Liegen over datalek kost Blackbaud 3 miljoen Dollar

Het Amerikaanse software bedrijf Blackbaud heeft vorige week een boete van $3 miljoen gekregen voor liegen tegen de klanten. Opmerkelijk is dat de boete minder te maken heeft met persoonsgegevens die zijn gelekt. De boete komt namelijk van de SEC en die gaat uitsluitend over het gedrag van beursgenoteerde bedrijven. blackbaudIn februari 2020 is Blackbaud slachtoffer geworden van een ransomware aanval. Het bedrijf levert SaaS diensten voor met name de niet commerciële instellingen. Van boekhoudprogramma’s, via CRM oplossingen tot digitale collectebussen. De aanval is pas in mei, dus drie maanden later, ontdekt. De 13.000 klanten kregen nog weer later, in juli 2020, te horen van de aanval. Het zou allemaal wel meevallen. Toen was echter al bekend dat er veel meer loos was. Naar de klanten toe werd er dus gelogen. Verzwegen werd ook dat er losgeld was betaald (bron).

AVG

Een deel van de klanten van het bedrijf zit in de EU. Alleen al daarom is het zeker dat er data van EU ingezetenen is gelekt. Wat er dan moet gebeuren weet iedereen: conform de AVG moet dat lek zo snel mogelijk worden gemeld bij de toezichthouder. Blackbaud heeft dat niet gedaan. Pas in september 2020 geeft het bedrijf toe dat “customer “bank account information, social security numbers, usernames and/or passwords” were compromised”. Die mededeling werd gedaan tijdens het publiceren van de kwartaalcijfers.

SEC

Voor toezichthouder SEC is het grootste probleem met Blackbaud dat het bewust de aandeelhouders op het verkeerde been heeft gezet. Door zo laat met (al?) het slechte nieuws naar buiten te komen hebben de eigenaren van het bedrijf maandenlang geen goed beeld van het bedrijf kunnen hebben. Anders gezegd: door te zwijgen en te liegen was de prijs van het aandeel niet op de werkelijk gebaseerd.

Rechtszaken

De boete die SEC Blackbaud oplegt is dus niet voor liegen tegen de klanten, maar tegen de aandeelhouders. Of het daarbij zal blijven is weinig waarschijnlijk. Er lopen namelijk nog wat rechtszaken van gedupeerde klanten. Die zullen het SEC rapport en de boete gebruiken om de rechter in hun zaak te overtuigen van de slechte bedoelingen van het bedrijf. Maar zelfs na die rechtszaak is het voor dit bedrijf nog niet voorbij. De tijd zal leren of de criminelen in ruil voor het ontvangen losgeld (hoeveel is onbekend) echt alle buitgemaakte data hebben vernietigd.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein