In 2019 maakte CafePress, een bekende website voor onder andere bedrukte T-shirt en koffiebekers, bekend te zijn gehackt. Afgelopen week maakte de toezichthouder bekend dat er een boete is opgelegd wegens tekortschieten op tenminste zes punten. Een daarvan komt hieronder aan de orde.
Veel wijst erop dat die transactie mede bedoeld was om onder vervolging uit te komen. De toezichthouders hebben zich daardoor niet van de wijs laten brengen. Dat zou ook moeilijk zijn geweest want bij het datalek zijn de records van 20 miljoen (!) klanten gelekt. De nieuwe eigenaren hebben al eerder een strafrechtelijke boeten van $2 miljoen opgelegd gekregen. Vorige week kwam daar de boete met aanwijzing van de toezichthouder nog bovenop.
Bij die laatste boete zit ook een boetebesluit. Daarin staat te lezen waar CafePress tekort is geschoten. Dat zijn tenminste zes punten. Het laatst genoemde punt is om meerdere redenen interessant.
De toezichthouder heeft geconstateerd dat CafePress nalatig is geweest bij het houden van toezicht op de accounts van de klanten. Het bedrijf heeft twee soorten klanten. Eindklanten die de goederen bestellen is een groep. De andere groep bestaat uit personen en ondernemers die via CafePress de kleding laten bedrukken en via die website verkopen. Binnen CafePress zijn er ruim 2,5 miljoen “shops”.
Account van die shophouders zijn ook gehackt. CafePress heeft nagelaten te reageren op meldingen dat accounts van die tweede groep zijn gehackt. Gevolg: die verkopers en hun klanten zijn gedupeerd. Het eerste datalek binnen de CafePress omgeving zorgde namelijk voor een tweede datalek verderop in de keten.
Dit punt heeft een rol gespeeld bij de hoogte van de boete, dat zal niemand verbazen. Maar de les van de zaak CafePress is toch wel dat een datalek makkelijk voor meer en andere slachtoffers kan leiden. Ook daarom: een datalek melden is meer dan een wettelijke plicht, het kan ook zorgen dat de schade wordt ingedamd.