Een Spaanse verzekeringsmakelaar heeft een boete van 250.000 euro gekregen wegens een datalek dat door ransomware werd veroorzaakt. Bij de aanval die in 2023 plaatsvond wisten aanvallers allerlei systemen en gegevens te versleutelen en maakten terabytes aan data buit. De gestolen data betrof ook de persoonlijke gegevens van zo'n 40.000 mensen, waaronder 75 minderjarigen (pdf).
De buitgemaakte data bestond uit identificatie- en contactgegevens, identiteitsnummers, geboortedatums, financiële en verzekeringsgegevens, bankrekeningnummers, gezondheidsgegevens en inloggegevens. Tijdens het onderzoek naar het datalek ontdekte de Spaanse privacytoezichthouder AEPD dat de verzekeringsmakelaar wist dat de systemen kwetsbaar waren. Hoe de aanvallers binnen wisten te komen kon niet worden achterhaald. Wel bleek dat de aanvallers zich lateraal door het netwerk konden bewegen en hun rechten hadden verhoogd.
Verder kon de verzekeringsmakelaar niet aantonen dat het een Data Protection Privacy Impact Assessment (DPIA) had uitgevoerd. Iets wat wegens de verwerking van gezondheidsgegevens en gegevens van minderjarigen verplicht was. Volgens de AEPD had de verzekeringsmakelaar nagelaten om adequate technische en organisatorische maatregelen te nemen voor het beschermen van persoonsgegevens.
De Spaanse privacytoezichthouder legde wegens het overtreden van de AVG een boete van 250.000 euro op. Spaanse wetgeving biedt bedrijven en organisaties de mogelijkheid om korting te krijgen als men verantwoordelijkheid neemt en de voorgestelde boete betaalt. Elke optie verlaagt de boete met twintig procent. De verzekeringsmakelaar besloot de boete te betalen en niet in beroep te gaan, wat een korting van twintig procent en een betaald boetebedrag van 200.000 euro opleverde.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.