Uniqlo krijgt 270.000 euro boete voor datalek met salarisgegevens
De internationale kledingketen Uniqlo heeft van de Spaanse privacytoezichthouder wegens een datalek met de salarisgegevens van honderden medewerkers een AVG-boete van 270.000 euro gekregen. Een medewerker mailde in juli 2022 de HR-afdeling met een verzoek om zijn salarisgegevens. De medewerker ontving vervolgens een pdf-bestand met zijn naam, burgerservicenummer, identificatienummer, bankrekeningnummer en salarisgegevens van de maand, alsmede deze informatie van 446 andere medewerkers die onbedoeld was toegevoegd.
Vorig jaar april diende de medewerker een klacht in bij de Spaanse privacytoezichthouder AEPD. Volgens Uniqlo was het datalek het gevolg van een menselijke fout door een HR-medewerker. Daarnaast werd het datalek niet gerapporteerd door de verantwoordelijke medewerker. Het bedrijf kwam pas achter het datalek nadat het over de klacht was ingelicht. Vorig jaar mei werden alle getroffen medewerkers over datalek geïnformeerd.
De Spaanse privacytoezichthouder deed onderzoek naar het datalek en ontdekte dat Uniqlo geen privacyonderzoek of risicoanalyse naar de salarisadministratie had uitgevoerd. Daarnaast waren er geen organisatorische en technische maatregelen genomen om de salarisgegevens van medewerkers tegen ongeautoriseerde toegang te beschermen. Vanwege de inadequate beveiligingsmaatregelen en het daaruit volgende datalek kwam de AEPD uit op een boete van in totaal 450.000 euro.
Bij dergelijke boetes biedt Spaanse wetgeving bedrijven en organisaties de mogelijkheid om korting te krijgen als men verantwoordelijkheid neemt en de voorgestelde boete betaalt. Elke optie verlaagt de boete met twintig procent. Door zowel de fout te erkennen als de verlaagde boete te betalen kwam de boete voor Uniqlo uiteindelijk uit op 270.000 euro (pdf).
Schuldbekentenis spaart wellicht dure gerechtelijke procedures van/met de autoriteit.
Dat noem ik legitieme afpersing. Want ook dan zijn er slachtoffers (nabestaanden, of in het onderhavige geval mensen van wie gegevens zijn gelekt) die daar baat bij kunnen hebben. Niet financieel, maar qua gevoel.
Hoewel mogelijk niet elke autist dit zal begrijpen: de slachtoffers zijn levende mensen met gevoelens, o.a. voor wat betreft rechtvaardigheid. En/of die hopen dat dit een signaal afgeeft naar andere lompe werkgevers.
Dat is een fors bedrag voor een foutje van een medewerker, dus kan ik me voorstellen dat ze op het lumineuze idee komen dat dat soort foutjes voortaan voorkomen uiteindelijk een serieuze smak geld uitspaart en dus een investering waard is. En hoewel ik niet weet hoe dat echt gaat in Spanje lijkt het me voor de hand liggen dat als ze nu toch niet echt verantwoordelijkheid blijken te nemen de korting de volgende keer niet meer zo makkelijk gegeven wordt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.