Australië legt bedrijven een boete op tot AU$50 miljoen wegens datalekken

Gepubliceerd op: 1 december 2022

Het Australische parlement keurde een wetsvoorstel goed om de privacywetgeving van het land te wijzigen om de maximale boetes te verhogen tot AU$50 miljoen voor bedrijven en gegevensbeheerders die het slachtoffer worden van grootschalige datalekken.

De financiële boete die door het nieuwe wetsvoorstel wordt ingevoerd, is vastgesteld op ofwel AU$50 miljoen, driemaal de waarde van enig voordeel verkregen door misbruik van informatie, of 30% van de gecorrigeerde omzet van een bedrijf in de relevante periode, afhankelijk van welke van de twee het grootst is.

Ter vergelijking: de vorige boete voor ernstige gegevensblootstelling was AU$ 2.22 miljoen, wat niet voldoende werd geacht voor bedrijven om hun gegevensbeveiligingsstructuren te verbeteren.

Dit nieuwe wetsvoorstel kwam er als reactie op recente cyberaanvallen tegen Australische bedrijven, waaronder ransomware en netwerkinbreuken. Deze datalekken resulteerden in de blootstelling van zeer gevoelige gegevens voor miljoenen mensen in het hele land.

“De Albanese Labour-regering heeft geen tijd verspild met reageren op recente grote datalekken. We hebben in iets meer dan een maand wetgeving aangekondigd, ingevoerd en opgeleverd”, aldus de media-aankondiging op maandag.

"Deze nieuwe, hogere straffen geven een duidelijk signaal af aan grote bedrijven dat ze beter hun best moeten doen om de gegevens die ze verzamelen te beschermen", voegde de Australische regering eraan toe.

De meest opvallende cyberbeveiligingsincidenten waren de Optus datalek van telecommunicatieproviders dat 11 miljoen mensen trof en de Medibank ransomware-aanval van verzekeringsmaatschappij die de gegevens van 9.7 miljoen mensen blootlegde.

“Aanzienlijke privacyschendingen in de afgelopen maanden hebben aangetoond dat de bestaande waarborgen achterhaald en ontoereikend zijn. Deze hervormingen maken bedrijven duidelijk dat de boete voor een groot datalek niet langer kan worden beschouwd als de kosten van het zakendoen”, vervolgt de aankondiging.

Naast het opleggen van hogere boetes, geeft de nieuwe wetgeving meer bevoegdheden aan het Office of the Australian Information Commissioner (OAIC) ​​om meer betrokken te zijn bij het oplossen van privacyschendingen en het bepalen van de reikwijdte.

OAIC verwelkomde het aannemen van het amendement in een aankondiging op dinsdag en beloofde Australische burgers dat het zijn versterkte rol zou gebruiken om individuen en de economie van het land beter te beschermen.

"De bijgewerkte sancties zullen de Australische privacywetgeving beter afstemmen op de concurrentie- en consumentenrechtmiddelen en internationale sancties onder de algemene verordening gegevensbescherming van Europa", aldus commissaris Angelene Falk.

"Bij het zoeken naar sancties of het nemen van regelgevende maatregelen, zal onze aanpak pragmatisch, op feiten gebaseerd en proportioneel blijven", voegde ze eraan toe.