Datalek van banken | ING Bank, Banco Bilbao Vizcaya Argentaria | AVG, UAVG

Een grote groep financiële ondernemingen hoeft geen datalekken aan betrokkenen te melden, lees dit bericht. Waarom deze enorme groep ondernemingen is uitgezonderd, is voor mij nog steeds een raadsel want een melding van een datalek hoeft niet per definitie een bankrun te veroorzaken.
Het staat me bij dat de Autoriteit Persoonsgegevens geen AVG-toezichthouder is voor financiële instellingen.

Boete voor Banco Bilbao Vizcaya Argentaria SA
In andere landen vallen financiële instellingen gewoon onder toezicht van de nationale autoriteit persoonsgegevens. Een voorbeeld is Spanje, waar de Spaanse toezichthouder AEPD een bank (Banco Bilbao Vizcaya Argentaria SA) een boete van €48.000 oplegde omdat er onvoldoende technische en organisatorische maatregelen waren genomen om datalekken te voorkomen (uitspraak in het Spaans).

Gegevens ING-rekeninghouders op het dark web
Vorig jaar werd bekend dat er bij ING een datalek was bij de creditcardoverzichten (RTL, AGConnect).
Onlangs verscheen op Computable het artikel ING-gegevens goudmijn voor cybercriminelen, waarin Pim van der Beek schrijft dat op het dark web bankgegevens van ING-klanten worden aangeboden voor prijzen van rond de 3500 euro per set. In het artikel staat onder meer:

NordVPN heeft de reden van de hoge vraagprijs voor de ING-bankgegevens niet onderzocht. De directeur van de Nederlandse tak, Jonathan Beresford, legt desgevraagd uit dat ING gelet op de gemiddelde hoogte van het saldo per rekening, één van de grootste banken is. Beresford: ‘Mogelijk investeert ING ook flink in de beveiliging en dan is het dus moeilijker voor criminelen om bankgegevens te krijgen of om de rekening te gebruiken voor illegale betalingen.’ Volgens de beveiliger kan het ook zo zijn dat ING hoog scoort omdat het aantal klanten groot is en daardoor de pakkans lager wordt. Bij grote banken blijven criminelen soms langer onopgemerkt.

De vraag die mij dan rijst is of de klanten van ING hierover worden geïnformeerd. Een zoekactie op het internet leverde  niets op. De bank heeft wel een pagina waarin wordt uitgelegd wat er kan gebeuren na een datalek.

Ik vraag me af hoe juist de ruime uitzondering voor financiële ondernemingen is. Er lijkt me alle aanleiding om na te gaan of dit niet anders moet.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce en getagged met , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s