Die niederländische Datenschutzbehörde untersuchte den Arbeitnehmerversicherer UWV nach neun Datenschutzverletzungen, die zwischen August 2016 und September 2018 auftraten. In diesen Fällen wurden Nachrichten, die für einzelne Arbeitssuchende bestimmt waren, fälschlicherweise an andere Arbeitssuchende gesendet. Dadurch wurden personenbezogene Daten von mehr als 15.000 Nutzern unabsichtlich an unbefugte Dritte weitergegeben. Zu den betroffenen Daten gehörten Informationen wie Name, Geburtsdatum, Adresse, Sozialversicherungsnummer, Arbeitslosengeldbezug, sowie Details zur Gesundheit und zum Bildungsweg.
Die Untersuchung ergab, dass UWV keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen hatte, um den sicheren Versand von Gruppennachrichten zu gewährleisten. Zudem hatte das Unternehmen bestehende Sicherheitsmaßnahmen weder überwacht noch regelmäßig überprüft. Nach der ersten Panne im Jahr 2016 wurden keine Maßnahmen ergriffen, um zukünftige Vorfälle zu verhindern, und zwar erst Ende 2018, als bereits 4,5 Millionen Niederländer registriert waren. Außerdem hatte UWV seine Informationspflicht verletzt, indem es die betroffenen Personen nicht ordnungsgemäß über die Verarbeitung ihrer Daten informierte.
Sanktionsadressat
UWV
Bußgeld
450.000 EUR
Verletzte Rechtsnorm
Art. 13 DSGVO
Art. 32 Abs. 1 und 2 DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
Quellen und Links:
Datenschutzbehörde: Niederlande – Autoriteit Persoonsgegevens
https://autoriteitpersoonsgegevens.nl/nl/nieuws/uwv-krijgt-boete-voor-slechte-beveiliging-bij-verzending-groepsberichten
Rechtssichere Webseite für Unternehmen – Website-Compliance-Check
https://website-compliance.tec4net.com
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com