EBay is het slachtoffer geworden van wat is beschreven als de 'grootste cyberaanval in de geschiedenis' waarbij mogelijk 233 miljoen klanten wereldwijd zijn getroffen. Hoewel de wachtwoorden van klanten veilig gecodeerd blijven, is persoonlijke informatie zoals namen, adressen en geboortedata gehackt.

Naar aanleiding van dit nieuws is bevestigd dat de Information Commissioner samen met Europese gegevensautoriteiten actie onderneemt tegen eBay, naast de verschillende onderzoeken die al in de VS worden uitgevoerd..

Om de implicaties van dit alles te helpen ontdekken, stellen we een aantal vragen aan jurist Emily Carter, een partner bij advocatenkantoor Kingsley Napley LLP.

Tech Radar Pro: Wat is het mandaat van de Information Commissioner's Office??

Emily Carter: Het Information Commissioner's Office is de onafhankelijke autoriteit van het Verenigd Koninkrijk die belast is met het handhaven van informatierechten in het algemeen belang. Het biedt leidraden voor de toepassing van de wet betreffende gegevensbescherming en vrijheid van informatie en vrijwillige audits van informatieverwerking door organisaties.

Wanneer de vereisten van die wetten worden overtreden, behandelt het klachten en neemt het alle noodzakelijke handhavingsmaatregelen.

TRP: onder welke omstandigheden kan het kantoor van de Information Commissioner actie ondernemen tegen een wereldwijde internethandel zoals eBay?

EC: Christopher Graham, de Information Commissioner, bevestigde vrijdag dat het moet coördineren met andere rechtsgebieden bij het overwegen van een wereldwijd internetbedrijf als eBay. De Amerikaanse Federal Trade Commission zal een onderzoek starten omdat EBay een Amerikaans bedrijf is.

Binnen Europa neemt de Luxemburgse gegevensbeschermingsautoriteit het voortouw, omdat het Europese hoofdkantoor van EBay zich in Luxemburg bevindt. Aangezien er naar verluidt echter 14 miljoen actieve VK-klanten zijn getroffen, zou het bureau voor informatiecommissarissen hier nog steeds actie kunnen ondernemen.

TRP: Wat is volgens de wetgeving op het gebied van gegevensbescherming vereist voor bedrijven zoals eBay om te beschermen tegen hacking?

EC: Het zevende beginsel van gegevensbescherming vereist dat bedrijven beschikken over "Passende technische en organisatorische maatregelen" om te waken tegen hacking en andere ongeoorloofde of onwettige verwerking van persoonsgegevens. Of de beveiliging geschikt is, hangt af van de aard van de informatie in kwestie en de schade die kan voortvloeien uit het oneigenlijke gebruik ervan.

Gezien de omvang en middelen van een bedrijf als EBay en gezien de enorme hoeveelheden persoonlijke gegevens waarover het beschikt, zou ik verwachten dat de Information Commissioner heel snel kan concluderen dat de enige "geschikte" benadering van beveiliging zou zijn om het allerbeste te behouden en de meeste updates voor beschikbare gegevensbeveiligingssystemen.

TRP: Welke sancties zijn er voor de Information Commissioner als Ebay de wet op gegevensbescherming heeft geschonden?

EC: De Information Commissioner kan boetes opleggen van maximaal £ 500.000. Vorig jaar kreeg Sony in een vergelijkbare zaak een boete van £ 250.000 van de Information Commisioner wegens het niet up-to-date houden van beveiligingssoftware die leidde tot het hacken van persoonlijke gegevens van miljoenen klanten, waaronder in dit geval wachtwoorden en kaartgegevens.

TRP: Welke taak heeft EBay om klanten tijdig over een probleem te informeren??

EC: Er is momenteel geen wettelijke verplichting voor diegenen die persoonlijke gegevens in bezit hebben en verwerken om de Information Commissioner of de betrokken personen te informeren indien een inbreuk op de beveiliging plaatsvindt. Uit informatie van het bureau van de Information Commisioner blijkt echter dat de organisatie bij ernstige gegevensinbreuken contact moet opnemen met zijn kantoor.

Een schending wordt als serieus beschouwd wanneer er potentieel nadeel is voor individuen. In dit geval lijkt het erop dat noch de Information Commissioner, noch klanten werden geïnformeerd gedurende maximaal twee weken nadat de inbreuk op de beveiliging was vastgesteld.

TRP: Wat is de potentiële impact van de door EBay gemelde vertraging bij het waarschuwen van de gegevensautoriteiten en klanten van een inbreuk op de beveiliging?

EC: Dit is een kwestie waarmee het bureau van de Information Commissioner rekening kan houden bij het bepalen van de passende hoogte van de financiële sanctie voor de onderneming.