Louis Vuitton, Dior en Tiffany krijgen 21 miljoen euro boete wegens datalekken

In dit artikel:

In Zuid-Korea heeft de privacytoezichthouder PIPC boetes van in totaal ongeveer 21 miljoen euro opgelegd aan Louis Vuitton, Dior en Tiffany nadat criminelen bij meerdere hacks de persoonsgegevens van meer dan 5,5 miljoen klanten hadden gestolen. Louis Vuitton kreeg de hoogste sanctie (€12,5 mln). Onderzoek wees uit dat het bedrijf een klantbeheersysteem gebruikte zonder sterke inlogmethodes en zonder beperkingen op toegang vanaf internet of op basis van ip-adres; malware op werknemerscomputers maakte credentialdiefstal en driemaal datalek mogelijk, met circa 3,6 miljoen getroffen klanten als gevolg.

Dior kreeg circa €7,1 mln boete omdat een misleide medewerker toegang gaf tot een SaaS-omgeving die voor elk ip-adres bereikbaar was, geen maatregelen tegen massale downloads kende en logcontrole verwaarloosd werd; het lek bleef meer dan drie maanden onopgemerkt en werd te laat gemeld. Tiffany werd beboet met ongeveer €1,4 mln nadat voice phishing leidde tot toegang tot de gegevens van 4.600 mensen; ook daar ontbraken ip-beperkingen en waren meldingen niet binnen de verplichte 72 uur gedaan. De zaken benadrukken het belang van strikte toegangscontrole, monitoring en snelle melding bij datalekken.