Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 3 miljoner euro mot Iberdrola S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att AEPD har avslutat en omfattande utredning av energibolaget Iberdrola. Utgångspunkten var en hackerattack mot databassystemen. Cyberbrottslingarna hade utnyttjat en sårbarhet där klientkoden visades i webbadressen. Denna kod hade ändrats, vilket möjliggjorde åtkomst till personuppgifterna i databasen. Sårbarheten gjorde det också möjligt att komma åt och exfiltrera databaserna för andra företag som hade sina uppgifter hos Iberdrola, vilket påverkade över 4,5 miljoner kunder.
AEPD konstaterade att säkerhetssystemen och de interna processerna inte var lämpliga för att garantera en säkerhet som stod i proportion till risken. Enligt AEPD utgjorde detta överträdelser av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och kravet på lämpliga säkerhetsåtgärder enligt artikel 32 GDPR.
Som en del av beslutet ådömdes partnerföretaget I-De Redes Eléctricas Inteligentes S.A.U. ett andra sanktionsavgift för likande överträdelser.