Onlangs heeft een datalek plaatsgevonden bij VTech, de bekende fabrikant van educatieve computers voor kinderen. Onder andere Nu.nl en de website van VTech zelf berichtten dat de profielen van meer dan 6 miljoen kinderen wereldwijd (waarvan meer dan 120.000 profielen van Nederlandse kinderen) gestolen zijn bij een hack. De profielen van de kinderen bevatten hun naam, het geslacht en geboortedatum. Ook buitgemaakt zijn de accounts van de ouders. Die accounts omvatten onder meer: namen, e-mailadressen, IP-adressen, downloadhistorie, encrypted wachtwoorden; encrypted content zoals profielfoto’s, berichten en gedownloade spelletjes; verkooplogs en logs van het speelgedrag van het kind. Het gaat niet om creditcardnummers of andere financiële informatie; ook zijn er geen ID-kaartnummers, burgerservicenummers en dergelijke gelekt.
Onder de regels met betrekking tot gegevensbeveiliging, en vanaf 2016 de meldplicht datalekken, kunnen dergelijke situaties grote financiële gevolgen hebben voor bedrijven. Het CBP, vanaf 2016 de Autoriteit Persoonsgegevens, zal dan een fors hogere boete dan voorheen kunnen opleggen (recent zijn nieuwe conceptboetebeleidsregels gepubliceerd). Er geldt vanaf 2016 per soort overtreding een basisbedrag, dat eventueel binnen een bandbreedte kan worden verhoogd of verlaagd. Gelet wordt op de aard en omvang van de overtreding, de duur van de overtreding, de impact van de overtreding voor de betrokkenen en/of de maatschappij. In een geval als dat van VTech gaat het om gegevens van kinderen, opgeslagen bij een grote speelgoedfabrikant. De invloed voor betrokkenen, en de maatschappij, kan dus behoorlijk zijn.
Het CBP houdt ook rekening met de mate van verwijtbaarheid, de omstandigheden waaronder de overtreding is gepleegd en de financiële omstandigheden van de overtreder. Het CBP kan ook buiten de bandbreedte treden om tot een passende boete te komen – een grote beslissingsruimte dus. Er kunnen boeteverhogende omstandigheden zijn, zoals herhaling, het niet nakomen van een bindende aanwijzing, of het tegenwerken van het onderzoek. Er kunnen ook boeteverlagende omstandigheden zijn, zoals het (verdergaand dan wettelijk verplicht) medewerking verlenen aan het onderzoek, uit eigen beweging beëindigen van de overtreding, of schadeloos stellen van de betrokkenen.
Op 23 november heeft VTech een mail gehad van een journalist over een hack die op 14 november zou hebben plaatsgevonden. Een intern onderzoek is gestart en de overtreding is gedetecteerd. Op 26 november is het datalek bevestigd en op 27 november zijn de klanten geïnformeerd. VTech doet nog onderzoek en kan nog niet bevestigen of er ook foto’s, audiobestanden of chats zijn gestolen – meer gevoelige gegevens dus. Momenteel wordt er door samengewerkt met de autoriteiten door juristen die door VTech zijn ingeschakeld.
Er zal in dergelijke situaties moeten worden bekeken of het lek ‘onverwijld’ is gemeld – hetgeen hier niet het geval lijkt. Bij het niet nakomen van de meldplicht datalekken geldt een boetebandbreedte tussen 120.000 en 500.000 euro; ook wanneer een datalek niet aan betrokkenen wordt gemeld. Het is in ieder geval een kwantitatief ernstig datalek. Indien er gevoelige gegevens zijn vrijgekomen, kunnen de gevolgen voor betrokkenen ernstiger zijn en is ook ruimte voor hogere boetes in geval van een overtreding. Wanneer er niet voldaan is aan de beveiligingsplicht, kan zelfs voor een boete in de bandbreedte van categorie II of III worden gekozen. De boetes kunnen dan oplopen tot 810.000 euro (dit hoogste bedrag is wel bedoeld voor opzettelijke en herhaaldelijke inbreuken).
VTech maakte eerder al gebruik van maatregelen als encryptie en herziet nu haar beveiligingsbeleid. De betreffende websites zijn tijdelijk uit de lucht gehaald. Het bedrijf geeft aan een consultancybureau op het gebied van gegevensbeveiliging in de arm te hebben genomen. VTech stelt van de gebeurtenissen te willen leren om datalekken in de toekomst te voorkomen. Het is in dergelijke gevallen echter aan het CBP om te beoordelen of een bedrijf zijn gegevens ook vooraf adequaat heeft beveiligd.
Deze blog is geschreven door Fay Kartner (stagiair).
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.