λάθη ΙΤ συστημάτων, σε διακοπή ροών εργασιών.