Det spanske datatilsynet AEPD ga et e-handelsselskap €1 090 000 i bot etter et datainnbrudd. Angriperne kom seg inn via et eldre IT-system som fortsatt var tilkoblet internett — med utdatert programvare, uten sikkerhetsoppdateringer, uten logging og uten tilgangsstyring. Systemet var ikke i aktiv bruk, men det inneholdt kundedata.
AEPD slo fast at selskapet brøt kravet om passende sikkerhet i GDPR artikkel 32. Et system uten oppdateringer og uten overvåking er per definisjon usikkert. I tillegg meldte selskapet bruddet for sent — de varslet ikke AEPD innen 72 timer, og de berørte kundene fikk heller ikke beskjed i tide.
**Praktisk poeng:**
Lag en oversikt over alle systemer som er koblet til nettet. Hvis et system ikke er i aktiv bruk — oppdater det eller koble det fra. Glemte systemer er åpne dører.
Inspirert av: AEPD (Spania) via TechLaw.se