Frankenslag 137, 2582 HH Den Haag
+31 (0) 70 392 22 09
info@duthler.nl

ICO legt boete op aan makelaarskantoor voor datalek klantgegevens

Weer een interessant boetebesluit van de Engelse toezichthouder, opgelegd vanwege een overtreding onder de Data Protection Act (DPA), de Engelse voorganger van de Algemene verordening gegevensbescherming (Avg). De boete is opgelegd aan “Life Residential”, een makelaarskantoor uit Londen, vanwege een groot en ernstig  datalek.

Persoonsgegevens als adresgegevens, geboortedatum, kopie paspoorten en bank- en salarisgegevens van 18.610 huurders bleken in 2015 – 2017 openbaar toegankelijk.

Wat valt er op?

Het is opvallend dat een ‘gewone’ commerciële dienstverlener een boete krijgt opgelegd. Life Residential is geen zorginstelling, vliegmaatschappij, datahandelsbedrijf of multinational, Life Residential is een makelaarskantoor met zo’n 180 medewerkers  Met het boetebesluit geeft de ICO een duidelijk signaal af, ook (relatief) kleinere bedrijven moeten voldoen aan de wettelijke verplichting om de persoonlijke gegevens die ze worden toevertrouwd zowel te beschermen als te beveiligen.  

Hoe ontstond het datalek?

Het datalek ontstond toen het makelaarskantoor haar klantenbestand in 2015 aan een partnerorganisatie verstrekte. Om de gegevens te delen werden ze opgeslagen op een “File Transfer Protocol” (FTP) server, door middel authenticate had de toegang tot de persoonsgegevens beperkt moeten zijn. Het liep echter helemaal anders, Life Residential vergat de functie “anonymous authentication” uit te zetten. Pas toen een hacker misbruik van de situatie wilde maken ontdekte Life Residential het datalek. De persoonsgegevens van de 18.610 huurders waren toen al bijna 2 jaar lang vrij toegankelijk.

Besluit van de ICO

De Engelse toezichthouder concludeert dat Life Residential in strijd heeft gehandeld met de wettelijke verplichting om persoonsgegevens te beschermen en te beveiligen. De toezichthouder acht de methode die Life Residential heeft gekozen om de persoonsgegevens over te dragen niet voldoende veilig. Ook zijn er onvoldoende maatregelen getroffen om te verzekeren dat toegang tot deze gegevens beperkt zou blijven. Zo heeft het makelaasrkantoor nagelaten toegang te loggen, penetratietesten uit te voeren en maatregelen te treffen om eventuele beveiligingsincidenten in een vroeg stadium te detecteren. Ook constateert de ICO een gebrek aan personeelstraining en beleid op het gebied van privacy en gegevensbescherming.

Passende maatregelen

Onder de DPA waren organisaties uit het Verenigd Koninkrijk al verplicht om passende technische en organisatorische maatregelen te treffen ter bescherming van persoonsgegevens. Deze verplichting vinden we nu terug in artikel 32 Avg. De ICO heeft gebruik gemaakt van haar bevoegdheid onder de DPA om een boete op te leggen. Nu het een omvangrijk datalek betreft van een grote groep betrokkenen, waarbij het bovendien gaat om gevoelige en vertrouwelijke persoonsgegevens acht de ICO de inbreuk ernstig genoeg om een boete op te leggen.  De vrije toegang tot deze persoonsgegevens heeft tot gevolg gehad dat klanten blootgesteld zijn aan het potentiële risico van identiteitsfraude of financiële fraude.

Bij het bepalen van de hoogte van de boete weegt de ICO verzwarende en verzachtende omstandigheden mee. Dit zijn volgens de ICO verzwarende omstandigheden:

  • Life Residential heeft het datalek laat na ontdekking gemeld bij de toezichthouder;
  • De persoonsgegevens die het betrof zouden nog voor lange periode ‘actueel’ zijn, en dus niet snel verouderen of onbruikbaar zijn;
  • Betrokkenen zijn niet door Life Residential geïnformeerd, waardoor deze geen maatregelen konden treffen om schade te voorkomen;
  • Life Residential hanteerde geen beleid of procedures met betrekking tot het bewaren van de persoonsgegevens.

Het feit dat Life Residential het datalek ontdekte in een periode dat zij juist aanzienlijk investeerde in de verbetering van haar informatiebeveiliging acht de ICO dan weer een verzachtende omstandigheid.

Uiteindelijk is de boete vastgesteld op £80.000,00 (€89.308,00). Let wel, de boete is opgelegd onder het regime van de DPA, niet onder het regime van de Avg!