Hellenic-Bank-Cyprus

Niet zo maar een datalek van de Hellenic Bank Cyprus

Security

Hellenic-Bank-CyprusDe Hellenic Bank Cyprus heeft vorige week een boete opgelegd gekregen wegens een bijzonder datalek. Dat datalek heeft bank zelf gemeld. Het is een interessante case omdat aanvankelijk niet helemaal zeker is of hier echt wel sprake was van een lek.

Bankfiliaal op Cyprus

Ook de Cypriotische Hellenic Bank is al enige tijd bezig het kantorennetwerk te verkleinen.  Daarbij is in 2015 een kantoor gesloten dat vervolgens tot 2019 heeft leeggestaan. In al die jaren was er niemand die het pand heeft betreden. Daarom kon het vier jaar duren eer werd geconstateerd dat in het pand nog een afgesloten ingebouwde kluis aanwezig was. De nieuwe huurder of de verhuurder hebben toen dat aan het licht kwam direct de bank geïnformeerd. Die stelde vast dat in de kluis documenten met klantgegevens aanwezig waren. Detail: hoe men de kluis na al die jaren kon openen is niet genoemd.

Melding datalek en boete

De gegevens zijn vervolgens veilig afgevoerd en waarschijnlijk naar een kluis in een actief filiaal ondergebracht. Volgende stap was het melden bij de toezichthouder van een datalek. Ruim een jaar later legt die de bank een boete op van €25.000 voor het overtreden van de artikelen 5, 32 en 33 van de AVG.

Wat rechtvaardigt de boete?

Op het eerste gezicht is de boete vreemd. De data lag al die tijd in een kluis en is niet door derden ingezien of misbruikt. Is het onbenaderbaar opruimen van data een datalek? Of is het probleem juist meer dat men de data is vergeten? In het laatste geval van de boete te rechtvaardigen.

Wie de summiere melding van de boete beter vertaalt (er is alleen een Griekse versie online) ziet dat de genoemde artikelen doorslaggevend moeten zijn geweest. Het gaat om data die in de eerste plaats niet had mogen verzamelen en verwerken. Omdat artikel 5.1 van de AVG is genoemd is er ook nog eens sprake geweest van een dataset met gegevens van minderjarigen.

Vertaling naar IT

Met enige creativiteit valt van deze case ook digitale variant te maken voor de IT sector. Als een bedrijf data opslaat op harde schijf of tape en die vervolgens in een kluis legt is dat veilig. Als de kluis wordt vergeten is er een datalek. Het hoeft niet eens zo te zijn dat die kluis door een derde wordt geopend of gestolen.

Het kan dus geen kwaad gericht te zoeken naar de fysieke locaties waar data staat opgeslagen en dat permanent bij te houden. De misser van de bank op Cyprus is namelijk helemaal niet zo exotisch, dit soort fouten ontstaat omdat men geen overzicht bijhoudt van de datalocaties. En dan is een datalek op enig moment onvermijdelijk.

Related posts ...