De Spaanse privacytoezichthouder AEPD heeft de Spaanse bank Unicaja Banco een boete van 500.000 euro opgelegd omdat personeel via een gedeeld account toegang tot de beveiligingscamera's had. Omdat de bank niet tegen de boete in beroep ging en besloot te betalen werd het boetebedrag met twintig procent verlaagd tot 400.000 euro.
De bank schakelde in 2023 een extern beveiligingsbedrijf in voor het aanleggen van een beveiligingscamerasysteem. Via de beelden deed de bank onderzoek naar gevallen van vermeende fraude, waaronder identiteitsfraude. Na een klacht deed de AEPD onderzoek naar het systeem en ontdekte dat tien bankmedewerkers en een manager allemaal met deze inloggegevens op het systeem inlogden en beelden bekeken. Er werd niet bijgehouden welke medewerker welke beelden had gezien.
De bank beschikte wel over logs, maar die lieten alleen het gedeelde account zien en het ip-adres van de gebruikte computer, niet de identiteit van de betreffende medewerker. Het beveiligingsbedrijf en de bank hadden wel een contract gesloten waarin stond dat het gebruik van aparte gebruikersaccounts, role-based access en traceerbaarheid verplicht was. De verplichtingen waren niet in de praktijk doorgevoerd.
In de data protection impact assessment (DPIA) van de bank zelf stond ook dat het nodig was om gebruikers van het systeem te registreren, periodieke controles van toegangsrechten uit te voeren en gebruikersactiviteit te loggen. Deze maatregelen waren echter nog niet in de betreffende omgeving doorgevoerd. De bank stelde dat de schuld bij het beveiligingsbedrijf lag, maar de Spaanse privacytoezichthouder verwierp dit. Het was aan de bank om ervoor te zorgen dat contractafspraken over aparte accounts en toegangsrechten werden nageleefd en gecontroleerd.
De AEPD concludeerde dat de bank Artikel 32 van de AVG had overtreden en legde een boete op van 500.000 euro. Spaanse wetgeving biedt bedrijven en organisaties de mogelijkheid om korting te krijgen als men verantwoordelijkheid neemt en de voorgestelde boete betaalt. Elke optie verlaagt de boete met twintig procent. De bank besloot niet in beroep te gaan en de boete te betalen, wat een korting van twintig procent opleverde en het boetebedrag verlaagde tot 400.000 euro (pdf).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
