Sigorta şirketi Bupa’ya, müşterilerinin kişisel verilerinin korunması için gerekli güvenlik önlemlerini almadığı gerekçesiyle Birleşik Krallık Veri Koruma Otoritesi (ICO) tarafından 175.000 İngiliz sterlini para cezası verildi.
Karara konu olan olayda sigorta şirketinin bir çalışanı tarafından 547.000 müşterinin kişisel verilerine ulaşılarak karanlık ağ’da (“dark web”) satılmaya çalışıldığı belirtildi. Söz konusu çalışanın verilere, şirketin SWAN isimli müşteri ilişkileri yönetim sisteminden ulaştığı ve 1.5 milyon kişinin verisinin söz konusu sistemde tutulduğu tespit edildi. Çalışanın bu verileri SWAN’den kendi kişisel e-posta hesabına aktardığı ve sonrasında müşterilerin isimleri, doğum tarihleri, e-posta adresleri ve uyruklarını içeren kişisel verilerini dark web’te satmak üzere teklifte bulunduğu belirtildi.
ICO tarafından yapılan incelemede söz konusu sisteme 20 kişilik bir kullanıcı takımı ile birlikte 1351 kullanıcının daha erişebildiği tespit edildi. Ayrıca 20 kişilik ekibin bu verileri başka uygulama ve platformlara aktarabildiği de tespit edildi. Ancak verilere neden bu denli büyük bir sayıda erişim hakkı tanındığı ve aktarım izni verildiği konusunda şirket tarafından makul bir gerekçe sunulamadı. Ayrıca sistemdeki olağandışı hareketleri tespit amacıyla log kayıtlarının düzenli olarak incelenmediği de ortaya çıktı. ICO, şirketin veri güvenliği noktasında sistematik olarak devam eden esaslı yetersizliklerinin bulunduğunu ve söz konusu olayda olduğu gibi büyük miktarda verinin aktarımının fark edilemediğini tespit etti ve şirkete para cezası uyguladı.
Ayrıca verileri çalan şirket çalışanının işten çıkarıldığı ve polis tarafından hakkında yakalama emri çıkarıldığı ifade edildi.