Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 360 000 euro mot ett finansbolag för brister i säkerhetsåtgärder och hantering av personuppgiftsincidenter i strid med dataskyddsförordningen (GDPR).
Bakgrund
Av beslutet framgår att finansbolaget tog emot flera klagomål från registrerade som uppgav att lån hade tagits i deras namn utan deras begäran. Bolaget genomförde därefter interna riskbedömningar under 2022 och bedömde att incidenterna inte behövde anmälas till AEPD eller till de berörda registrerade.
I februari 2023 mottog AEPD ytterligare klagomål från registrerade. Bolaget uppgav den 14 februari 2023 att det hade fått kännedom om ett dataintrång som påverkade personuppgifter om både kunder och anställda. Intrånget omfattade totalt 9 636 registrerade och rörde bland annat namn, födelsedatum, identifikationsnummer, kontaktuppgifter samt betalningsuppgifter.
Intrånget genomfördes genom en brute force-attack där angripare prövade olika kombinationer av identifikationsnummer, e-postadresser och lösenord. Efter att ha fått tillgång till kundkonton tog angriparna lån i de registrerades namn som därefter betalades ut till kundkonton. Angriparna kontaktade sedan de registrerade via WhatsApp och utgav sig för att vara företaget för att begära återbetalning till konton som kontrollerades av angriparna. Totalt 139 registrerade utsattes för bedrägeriet.
Företaget anmälde dataintrånget till AEPD i februari 2023 men bedömde att incidenten inte medförde hög risk för de registrerades rättigheter och friheter och valde därför att inte informera dem. Efter att AEPD i april 2023 inledde en utredning förelades företaget att informera de registrerade om incidenten, vilket därefter skedde.
Myndighetens bedömning
AEPD konstaterade att behandlingen av personuppgifter skedde i strid med artiklarna 5.1 (f) och 32 GDPR. Myndigheten bedömde att de uppgifter som exponerades inklusive identitetsuppgifter och finansiell information, medförde betydande säkerhetsrisker för de registrerade, särskilt eftersom uppgifterna kunde användas för identitetsstöld och bedrägeri.
AEPD fann även att företagets säkerhetsåtgärder var otillräckliga i förhållande till den risknivå som behandlingen innebar. Myndigheten framhöll särskilt att avsaknaden av tvåfaktorsautentisering vid låneansökningar utgjorde en allvarlig brist. Trots att företaget senare införde tvåfaktorsautentisering och andra säkerhetsåtgärder ansåg AEPD att dessa åtgärder tydliggjorde bristerna i det tidigare säkerhetssystemet.
Den ursprungliga sanktionsavgiften fastställdes till 600 000 euro. Beloppet reducerades till 360 000 euro efter att företaget erkänt överträdelsen och gjort en omedelbar betalning enligt nationella regler.
Praktiska konsekvenser
Beslutet illustrerar vikten av att genomföra riskbaserade säkerhetsåtgärder vid behandling av känsliga identifieringsuppgifter och finansiella uppgifter. Organisationer som tillhandahåller digitala finansiella tjänster behöver särskilt säkerställa stark autentisering, exempelvis tvåfaktorsautentisering, samt löpande utvärdera sina riskbedömningar.
Beslutet visar även att en organisation måste göra en korrekt bedömning av om en personuppgiftsincident innebär hög risk för registrerade. Om så är fallet ska de registrerade informeras utan onödigt dröjsmål enligt GDPR.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: AEPD.