image

Italiaans bedrijf beboet voor onderzoek naar back-up mailbox ex-werknemer

maandag 7 oktober 2024, 17:05 door Redactie, 2 reacties

De Italiaanse privacytoezichthouder GPDP heeft een Italiaanse elektronicaleverancier een boete van 80.000 euro opgelegd wegens de manier waarop het met de back-up van een mailbox van een ex-werknemer omging. De back-up van de mailbox werd automatisch na het vertrek van de medewerker voor een periode van drie jaar opgeslagen. Na het ontslag besloot de elektronicaleverancier onderzoek te doen naar het mogelijk lekken van bedrijfsgeheimen door het personeel, waaronder door de ex-medewerker.

Het bedrijf liet daarvoor de back-up van de mailbox door een externe partij onderzoeken. De elektronicaleverancier was daarnaast verwikkeld in een gerechtelijke procedure tegen de ex-medewerker wegens het mogelijk lekken van bedrijfsgeheimen. De Italiaanse privacytoezichthouder deed onderzoek naar de zaak en ontdekte dat het bedrijf de ex-medewerker niet had ingelicht over de bewaartermijn van de back-up. Ook stond er niets in de interne procedures vermeld over het onderzoeken van e-mails, back-ups en apparaten.

Daarnaast had het bedrijf volgens de toezichthouder geen gerechtvaardigde reden gegeven om de back-up voor een periode van drie jaar op te slaan en de e-mail toegangslogs voor een periode van zes maanden. Het onderzoek naar het lekken van gegevens maakte volgens de privacytoezichthouder duidelijk dat de gegevens in de back-up niet alleen voor veiligheidsredenen werden gebruikt.

Verder bleek dat het via de back-upsoftware mogelijk was om de activiteiten van medewerkers over een langere periode te monitoren en waren er geen waarborgen aanwezig. Volgens de GPDP is een boete van 80.000 euro dan ook passend. Het bedrijf maakt inmiddels geen gebruik meer van de back-upsoftware.

Reacties (2)
08-10-2024, 11:50 door Anoniem
Ik vraag me echt af hoeveel bedrijven die een backupsysteem voor de mailboxen hebben, daadwerkelijk tot verwijderen van de backups overgaan bij het vertrek van de medewerker. Dit is technisch zelf vaak heel lastig. Zolang je de backups niet gebruikt lijkt het ook geen probleem. Volgens die rare GDPR misschien wel maar in de praktijk niet. Dat de medewerker op de hoogte moet zijn van de bewaartermijnen lijkt me wel logisch.
08-10-2024, 14:58 door Anoniem
Door Anoniem: Ik vraag me echt af hoeveel bedrijven die een backupsysteem voor de mailboxen hebben, daadwerkelijk tot verwijderen van de backups overgaan bij het vertrek van de medewerker. Dit is technisch zelf vaak heel lastig. Zolang je de backups niet gebruikt lijkt het ook geen probleem. Volgens die rare GDPR misschien wel maar in de praktijk niet. Dat de medewerker op de hoogte moet zijn van de bewaartermijnen lijkt me wel logisch.

De AvG verplicht niet het aanpassen van een (impermutable) backup op een offline medium zoals tape, fiche, worm media. Een redelijke inspanning mag verwacht worden bij een online backup. (Is dit wel een backup?) Bij een restore van de data van een backup moeten wijzigings- en wisverzoeken opnieuw gehonoreerd worden.

De rare situatie kan dus bestaan dat er een wis verzoek komt van een betrokkene en die wordt doorgevoerd in operationele systemen. Bij herstellen van de backup moet dat verzoek opnieuw worden doorgevoerd. Daarvoor moet de organisatie dus opslaan welke wisverzoeken deze heeft doorgevoerd hetgeen een extra opslag van persoonsgegevens is terwijl de betrokkene juist om een verwijdering vroeg!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.