Den spanska dataskyddsmyndigheten AEPD ålade ett e-handelsföretag ett böter på 1 090 000 euro efter ett dataintrång. Angriparna tog sig in via ett äldre IT-system som fortfarande var anslutet till internet – med föråldrad programvara, utan säkerhetsuppdateringar, utan loggning och utan åtkomstkontroll. Systemet var inte i aktiv användning, men det innehöll kunddata.
AEPD slog fast att företaget bröt mot kravet om lämplig säkerhet i GDPR artikel 32. Ett system utan uppdateringar och utan övervakning är per definition osäkert. Dessutom anmälde företaget intrånget för sent – de underrättade inte AEPD inom 72 timmar, och de berörda kunderna fick inte heller besked i tid.
Praktisk poeng
Skapa en överblick av alla system som är anslutna till nätet. Om ett system inte är i aktiv användning — uppdatera det eller koppla bort det. Glömda system är öppna dörrar.
Inspirerad av: AEPD (Spanien) via TechLaw.se