Sony Computer Entertainment Europe heeft een boete van ongeveer 297.000 euro ontvangen vanwege het hackschandaal rond het Playstation Network (PSN). In 2011 lukte het hackers om de persoonsgegevens van circa 77 miljoen spelers buit te maken op het PlayStation Network. Daarbij was het PSN voor lange tijd offline.
/>
id="more-8159">
Volgens het onderzoek van de Information Commissioners Office (ICO) was het mogelijk om de aanval te vermijden indien de software van Sony up to date was geweest. Daarbij oordeelde de ICO dat de wachtwoordversleuteling niet veilig genoeg zou zijn geweest. Sony zou hierdoor de Data Protection wet hebben overtreden.
Beveiliging van persoonsgegevens
/> Ondanks alle veiligheidsmaatregelen die bedrijven kunnen treffen blijft beveiliging mensenwerk en leert de praktijk dat bijna alles te ‘hacken’ valt. Dit wetende lijkt het van eminent belang om kritieke informatie niet op te slaan op publieke netwerken. Dat Sony ervoor koos om persoonsgegevens van gebruikers met een onvoldoende wachtwoordversleuteling op het Playstation Network op te slaan is niet alleen in strijd met de Data Protection wet, maar ook met artikel 13 van de Wet Bescherming Persoonsgegevens.
Dit artikel luidt:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Sony dient dus als verantwoordelijke passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. De ICO oordeelde dus dat de getroffen technische maatregelen niet voldoende waren. Maar ook organisatorisch verliep niet alles over rozen. De eerste waarschuwingen dat gegevens van het PlayStation Network misbruikt werden dateren namelijk al van href="http://www.ps3hax.net/2011/04/psn-and-credit-card-info-stolen-in-early-feburary/">februari 2011. En in april 2011 doken de eerste berichten op dat gebruikers met gehackte consoles die geband waren van publieke onderdelen van het PlayStation Network nu hun weg hadden gevonden naar onderdelen van het netwerk die daar niet voor bedoeld waren, maar onvoldoende beveiligd waren. Sony is hier niet adequaat op ingesprongen.
Ook de berichtgeving omtrent dit hackschandaal liet te wensen over. Zo haalde Sony het PlayStation Network zonder kennisgeving offline en vervolgens duurde het nog 6 dagen voordat gebruikers te horen kregen wat daarvoor de reden was.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.