Onvoldoende controle op data security kan tot torenhoge boetes leiden

Eerder deze maand meldde de Britse ICO (Information Commissioner Office) haar voornemen om twee boetes op te leggen wegens inbreuken op de  GDPR. Op zich niets bijzonders, ware het niet dat de boetes opmerkelijk groot zijn. Bedragen van respectievelijk 204 miljoen euro voor British Airways en 110 miljoen euro voor  Marriott International worden genoemd.

Hoewel het slechts een aankondiging betreft en deze dus nog niet effectief werden toegekend, hebben deze aankondigingen grote precedentenwaarde.

Het voornemen van de ICO is alvast geheel in lijn met recente beslissingen van de Franse toezichthouder CNIL en de Nederlandse toezichthouder Autoriteit Persoonsgegevens.

Inbreuk op de beveiliging van de verwerking

De beide boetes vinden hun grondslag in artikel 32 van de GDPR. Dit artikel verplicht verwerkingsverantwoordelijken en verwerkers van persoonsgegevens passende maatregelen te nemen ter beveiliging van de gegevens die ze verwerken. De wetgever heeft ook dergelijke passende maatregelen zelf omschreven, bijvoorbeeld door te stellen dat dit inhoudt dat men deze maatregelen geregeld test, bepaalde garanties kan stellen en de beschikbaarheid en toegang tijdig kan herstellen bij mogelijke incidenten.

Toch blijft de term “passende maatregelen” vaag. Ondernemingen dienen zelf de te nemen maatregelen op basis van een risicogeoriënteerde aanpak te bepalen. En dat leidt tot vragen.

Opmerkelijk is ook dat de ICO reeds communiceert over een voornemen tot het opleggen van boetes. Dit is niet louter borstklopperij, maar is vooral te vinden in de hoedanigheid van de geviseerde vennootschappen. Beiden zijn beursgenoteerd, wat ertoe leidt dat informatieverplichtingen gelden. In het geval van British Airways aan haar aandeelhouders, omwille van het materiële risico dat een boete van dergelijke omvang inhoudt. Bij Marriott International voortvloeiend uit de verplichting om substantiële cyberrisico’s te melden.

Maar wat is er nu precies gebeurd dat de ICO er toe brengt om dergelijke boetes toe te willen kennen?

Hackaanval bij British Airways  en lek in database Marriott International

In september 2018 maakte British Airways bij de ICO melding van een hackaanval op hun website. Dit resulteerde in een inbreuk op de persoonsgegevens van zo’n 500.000 mensen, en dit gedurende meer dan twee weken.

Hoewel British Airways stelt dat ze de inbreuk tijdig meldde, is de ICO van mening dat het lek als sinds juni aanwezig was en er dus sprake is van grove nalatigheid wat betreft het monitoren van de beveiliging van de website.

Ook wat betreft de oorzaak van de hackaanval legt de ICO de verantwoordelijkheid bij British Airways zelf. Volgens onderzoek had de website een gebrekkige beveiliging, en werden adresgegevens en erger, kredietkaartgegevens, onvoldoende afgeschermd.

Een dag na de aankondiging rond British Airways kwam ook Marriott International in het oog van de storm. Het bedrijf maakte in november 2018 melding dat hackers erin waren geslaagd om persoonsgegevens van ongeveer 339 miljoen gasten te ontvreemden via het reservatiesysteem van de Starwood Hotels. Ook hier concludeerde de ICO dat het lek al veel vroeger bestond én zelfs nog voor Marriott International de Starwood groep overkocht in 2016.

Geen alleenstaand feit

De beslissing van de ICO is zeker en vast geen alleenstaand feit. De afgelopen maanden hanteerden ook andere toezichthouders al een gelijkaardige visie met betrekking tot inbreuken op de beveiligingsverplichtingen voortvloeiend uit artikel 32 GDPR.

De Franse CNIL (Commission Nationale de l'Informatique et des Libertés) legde donderdag 25 juli een boete van € 180.000,00 op aan verzekeraar Active Insurances voor een slecht beveiligde website en ook Sergic, een Franse vastgoedonderneming, werd vorige maand een boete van € 400.000,00 voorgeschoteld.

Ook de Nederlandse Autoriteit Persoonsgegevens maakt duidelijk veel belang te hechten aan de beveiligingsverplichting. Het Haga Ziekenhuis kreeg een boete van  € 460.000,00 voor een gebrekkig interne beveiliging van patiëntendossiers, nadat aan het licht was gekomen dat personeel gegevens van bekende patiënten kon opvragen.

Het is duidelijk dat een jaar na de uitvaardiging van GDPR correcte implementatie wordt verwacht. De toezichthouders onderzoeken elke klacht, en hanteren een strenge aanpak in de hoop de lakse houding rond beveiliging weg te kunnen werken.

Concrete gevolgen?

Dergelijke aankondigingen geven een duidelijke inkijk in de visie van de ICO aangaande het nemen van passende technische en organisatorische maatregelen bij de verwerking van persoonsgegevens.

Niet alleen dient hierbij continu de vinger aan de pols gehouden te worden, maar belangrijker: deze verplichting geldt des te meer bij een overname.

Zo wordt Marriott International verweten de Data Security niet genoeg te hebben gecontroleerd alvorens de Starwood Hotels groep over te nemen.  Hoewel de overname bij openbare verkoop verliep en er dus weinig tijd en mogelijkheid was tot grondige controle, bleef het lek nog twee jaar lang voortduren wat er op wijst dat er ook na overname weinig aandacht aan werd besteed. Het langdurig verwaarlozen van de Data Security en onvoldoende testen op problemen is ook wat British Airways nekte en (risico op) dergelijke boete opleverde.

 Loopt het ook zo’n vaart in België?

GDPR is ondertussen al meer dan een jaar van toepassing en komt stilaan tot wasdom in veel aspecten van het ondernemen. Het principe van verantwoordingsplicht en de vele verplichtingen maken het een aspect waar elke onderneming rekening moet mee houden.

Bij de Gegevensbeschermingsautoriteit komt men ook stilaan op kruissnelheid en tendensen in het buitenland gaan niet onopgemerkt voorbij.

Een gebrek aan zorgvuldigheid kan tot sancties leiden. Dit kan gecounterd worden door een goed inzicht in de interne keuken en het opvolgen van de grootste risico’s. Een goeie doorlichting en tijdige controle van uw Data Security kan hierbij een grote hulp, en spaart u mogelijks later heel wat geld uit.

Zéker bij overnames wordt Data Security op de voorgrond geplaatst. ICO omschrijft het zelf als: “proper due diligence when making a corporate acquisition”. Een due diligence die niet enkel focust op de financiële situatie, maar waarbij Data Security ook meegenomen wordt.

Vragen omtrent uw eigen Data Security of een overname in het verschiet? Contacteer dan zeker één van onze Data Security specialisten. Ook onze Corporate Finance afdeling volgt deze ontwikkelingen op de voet.

Heb je nog verdere vragen hierover? Neem dan zeker contact op met onze adviseurs!

Laatste nieuws

Nathalie De Meyer

Vereffening afgesloten in 2018?

Lees meer
Het nieuwe vennootschapsrecht Hilde Marcou

Moderner, eenvoudiger én flexibeler: het nieuwe vennootschapsrecht onder de loep

Lees meer

Laatste nieuws

Lees onze laatste nieuwsberichten

More