Spaans consultancybedrijf leert dure les

Een Spaans consultancybedrijf is beboet met een bedrag van € 145.000 vanwege een datalek dat veroorzaakt werd door een gestolen, niet-versleutelde usb-stick. De usb-stick bevond zich in de rugzak van een medewerker, die werd gestolen. Op de stick stond een aanzienlijke hoeveelheid persoonlijke informatie, waaronder gegevens van een lopend gerechtelijk onderzoek. Pas dertien dagen nadat het bedrijf op de hoogte was van de diefstal, werd dit incident gemeld aan de Spaanse privacywaakhond, de AEPD.

De AEPD droeg het bedrijf op om het datalek aan alle getroffen betrokkenen te melden. Een jaar later stelde de privacytoezichthouder voor om een boete van € 160.000 op te leggen vanwege de schending. De AEPD benadrukte dat het feit dat de data op de usb-stick niet was versleuteld, als nalatigheid werd beschouwd, wat ervoor zorgde dat de boete hoger werd.

In haar verweer stelde het consultancybedrijf dat er geen bewijs was dat de gegevens op de usb-stick door derden waren ingezien, waardoor het volgens hen om een theoretisch datalek ging. Verder betoogde het bedrijf dat zij adequate beveiligingsmaatregelen hadden getroffen en dat de AVG geen specifieke technische vereisten oplegt. Bovendien was het volgens het bedrijf niet nodig om de autoriteiten binnen de verplichte 72 uur in te lichten.

De AEPD oordeelde echter dat het bedrijf Artikel 5 van de AVG had overtreden, waarin staat dat persoonsgegevens beschermd moeten worden tegen onbevoegde of onrechtmatige verwerking en onopzettelijk verlies. Ook werd Artikel 32 geschonden, waarin wordt voorgeschreven dat passende maatregelen genomen moeten worden om gegevens te beschermen tegen ongeoorloofde toegang of verlies. Door de usb-stick niet te versleutelen, had het bedrijf deze regels niet nageleefd. Gezien het feit dat het bedrijf ook gegevens verwerkt over strafrechtelijke zaken, werd van hen verwacht dat ze extra voorzorgsmaatregelen zouden treffen. Voor deze overtredingen legde de AEPD een boete van € 145.000 op.

Informatiebeveiliging is een must

Bovenstaand verhaal benadrukt het belang van het serieus nemen van gegevensbeveiliging. Het feit dat een simpele maatregel zoals het versleutelen van een usb-stick niet werd nageleefd, wijst op een zorgwekkend gebrek aan verantwoordelijkheid en kennis. Hopelijk dient dit incident als een waarschuwing om uw beveiligingsprotocollen grondig te evalueren en up-to-date te houden.

Over TT3P

The Trusted Third Party biedt praktisch advies voor cybersecurity en flexibele inzet van cybersecurityspecialisten. We helpen organisaties van elk type om het risico op gijzeling van bedrijfssystemen, datadiefstal en onbevoegde toegang te verkleinen en hun digitale weerbaarheid te vergroten. Neem contact op met ons via info@tt3p.nl of 088 38 38 38 3.