Bijna een jaar geleden wist een dief de gegevens van bijna 157.000 klanten buit te maken. Het ging onder meer om adressen, telefoonnummers en e-mailadressen, en in sommige gevallen ook om bankgegevens.
Volgens de Information Commissioner’s Office (ICO), de Britse tegenhanger van de Autoriteit Persoonsgegevens, ging dat “met gemak”.
Er zaten verschillende kwetsbaarheden in de systemen van TalkTalk, blijkt uit onderzoek van de ICO. In 2009 kwamen deze systemen in handen van TalkTalk na een overname, en sindsdien deed de provider onvoldoende om de beveiliging te garanderen.
Verouderd
“TalkTalk was zich er niet van bewust dat de geïnstalleerde versie van de databasesoftware verouderd was en niet meer werd ondersteund door de ontwikkelaar”, aldus de ICO.
Ook werden twee eerdere hacks, die hadden kunnen dienen als waarschuwingen over de verouderde technologie, niet opgemerkt. “TalkTalk had meer kunnen en moeten doen om zijn klantinformatie te beschermen”, aldus voorzitter Elizabeth Denham van de waakhond.
Waakzaam
De boete die de provider moet betalen, de hoogste die in het Verenigd Koninkrijk ooit werd uitgedeeld voor nalatigheid bij het beschermen van persoonsgegevens, moet volgens Denham gelden als waarschuwing voor anderen.
“Bedrijven moeten zorgvuldig en waakzaam zijn”, zegt zij. “Dat moeten ze niet alleen doen omdat ze daar wettelijk toe verplicht zijn, maar ook omdat ze dat aan hun klanten verplicht zijn.”
Sinds 1 januari kan ook de Nederlandse Autoriteit Persoonsgegevens boetes opleggen als bedrijven de Wet bescherming persoonsgegevens overtreden, bijvoorbeeld door nalatigheid bij de bescherming van gegevens. Vooralsnog heeft de toezichthouder geen boetes uitgedeeld.