Spaanse bank beboet wegens gedeeld account voor beveiligingscamera's

In dit artikel:

De Spaanse privacytoezichthouder AEPD legde Unicaja Banco een boete op van 500.000 euro wegens gebrekkige beveiliging van camerabeelden; omdat de bank niet in beroep ging en de boete betaalde, werd deze met 20% verlaagd tot 400.000 euro. In 2023 schakelde de bank een extern beveiligingsbedrijf in voor het plaatsen van een camerasysteem. Naar aanleiding van een klacht ontdekte de AEPD dat tien medewerkers en een manager via één gedeeld account toegang hadden tot de beelden, zonder dat geregistreerd werd wie welke beelden bekeek. De beschikbare logs lieten alleen het gedeelde account en IP-adressen zien, niet de individuele gebruikers.

Hoewel in het contract met het beveiligingsbedrijf en in de eigen DPIA stond dat aparte gebruikersaccounts, role-based access, traceerbaarheid en periodieke toegangscontroles verplicht waren, waren die maatregelen in de praktijk niet toegepast. De toezichthouder wees het verweer dat de fout bij de leverancier lag resoluut van de hand en stelde dat de bank verantwoordelijk was voor naleving van contractuele en AVG-vereisten (artikel 32).