Een datalek veroorzaakt door een programmeerfout kost de Spaanse verzekeringsmaatschappij Ibermutua 600.000 euro. Het gaat om een boete die door de Spaanse privacytoezichthouder AEPD werd opgelegd. Ibermutua is een partner binnen het Spaanse sociale zekerheidsstelsel en houdt zich onder andere bezig met arbeidsongeschiktheid, ziekmeldingen, herintreding en werkgerelateerde zorg.

Vorig jaar juli bevatte de wekelijkse nieuwsbrief door een programmeerfout allerlei Excel-bijlagen, die vervolgens naar partnerbedrijven werden gestuurd. Daardoor kwam de gevoelige persoonlijke informatie van 3400 mensen bij honderden personen terecht die deze informatie niet hadden moeten ontvangen. Het ging onder andere om namen, de Spaanse tegenhanger van het BSN-nummer, leeftijd, reden voor arbeidsongeschiktheid of ziekmelding, of de betreffende ziekte verkeer- of werkgerelateerd was, het aantal opgenomen ziektedagen en andere informatie.

Verschillende personen dienden daarop een klacht in bij de AEPD. Volgens de verzekeraar werd het probleem veroorzaakt door een menselijke fout bij het uitcommentariëren van code. De Spaanse privacytoezichthouder stelde dat de verzekeraar ondanks het grote aantal verstuurde e-mails per maand, nagelaten had om adequate beveiligingsmaatregelen te treffen, die een dergelijk gemaakte fout zouden hebben opgemerkt. Vanwege de gevoeligheid van de persoonlijke informatie had het bedrijf dergelijke controles moeten uitvoeren.

Gezien het grote aantal getroffen personen en de aard van de gelekte informatie vond de AEPD een boete van 1 miljoen euro passend. Bij dergelijke boetes biedt Spaanse wetgeving bedrijven en organisaties de mogelijkheid om korting te krijgen als men verantwoordelijkheid neemt en de voorgestelde boete betaalt. Elke optie verlaagt de boete met twintig procent. Door zowel de fout te erkennen als de verlaagde boete te betalen kreeg de verzekeraar veertig procent korting, waardoor de uiteindelijke boete uitkomt op 600.000 euro uitkomt (pdf).