Det britiske Datatilsyn: Bøde til engelsk selskab Equifax Ltd på 500.000 GBP for bl.a. manglende passende tekniske og organisatoriske sikkerhedsforanstaltninger og overførelsesgrundlag til USA (19. september 2018)

Under et cyberangreb på et amerikansk moderselskab, Equifax Inc, blev der offentliggjort personoplysninger om cirka 146 millioner personer (herunder navne, adresser, fødselsdatoer, telefonnumre, e-mailadresser, brugernavne, adgangskoder, kørekortnumre og finansielle oplysninger).

Equifax Ltd (datterselskabet) havde ikke sikret sig, at det amerikanske moderselskab, Equifax Inc, beskyttede de personoplysninger tilstrækkeligt, som de behandlede for datterselskabet. Datterselskabet havde ikke sikret, at personoplysningerne, der blev behandlet i USA altid blev sikret, når det ikke længere var nødvendigt at opbevare dem i USA og virksomheden havde heller ikke implementeret tilstrækkelige sikkerhedsforanstaltninger, da personoplysningerne blandt andet ikke blev krypteret tilstrækkeligt. Databehandleraftalen mellem Equifax Ltd og Equifax Inc gav heller ikke de nødvendige garantier for, at de overførte personoplysningerne blev beskyttet tilstrækkeligt.

Lovbrud

  • Virksomheden begrænsede ikke opbevaringen af personoplysninger i USA tilstrækkeligt.
  • Der var ikke implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger, da IT-sikkerheden og kontrollen med Equifax Inc ikke var god nok.
  • Manglede et lovligt grundlag for at overføre personoplysninger til USA, da databehandleraftalerne med Equifax Inc ikke var tilstrækkelige.

Sanktion på GBP 500.000*

*Sanktionen var den maksimale, britiske bødestraf, før GDPR trådte i kraft. Beløbet kunne have været højere, hvis bøden var blevet udstedt på baggrund af GDPR.

Formidlende omstændigheder

  • Størstedelen af personoplysningerne var almindelige oplysninger.
  • Både de berørte personer og Equifax Ltd var ofre for ondsindede tredjeparters handlinger, da oplysningerne blev lækket under et cyberangreb.
  • Equifax Ltd underrettede selv databeskyttelseskommissæren om databruddet.
  • Equifax Ltd slettede nogle af de oplysninger, som blev opbevaret i USA, da deres system (EIV) blev flyttet til England.
  • Equifax Ltd og Equifax Inc forsøgte at minimere følgerne af databruddet: hyring af IT-eksperter til at håndtere bruddet, tilbød gratis kreditovervågning for de berørte personer, og samarbejdede med myndighederne.
  • Equifax Ltd og Equifax Inc styrkede deres sikkerhed efter bruddet for at undgå fremtidige databrud.

Skærpende omstændigheder

  • Databruddet berørte et højt antal personer i alt 146 millioner personer (herunder op til 15 millioner briter)
  • Risikoen for misbrug havde stået på i lang tid.
  • Cyberangrebet udnyttede en velkendt sårbarhed i systemet, og angrebet kunne derfor potentielt have været undgået.
  • Equifax Ltd’s databehandleraftaler med Equifax Inc var utilstrækkelige.

Kommentarer

ICO’s afgørelse kan findes her.