Vorig jaar ontving de Autoriteit Persoonsgegevens ongeveer 27.000 meldingen van datalekken. Ondernemingen zijn verplicht om voldoende beveiliging te voorzien om datalekken te voorkomen. Soms treffen ze desondanks geen schuld, bijvoorbeeld wanneer een gewiekste hacker wel heel sluw met persoonsgegevens aan de haal ging. Dan rust er wel een meldingsplicht op de onderneming. Wanneer zij het niet goed doen, riskeren ze torenhoge sancties. Dat is ook in het buitenland het geval want in alle Europese landen wordt natuurlijk de GDPR toegepast. Deze binnen- en buitenlandse bedrijven hebben dat alvast bewezen.
Uber – € 600.000
Na een datalek hadden onbevoegden toegang gekregen tot de persoonsgegevens van 174.000 Nederlandse klanten en chauffeurs. Het ging onder andere om hun namen, telefoonnummers en e-mailadressen. Het bedrijf had ongeveer een jaar geprobeerd om het datalek in de doofpot te steken, tot het in het najaar van 2017 toch toegaf dat er een datalek had plaatsgevonden. Uber had niet voldaan aan de meldplicht en dus kreeg het van de Autoriteit Persoonsgegevens een boete van 600.000 euro opgelegd. Een belangrijk detail is dat de inbreuk gebeurde voor de inwerkingtreding van de AVG, maar de regels omtrent de meldplicht waren onder de vroegere Wbp vrijwel identiek.
HagaZiekenhuis – € 460.000
Vorig jaar legde de Autoriteit Persoonsgegevens een boete op aan het HagaZiekenhuis in Den Haag. Een klokkenluider had toen gemeld dat tientallen medewerkers onrechtmatig het medisch dossier van Samantha de Jong, onder andere bekend van haar deelname aan Oh Oh Cherso, hadden ingekeken. De Autoriteit Persoonsgegevens oordeelde uiteindelijk dat de logs, de bestanden die aangeven wie wanneer in welk dossier heeft gekeken, onvoldoende werden gecontroleerd. Daarnaast was er geen tweestapsverificatie voorzien en was er sinds de eerste inbreuk weinig veranderd. Daarom legde het een boete van 460.000 euro op.
Mariott International – € 110.000.000
Bij de Starwood Hotels-groep was er een datalek waardoor persoonsgegevens al sinds 2014 werden gestolen. Het ging onder andere om huisadressen, telefoonnummers, mailadressen en namen van klanten. Niemand merkte het datalek op. De Starwood Hotels-groep werd vervolgens in 2016 overgenomen door Mariott International. Pas in 2018, vier jaar later, werd het datalek opgemerkt. Intussen waren de gegevens van 339.000 klanten al gestolen. Volgens de ICO, de Britse tegenhanger van de Autoriteit Persoonsgegevens, had Mariott bij de overname onvoldoende onderzoek verricht naar de systeembeveiliging bij de Starwood hotels-groep. Daarnaast had Mariott ook zelf meer moeten doen om de systemen te beveiligen. Daarom legde het een boete op van 110 miljoen euro.
British Airways – € 205.000.000
In 2018 voerden hackers een aanval uit op het informaticasysteem van British Airways. Daarbij werden de gegevens van een half miljoen personen gestolen. Bij 77.000 klanten ging het zelfs om kredietkaartinformatie, waaronder ook hun verificatiecode. Daarvoor hadden hackers maar 22 regels Javascript nodig. British Airways heeft meteen de autoriteiten op de hoogte gebracht en ging de samenwerking aan met digitale forensische experts. Uiteindelijk bleek dat de hackers al maandenlang gegevens aan het onderscheppen waren. Volgens de ICO had British Airways slechte veiligheidsmaatregelen getroffen. Daarom legde het British Airways een monsterboete van 205 miljoen euro op.
Jouw bedrijf – € 0?
Zo kunnen we dit lijstje nog even verderzetten. Toch zijn er ook voldoende voorbeelden van datalekken waarbij er helemaal geen boete werd opgelegd. Omdat er voldoende maatregelen werden getroffen en omdat alles netjes werd gemeld. Door correct met de AVG om te gaan, kan je veel ellende voorkomen. Onze experts bespreken het met jou. Maak gebruik van onze gratis telefonische intake.
