Dålig due diligence kring integritet. Pris: 110 290 061 Euro

Dålig due diligence kring integritet. Pris: 110 290 061 Euro

Efter en omfattande undersökning meddelar ICO i Storbritannien att man har för avsikt att utdöma vite mot Marriott International om €110 290 061 för brott mot GDPR.

Vitet härrör från en cyberattack som meddelades ICO av Marriott i November 2018. En stor mängd personuppgifter rörandes över 339 miljoner gäster globalt röjdes vid incidenten, varav ca 30 miljoner tillhörde medborgare i EEA.

Säkerhetsluckan uppkom när Starwood Hotels Groups system angreps i 2014. Marriot köpte sedan Starwood 2016, men bristen i skydd av personuppgifter upptäcktes inte förrän 2018. ICOs undersökning visar att Marriot brustit i sin due diligence vid förvärvet av Starwood.

Vitet visar på behovet av att genomföra en grundlig due diligence kring integritetsfrågor vid bolagsförvärv, särskilt då verksamheten avses införlivas i övriga bolags verksamhet.  

Vitena i GDPR har ett teoretiskt maximum om 4% av årlig omsättning på koncernnivå. GDPR tar inte hänsyn till i vilken form, eller omsättning då bristen uppkom.

Detta gör att integritetslagstiftning, som GDPR, liknar miljölagstiftningen, där en förvärvare ärver allt ansvar för felaktigheter uppkomna i det förflutna. Att bara acceptera ett bolags ord på att de är GDPR-säkrade räcker därför inte, en djup utvärdering måste ske för att utröna var personuppgifter faktiskt hanteras, och om denna hantering överensstämmer med dokumentation enligt registret över behandling enligt artikel 30.

Inom tech har vi sett detta en längre tid. En investerare kontrollerar inte bara att processer och dokumentation för utvecklingsprocessen finns på plats, man spenderar också avsevärda resurser för att säkerställa att dessa rutiner och konventioner faktiskt har följts av utvecklare och annan personal när koden skapats (code review).

De mycket stora finansiella riskerna med att ärva ansvaret för ett dåligt förhållningssätt till integritet borde göra en sådana integritets due diligence obligatorisk för alla investerare.

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/?fbclid=IwAR3vFryPKGfRRY6PTlWUlBF3t07i1XsuvaklVkxtLm_TfaaI1SrzH63ler8