Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 150 000 euro mot Dutch Social Insurance Institution (SVB) för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att SBV drabbats av ett dataintrång där en kunds uppgifter läckt ut till obehöriga tredje parter. En okänd tredje part lyckades därefter begära information om olika förmåner gällande kunden via SVB:s telefonjour.
Under sin utredning konstaterade AP att SVB inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. AP konstaterade till exempel att systemet för att verifiera uppringarnas identitet var otillräckligt och att verifieringsfrågorna var för enkla. Enligt AP utgjorde detta överträdelser av artiklarna 32.1 och 32.2 GDPR.