.



Datalek door ransomware alleen melden omdat de verzekering het eist – dure grap

pixabay gdpr

Bedrijf B in Oostenrijk wordt op 6 maart 2023 platgelegd door ransomware. Alle data is versleuteld, het bedrijf doet hiervan melding bij de politie en de verzekering. Die twee stappen klinken logisch, maar het is onvoldoende.

Sterker nog B begaat hier een overtreding, want de AVG verplicht tot het melden van datalekken bij de toezichthouder. B doet dat pas op 24 april. Dat is pas nadat de verzekeraar heeft aangegeven zonder bewijs van die melding niet over te gaan tot het behandelen van de schadeclaim.

De toezichthouder verwacht, conform de meldplicht datalekken, dat elke datalek snel wordt gemeld. In Nederland staat op de website van de AP 72 uur, maar ook 24 uur. In andere EU lidstaten worden termen als “onverwijld” en “terstond” gebruikt. Elk van die termen geeft enige ruimte, maar de bijna 7 weken die de Oostenrijkse onderneming nodig had is overduidelijk veel te lang.

In het boetebesluit (pdf) van de toezichthouder staat waarom die melding is gedaan (de verzekering eiste dat) en ook het excuus van de onderneming. Die beweerde er van uit te gaan dat melding bij de politie voldoende was. Daar blijft het niet bij. De gasten van het bedrijf waarvan de data is gelekt waren niet op de hoogte gebracht. Men wilde ze daar niet mee lastigvallen.Tijdens de onderzoeksfase is het bedrijf ook nog eens opgevallen door de minimale bereidheid samen te werken met de toezichthouder.

Dit alles leidt tot een boete van 5.900 Euro met een opslag van 10 procent. 6.490 Euro in totaal dus.

Meer over
Lees ook
GDPR: precies op tijd of alweer achterhaald?

GDPR: precies op tijd of alweer achterhaald?

Jakub Lewandowski, legal director en global data governance officer bij Commvault, kijkt terug op wat de GDPR de EU heeft gebracht en blikt vooruit op de uitdagingen die er nog liggen.

ROC van Amsterdam-Flevoland zet EduConnector in voor integratie met ECK-iD

ROC van Amsterdam-Flevoland zet EduConnector in voor integratie met ECK-iD

Het ROC van Amsterdam-Flevoland heeft als eerste MBO de EduConnector, de cloudoplossing voor de koppeling tussen het ECK-iD en digitale lesmaterialen, ingezet. Hierdoor kan de onderwijsinstelling identiteitsinformatie van studenten veilig delen, wat een voorwaarde is om te voldoen aan de AVG.

Internationaal advocatenkantoor CMS lanceert de 'Breach Assistant'-app

Internationaal advocatenkantoor CMS lanceert de 'Breach Assistant'-app

Internationaal advocatenkantoor CMS lanceert de 'Breach Assistant'-app. De app begeleidt bedrijven over de hele wereld tijdens de eerste kritieke uren van datalekken en andere cyberincidenten.