Een Poolse gemeente maakt een goed gedocumenteerde melding van een datalek en krijgt vervolgens een boete. Zoiets komt vaker voor in de EU lidstaten. Als er iets opvallend is aan deze zaak dan is het wel de kleinschaligheid. Er is slechts een (1) document gelekt.
Het gaat om een bestuurlijke boete opgelegd aan de burgemeester en de gemeente. Dat is naar Nederlandse begrippen redelijk uitzonderlijk. Bestuurders bij de overheid hebben tot nu toe in Nederland nog nooit een boete opgelegd gekregen onder de AVG. De hoogte van de Poolse boete is met 10.000 Zloty (omgerekend 2.200 Euro) nog te overzien.
Waarom is de boete opgelegd?
Dat is natuurlijk de belangrijkste vraag en het antwoord is duidelijk. De verwerkingsverantwoordelijke van de gemeente meldde bij de toezichthouder een inbreuk op de bescherming van persoonsgegevens. Een werknemer had een kopie van persoonsgegevens van een bedrijfscomputer naar een onbevoegde gegevensdrager gemaakt. Dat klinkt direct als een document op een USB stick zetten. Elders in het boetebesluit blijkt het inderdaad daarom te gaan.
Na de melding is er een onderzoek gestart. De toezichthouder stelde vast dat er geen risicoanalyse was gedaan waarbij naar draagbare opslagmedia is gekeken. Omdat USB sticks – waarschijnlijk onbewust – buiten de scope van de analyse waren gehouden is die hele exercitie nul en waardeloos. Geen rekening houden met USB sticks betekende in dit geval dat alle SUB poorten op de werkstations gewoon voor dataoverdracht te gebruiken waren.
De grote vraag …
Dat er een boete is opgelegd is dus wel te begrijpen. De grote vraag voor de Nederlandse markt, en in het bijzonder de lezers van ITchannelPRO, laat zich raden. Wie weet 100% zeker dat alle USB poorten op alle devices waarvoor hij/zij verantwoordelijk dicht staan om een datalek te voorkomen?