Grote AVG-boetes aangekondigd en opgelegd in Nederland en het Verenigd Koninkrijk


(c) by Unknown under Creative Commons License.

 

 

  • Toezichthouders zijn nu echt begonnen met het opleggen van hoge AVG-boetes.
  • Vooralsnog wordt veel gekeken naar datalekken en beveiligingsbeleid.

Recente boetes

In vervolg op onze blog over de tot nu toe opgelegde boetes onder de AVG in de Europese Unie, (zie avg-boetes van 12 april jl.) berichten wij u nu over enkele grote boetes die recent zijn opgelegd door privacytoezichthouders in de Europese Unie (EU).

Een boete die is opgelegd aan het HagaZiekenhuis door de Nederlandse privacytoezichthouder (AP). En tevens de eerste Nederlandse AVG-gerelateerde boete van formaat.

En twee aankondigingen van de Britse privacytoezichthouder (ICO) om boetes op te leggen aan British Airways en Marriott International vanwege datalekken.

Wat leren we hiervanfdat tijdens een due dilligence ook naar IT-systemen gekeken moet worden.

Onvoldoende beveiliging HagaZiekenhuis – € 460.000

De AP heeft het HagaZiekenhuis op 16 juli 2019 een boete van € 460.000 opgelegd wegens gebrekkige interne beveiliging van patiëntendossiers, zie deze link op de site van de AP. In april 2018 bleek namelijk dat tientallen medewerkers het patiëntendossier van een bekende Nederlander hadden ingezien, zonder hiervoor gemachtigd te zijn. Na melding van dit incident in de media heeft de AP-onderzoek gedaan bij het HagaZiekenhuis en concludeert dat het HagaZiekenhuis artikel 32 AVG heeft geschonden, omdat geen passende technische en organisatorische beveiligingsmaatregelen omtrent patiëntendossiers zijn getroffen.

Volgens het onderzoek (zie deze link) bleek namelijk dat bij het HagaZiekenhuis niet regelmatig en systematisch werd gekeken in de logs wie toegang tot de dossiers kreeg (NEN7510 art. 12.4.1) en bleek er geen tweestapsverificatie op de toegang te zitten (NEN7510 art. 9.4.1). Volgens de voorzitter van de AP past bij deze gebrekkige beveiliging van patiëntendossiers een ferme boete omdat de relatie tussen patiënt en ziekenhuis strikt vertrouwelijk dient te zijn. Tevens is een last onder dwangsom opgelegd. De beveiliging moet voor 2 oktober 2019 zijn verbeterd, anders verbeurt een dwangsom van € 100.000 per twee weken, met een maximum van € 300.000.

Het HagaZiekenhuis heeft naar aanleiding van het incident 85 medewerkers een waarschuwing gegeven en erkent dat er fouten gemaakt zijn, maar heeft wel aangekondigd tegen de hoogte van de boete in bezwaar te gaan bij de AP.

Datalek British Airways – £ 183,39 miljoen

De ICO heeft op 8 juli 2019 de intentie uitgesproken om British Airways een boete op te leggen van £ 183,39 miljoen wegens een datalek inzake klantgegevens. Het ging om een cyberincident in de periode juni tot en met september 2018. Bezoekers van de website van British Airways werden door een beveiligingsinbreuk omgeleid naar een phishingwebsite. Op deze phishingwebsite werden inloggegevens, betaalgegevens en boekingsgegevens – inclusief naam en adres – van ongeveer 500.000 klanten buitgemaakt.

Nadat British Airways bekend is geworden met het datalek, heeft het dit overeenkomstig artikel 33 AVG direct gemeld aan de ICO. Tevens heeft British Airways meegeholpen aan het onderzoek en de beveiliging verbeterd. Ondanks deze coöperatieve houding heeft de ICO bekendgemaakt voornemens te zijn deze boete op te leggen vanwege de omvang en gevoeligheid van de gestolen klantgegevens en de aanvankelijke gebrekkige beveiligingsmaatregelen van British Airways.

Datalek Marriott International – £ 99,2 miljoen

De ICO heeft een dag later, op 9 juli 2019, de intentie uitgesproken om de hotelketen Marriott International een boete op te leggen van £ 99,2 miljoen, ook vanwege een datalek inzake klantgegevens. Marriot International heeft in 2016 de Starwood hotels group overgenomen. Na onderzoek is gebleken dat de informatiesystemen van de overgenomen hotelgroep waarschijnlijk sinds 2014 een beveiligingslek bevatten waardoor klantgegevens kwetsbaar waren.

In november 2018 is deze kwetsbaarheid aan het licht gekomen en heeft Marriott International dit gemeld aan de ICO. De ICO oordeelde na het doen van onderzoek dat Marriott International heeft nagelaten bij de due dilligence omtrent de overname van de Starwood hotels group in 2016 voldoende onderzoek te doen naar de stand van de beveiliging van informatiesystemen, waardoor het beveiligingslek heeft kunnen voortduren.

Ondanks het feit dat Marriott International overeenkomstig artikel 33 AVG heeft gemeld aan de ICO en heeft meegeholpen aan het onderzoek, overweegt de ICO nu een boete van £ 99,2 miljoen op te leggen wegens het datalek.

AdValor kan u helpen

Mocht u naar aanleiding van bovenstaande hulp nodig hebben op bijvoorbeeld het controleren van IT-systemen tegen de AVG en/of aanpalende normen en wetten, of bij due dilligence onderzoek bij overnames, dan zijn we u graag van dienst.