Een Spaans consultancybedrijf heeft wegens een datalek door een gestolen onversleutelde usb-stick een boete van 145.000 euro gekregen. De usb-stick bevond zich in de rugzak van een medewerker die werd gestolen. Op de datadrager stond een grote hoeveelheid persoonlijke data, waaronder van een gerechtelijk onderzoek. Dertien dagen nadat het bedrijf ontdekte dat de rugzak met usb-stick was gestolen werd dit aan de privacytoezichthouder gemeld.
De AEPD beval het bedrijf om het datalek aan alle gedupeerden te melden. Een jaar later was de Spaanse privacytoezichthouder van plan om het bedrijf vanwege het datalek een boete van 160.000 euro op te leggen. Volgens de AEPD was er door het niet versleutelen van de data sprake van nalatigheid, wat een verzwarende factor voor de bepaling van het boetebedrag was.
Het consultancybedrijf claimde in haar verweer dat er geen bewijs was dat een derde partij de informatie op de usb-stick had bekeken. Het 'datalek' was dan ook geheel hypothetisch, aldus de onderneming. Daarnaast stelde het bedrijf dat het gepaste beveiligingsmaatregelen had genomen. Zo staan in de AVG geen specifieke technische maatregelen vermeld die genomen zouden moeten worden. Ook was er volgens het bedrijf geen noodzaak om de toezichthouder binnen de verplichte 72 uur te informeren.
De AEPD stelt dat het bedrijf door het niet versleutelen van de data op de usb-stick Artikel 5 van de AVG heeft overtreden. Daarin staat dat persoonsgegevens door het nemen van passende technische of organisatorische maatregelen onder andere worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Daarnaast is het bedrijf ook in overtreding van Artikel 32, waarin staat dat er maatregelen moeten worden genomen om gegevens tegen ongeoorloofde toegang, verlies of vernietiging te beschermen. Door het niet versleutelen van de usb-stick had het bedrijf dit niet gedaan en was het datalek veroorzaakt. Aangezien het bedrijf ook gegevens verwerkt met betrekking tot misdrijven en veroordelingen, had het de beveiligingsverplichtingen strenger moeten naleven. Voor de twee overtredingen komt de AEPD tot een boete van in totaal 145.000 euro (pdf).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.