Boete Britse overheid voor datalek met csv-bestand met 90 procent verlaagd

Boete Britse overheid voor datalek met csv-bestand met 90 procent verlaagd

Een boete van omgerekend 575.000 euro die de Britse overheid vorig jaar kreeg opgelegd wegens een datalek met een csv-bestand is door de Britse privacytoezichthouder ICO met negentig procent verlaagd. Daardoor bedraagt de boete voor het Cabinet Office nu nog maar 57.500 euro.

Het Cabinet Office, dat de Britse premier en het kabinet ondersteunt, plaatste eind 2019 een csv-bestand op de website gov.uk met de adresgegevens van meer dan duizend mensen die waren genomineerd voor het ontvangen van een lintje van de koningin. Het datalek werd bij toeval ontdekt door een medewerker van het communicatieteam van de overheid.

Uiteindelijk stond het bestand twee uur en 21 minuten online. In deze periode werd het csv-bestand bijna 3900 keer door 2800 verschillende ip-adressen benaderd. Van 207 mensen waren de adresgegevens voor het datalek niet openbaar.

Voor het genereren van het overzicht werd een nieuw door het Cabinet Office ontwikkeld systeem gebruikt. De aanwezigheid van een kolom met adresgegevens werd niet tijdens het testproces opgemerkt. Eind december 2019 genereerde een medewerker, die meestal niet voor dit proces verantwoordelijk was, via het nieuwe systeem een csv-bestand dat zou worden gepubliceerd.

Deze medewerker wist dat de adresgegevens niet in het overzicht mochten staan en besloot deze informatie te verbergen in plaats van te verwijderen. Daardoor was de data nog steeds in het csv-bestand aanwezig. Bij het uploaden van het bestand naar Gov.uk werd de verborgen data zichtbaar. Volgens de ICO had het Cabinet Office geen technische en organisatorische maatregelen genomen om een gepast beveiligingsniveau te bieden bij de verwerking van data van lintjesontvangers.

De privacytoezichthouder vond dat de overheidsinstantie hiermee de privacywet had overtreden en legde een boete van 575.000 euro op. Het Cabinet Office ging tegen de hoogte van de boete in beroep en noemde die disproportioneel. De ICO is van mening dat de boete wel proportioneel is, maar heeft vanwege de huidige economische situatie en dat boetes in bepaalde gevallen minder belangrijk zijn om als afschrikking te dienen, het boetebedrag verlaagd naar 57.500 euro.

Bron: https://www.security.nl/posting/773400/Boete+Britse+overheid+voor+datalek+met+csv-bestand+met+90+procent+verlaagd?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.