Het Franse softwarebedrijf Nexpublica, eerder nog bekend als Inetum Software, heeft een boete van 1,7 miljoen euro gekregen wegens een datalek dat door bekende, genegeerde kwetsbaarheden in de eigen software werd veroorzaakt. Dat heeft de Franse privacytoezichthouder CNIL vandaag bekendgemaakt. Nexpublica biedt onder andere een relatieportaal voor de sociale sector, om zo mensen met een beperking te ondersteunen.

Gebruikers van het portaal ontdekten dat ze toegang hadden tot documenten van anderen. Daarop startte CNIL een onderzoek en ontdekte dat het softwarebedrijf onvoldoende technische en organisatorische maatregelen had genomen om de persoonsgegevens die via de software werden verwerkt adequaat te beveiligen. Dat de software tekort schoot was ook bekend. Uit verschillende audits bleek dat de software meerdere kwetsbaarheden bevatte. Die werden echter pas na bekendwording van het datalek verholpen, waardoor er sprake is van nalatigheid, aldus CNIL. Om welke kwetsbaarheden het precies gaat is niet bekendgemaakt.

Volgens de Franse privacytoezichthouder zijn dit verzwarende omstandigheden, aangezien het hier ook nog eens gaat om een softwarebedrijf. Bij het opleggen van de boete van 1,7 miljoen euro is rekening gehouden met de financiële draagkracht van het bedrijf, het gebrek aan kennis over basale beveiligingsmaatregelen, het aantal getroffen personen en de gevoeligheid van de verwerkte gegevens.