De Britse privacytoezichthouder ICO heeft de Britse overheid een boete van omgerekend 590.000 euro opgelegd wegens een datalek met een csv-bestand. Het Cabinet Office, dat de Britse premier en het kabinet ondersteunt, plaatste eind 2019 een csv-bestand op de website gov.uk met de adresgegevens van meer dan duizend mensen die waren genomineerd voor het ontvangen van een lintje van de koningin.

Het datalek werd bij toeval ontdekt door een medewerker van het communicatieteam van de overheid. Uiteindelijk stond het bestand twee uur en 21 minuten online. In deze periode werd het csv-bestand bijna 3900 keer door 2800 verschillende ip-adressen benaderd. Van 207 mensen waren de adresgegevens voor het datalek niet openbaar.

Voor het genereren van het overzicht werd een nieuw door het Cabinet Office ontwikkeld systeem gebruikt. De aanwezigheid van een kolom met adresgegevens werd niet tijdens het testproces opgemerkt. Eind december 2019 genereerde een medewerker, die meestal niet voor dit proces verantwoordelijk was, via het nieuwe systeem een csv-bestand dat zou worden gepubliceerd.

Deze medewerker wist dat de adresgegevens niet in het overzicht mochten staan en besloot deze informatie te verbergen in plaats van te verwijderen. Daardoor was de data nog steeds in het csv-bestand aanwezig. Bij het uploaden van het bestand naar Gov.uk werd de verborgen data zichtbaar.

Volgens de ICO had het Cabinet Office geen technische en organisatorische maatregelen genomen om een gepast beveiligingsniveau te bieden bij de verwerking van data voor de lijst met genomineerde lintjesontvangers en heeft het daarmee de AVG overtreden. "De vandaag opgelegde boete is een boodschap voor andere organisaties dat het beschermen van persoonsgegevens en het geregeld controleren of gepaste beveiligingsmaatregelen aanwezig zijn bovenaan de agenda moet staan", zegt Steve Eckersley van de ICO.