Allemaal leuk en aardig, maar wie krijgt dat geld van de boete? 200M/500K = 400 euro voor iedere benadeelde klant? of zijn het juist die klanten/personeel die mogen boeten door hogere ticketprijzen en geen loongroei..

Ah, de waakhond gebruikt zijn tanden. Goede zaak!

Als het een schadevergoeding was geweest, hadden ze het wel een schadevergoeding genoemd. Dus dat geld gaat neem ik aan gewoon naar de overheid, zoals je van boetes gewend bent.


Dus laten we organisaties die een loopje nemen met hun beveiliging maar de hand boven het hoofd houden, en vooral geen boetes uitdelen. Dat zorgt er vast voor dat organisaties security wel serieus nemen.

Ben kortgeleden ook slachtoffer geworden van een datalek, waarbij iemand met e-mail in plaats van BCC het TO-veld had ingevuld. Hierdoor werden alle contacten meegezonden aan personen die dit niet mochten ontvangen.

Kijken jullie in het vervolg eens uit voordat je op de knop "verzenden" klikt jongens?

Bedankt nog.

Ik heb dat probleem opgelost door een app te installeren voor mijn email client Thunderbird (add-on: Send Later). Je moet een 2tal knoppen extra drukken voordat mail direct of later verstuurd word.Best goede uitbreiding. Inderdaad CC en BCC dat is iets dat nog steeds niet iedereen onder controle heeft. Soms krijg ik hele adressenboeken van mensen die ik nauwlijks ken thuisgestuurd omdat ze CC versturen ipv BCC

Dat beroep is logisch en ik vermoed dat de ICO bij de rechter nat zal gaan.
Ik zie nergens een bewijsvoering van opzettelijke nalatigheid. Dat er ingebroken wordt, dat kan gebeuren.
Als het slachtoffer daarna beboet dat hij de boel maar beter had moeten beveiligen is disproportioneel en onhoudbaar.
Schuld hoort bewezen te worden met een gedegen onderbouwing.
Als deze inbraak zoiets teweeg brengt hoort het ook bij de banken met alle skimming en pishing te gebeuren.

Men is van mening dat áls je gevoelige gegevens verwerkt, dat je dan de verplichting hebt om dat veilig te doen. Dat houdt in a) je eigen software veilig maken en b) geen onveilig en/of malwaregevoelig fundament gebruiken. Voorbeelden bijna dagelijks in het nieuws.

Zorg dat je het op orde hebt want hoge boetes, niet betalende verzekeraars en gezichts- en reputatieverlies liggen op de loer.

Opzettelijke nalatigheid is niet van belang. Artikel 32 GDPR (https://gdpr-info.eu/art-32-gdpr/) zegt: "Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, ..."

De ICO heeft op het datalek gereageerd met een onderzoek, conform de onderzoekende bevoegdheden die ze hebben krachtens artikel 58 lid 1 GDPR (https://gdpr-info.eu/art-58-gdpr/). Deze bevoegdheden geven ze het recht op het hele hebben en houwen van de beveiliging, en die zullen ze dus binnenstebuiten hebben gekeerd. Uit de zinsnede: "The ICO’s investigation has found that a variety of information was compromised by poor security arrangements at the company, ..." blijkt dat de ICO vervolgens uit dit onderzoek een overtreding van artikel 32 GDPR heeft geconstateerd.
Wel is het zo dat de hoogte van de boete mede kan worden bepaald door de vraag of de overtreding alleen maar een overtreding was, of ook nog een keer nalatig of bewust (artikel 83).


Het geld van de boete gaat terug naar de staat. Maar er is een addertje onder het gras. Artikel 79 geeft betrokkenen het recht zelf ook een rechtszaak te starten en artikel 80 om zich te laten vertegenwoordigen. Een fenomeen in de UK zijn de advocatenbureaus die zich specialiseren in claims op basis van een no win, no fee basis. Met een oordeel van de ICO in de hand dat BA in overtreding is (waarbij overigens opgemerkt dat de uitspraak nog niet definitief is, ICO is van plan de kans op wederhoor te geven en verzoekt bovendien om advies van de collega-autoriteiten conform artikel 60 lid 2 GDPR), bestaat de kans dat deze zich op de zaak gaan storten. Dat is vermoedelijk ook de reden dat BA in beroep wil gaan.

Maar ook die stap is riskant. Als de rechter de uitspraak handhaaft, heb je een gerechtelijk vonnis op je record tegenover een oordeel van de ICO. Bovendien kan het zijn dat details van de fouten en/of professionele opinies van de ICO publiek bekend worden (en dus ook voor de genoemde advocatenbureaus). Tot slot, ICO neigt er in het voorlopige oordeel toe om artikel 83 lid 2f toe te passen en de medewerking als verzachtende omstandigheid mee te rekenen. Maar als je bij een kans op wederhoor de BBC vertelt dat je een rechtszaak gaat aan wil spannen, in hoeverre gaat die vlieger dan nog op?

De Britse staat? Daar zien internationale klanten dus niets van terug.

Je benoemt daar nu het belang van opzettelijke nalatigheid. ALs van alles daar aan voldoet is het onzinnig om een boete op te gaan leggen. Je kan dan net zo goed de auto-gagarages laten melden welke reparaties zijn uitgevoerd en met die informatie de autobestuurders zwaar gaan beboeten wegen het bezit van een gevaarlijk voertuig dat potentieel andere schade veroorzaakt zou kunnen hebben.


De stap van het ICO is nu zeer riskant. Zie de berekening van omgerekend 400eur per mogelijk betrokkene zonder bewijs van schade. Het lijkt allemaal zeer disproportioneel. Voor BA maakt het weinig meer uit, de advocaten gaat aan de slag.
Verliest ICO die zaak dan leidt ICO flinke imagoschade en dan kan veel verder doorwerken.

Het zou niet de eerste toezichthouder zijn die zichzelf op die manier tot een nutteloos en kostbaar iets maakt.
We hebben hier de toeslagen zaak waar het imago een flink probleem zal gaan geven. De acm heeft er last van https://www.rtlz.nl/beurs/bedrijven/artikel/4760866/ns-acm-boete-misbruik-marktpositie-aanbesteding-limburg-trein-ov