Italiaans bedrijf beboet voor onderzoek naar back-up mailbox ex-werknemer
De Italiaanse privacytoezichthouder GPDP heeft een Italiaanse elektronicaleverancier een boete van 80.000 euro opgelegd wegens de manier waarop het met de back-up van een mailbox van een ex-werknemer omging. De back-up van de mailbox werd automatisch na het vertrek van de medewerker voor een periode van drie jaar opgeslagen. Na het ontslag besloot de elektronicaleverancier onderzoek te doen naar het mogelijk lekken van bedrijfsgeheimen door het personeel, waaronder door de ex-medewerker.
Het bedrijf liet daarvoor de back-up van de mailbox door een externe partij onderzoeken. De elektronicaleverancier was daarnaast verwikkeld in een gerechtelijke procedure tegen de ex-medewerker wegens het mogelijk lekken van bedrijfsgeheimen. De Italiaanse privacytoezichthouder deed onderzoek naar de zaak en ontdekte dat het bedrijf de ex-medewerker niet had ingelicht over de bewaartermijn van de back-up. Ook stond er niets in de interne procedures vermeld over het onderzoeken van e-mails, back-ups en apparaten.
Daarnaast had het bedrijf volgens de toezichthouder geen gerechtvaardigde reden gegeven om de back-up voor een periode van drie jaar op te slaan en de e-mail toegangslogs voor een periode van zes maanden. Het onderzoek naar het lekken van gegevens maakte volgens de privacytoezichthouder duidelijk dat de gegevens in de back-up niet alleen voor veiligheidsredenen werden gebruikt.
Verder bleek dat het via de back-upsoftware mogelijk was om de activiteiten van medewerkers over een langere periode te monitoren en waren er geen waarborgen aanwezig. Volgens de GPDP is een boete van 80.000 euro dan ook passend. Het bedrijf maakt inmiddels geen gebruik meer van de back-upsoftware.
De AvG verplicht niet het aanpassen van een (impermutable) backup op een offline medium zoals tape, fiche, worm media. Een redelijke inspanning mag verwacht worden bij een online backup. (Is dit wel een backup?) Bij een restore van de data van een backup moeten wijzigings- en wisverzoeken opnieuw gehonoreerd worden.
De rare situatie kan dus bestaan dat er een wis verzoek komt van een betrokkene en die wordt doorgevoerd in operationele systemen. Bij herstellen van de backup moet dat verzoek opnieuw worden doorgevoerd. Daarvoor moet de organisatie dus opslaan welke wisverzoeken deze heeft doorgevoerd hetgeen een extra opslag van persoonsgegevens is terwijl de betrokkene juist om een verwijdering vroeg!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.