Op 17 februari had de Spaanse toezichthouder op de AVG heel veel te vertellen. Die dag zijn er maar liefst 20 boetebesluiten gepubliceerd. In alle gevallen werd een boete opgelegd na melding van een datalek en het onderzoek dat daarop volgde.
Het is een lange lijst en tot zover bekend is iets dergelijks in de EU nog niet eerder voorgekomen. 20 coöperatieve banken (Caja Rural) die als zelfstandige entiteiten opereren hebben boetes opgelegd gekregen. De bedragen lopen uiteen van 5.000 tot 88.000 Euro. Alle banken hebben in de zelfde periode te maken gehad met “cyberincidenten” die als datalek zijn gemeld.
Na de meldingen is de toezichthouder een diepergaande onderzoek gestart. Ze zullen daar wel raar hebben opgekeken van het grote aantal datalek meldingen met allemaal dezelfde opzet.
Uit het onderzoek is gebleken dat elk van de coöperatieven, in weerwil van wat de websites aangeven, de zaakjes niet voor elkaar had. Geen van de melders kon aantonen bij de gegevensverwerking een adequate beveiliging kon worden gegarandeerd.
Zo onafhankelijk als men zich ook graag voordoet, de reactie van alle banken was gelijk. Men betreurde het incident maar bestreed de artikelen 5, 32.1 en 33 van de AVG overtreden te hebben.
Bovendien had de toezichthouder de groep als een entiteit moeten behandelen en niet als 20 losse bedrijven. Iedereen die de Rabo bank in Nederland van voor de bankcrisis heeft meegemaakt zal dat een hele raar argument vinden. Coöperatieven die als een geheel beschouwd willen worden?
Los van het juridische gespartel is deze verzameling van boetebesluiten niet zo spannend. De banken hebben heel snel eieren voor hun geld gekozen. De boetes zijn daardoor met 20 procent verlaagd en iedereen heeft beloofd zich aan de wet te houden. Opgeteld is de boete ruim 480.000 Euro. Niet schrikbarend hoog, maar toch. Dat een bank op de vingers getikt wordt wegens ontoereikende beveiliging van de processen is niet wat je verwacht. Als 20 Spaanse banken de AVG niet naleven is dat iets om toch even bij stil te staan.
