Bedrijf B in Oostenrijk wordt op 6 maart 2023 platgelegd door ransomware. Alle data is versleuteld, het bedrijf doet hiervan melding bij de politie en de verzekering. Die twee stappen klinken logisch, maar het is onvoldoende.
Sterker nog B begaat hier een overtreding, want de AVG verplicht tot het melden van datalekken bij de toezichthouder. B doet dat pas op 24 april. Dat is pas nadat de verzekeraar heeft aangegeven zonder bewijs van die melding niet over te gaan tot het behandelen van de schadeclaim.
De toezichthouder verwacht, conform de meldplicht datalekken, dat elke datalek snel wordt gemeld. In Nederland staat op de website van de AP 72 uur, maar ook 24 uur. In andere EU lidstaten worden termen als “onverwijld” en “terstond” gebruikt. Elk van die termen geeft enige ruimte, maar de bijna 7 weken die de Oostenrijkse onderneming nodig had is overduidelijk veel te lang.
In het boetebesluit (pdf) van de toezichthouder staat waarom die melding is gedaan (de verzekering eiste dat) en ook het excuus van de onderneming. Die beweerde er van uit te gaan dat melding bij de politie voldoende was. Daar blijft het niet bij. De gasten van het bedrijf waarvan de data is gelekt waren niet op de hoogte gebracht. Men wilde ze daar niet mee lastigvallen.Tijdens de onderzoeksfase is het bedrijf ook nog eens opgevallen door de minimale bereidheid samen te werken met de toezichthouder.
Dit alles leidt tot een boete van 5.900 Euro met een opslag van 10 procent. 6.490 Euro in totaal dus.
