Spaans bedrijf krijgt 145.000 euro boete voor datalek door onversleutelde usb-stick
Een Spaans consultancybedrijf heeft wegens een datalek door een gestolen onversleutelde usb-stick een boete van 145.000 euro gekregen. De usb-stick bevond zich in de rugzak van een medewerker die werd gestolen. Op de datadrager stond een grote hoeveelheid persoonlijke data, waaronder van een gerechtelijk onderzoek. Dertien dagen nadat het bedrijf ontdekte dat de rugzak met usb-stick was gestolen werd dit aan de privacytoezichthouder gemeld.
De AEPD beval het bedrijf om het datalek aan alle gedupeerden te melden. Een jaar later was de Spaanse privacytoezichthouder van plan om het bedrijf vanwege het datalek een boete van 160.000 euro op te leggen. Volgens de AEPD was er door het niet versleutelen van de data sprake van nalatigheid, wat een verzwarende factor voor de bepaling van het boetebedrag was.
Het consultancybedrijf claimde in haar verweer dat er geen bewijs was dat een derde partij de informatie op de usb-stick had bekeken. Het 'datalek' was dan ook geheel hypothetisch, aldus de onderneming. Daarnaast stelde het bedrijf dat het gepaste beveiligingsmaatregelen had genomen. Zo staan in de AVG geen specifieke technische maatregelen vermeld die genomen zouden moeten worden. Ook was er volgens het bedrijf geen noodzaak om de toezichthouder binnen de verplichte 72 uur te informeren.
De AEPD stelt dat het bedrijf door het niet versleutelen van de data op de usb-stick Artikel 5 van de AVG heeft overtreden. Daarin staat dat persoonsgegevens door het nemen van passende technische of organisatorische maatregelen onder andere worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Daarnaast is het bedrijf ook in overtreding van Artikel 32, waarin staat dat er maatregelen moeten worden genomen om gegevens tegen ongeoorloofde toegang, verlies of vernietiging te beschermen. Door het niet versleutelen van de usb-stick had het bedrijf dit niet gedaan en was het datalek veroorzaakt. Aangezien het bedrijf ook gegevens verwerkt met betrekking tot misdrijven en veroordelingen, had het de beveiligingsverplichtingen strenger moeten naleven. Voor de twee overtredingen komt de AEPD tot een boete van in totaal 145.000 euro (pdf).
Einde van de rit gaan zulke boetes van tafel. Dat restaurant is ook nog gewoon open. Die gestolen data in een rugzak is ook zo iets.
Eerst heel streng. Megaboetes. Daarna vaak megalief, of je moet het echt slecht bedoeld hebben. Dat doen ze niet verkeerd. Je hebt aan de ene kant wetten maar aan de andere kant vrijheid. In Spanje gaan ze daar prachtig mee om, eerst krijg je een bijl in je nek, maar was je niks kwaads van plan, dan gaat zo een boete ook van tafel. Volgende keer beter op je rugzak passen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.