OAIC accepterar åtagande från ARC på Optus kund dataintrång

Den australiska Privacy Commissioner har accepterat ett verkställ åtagande från ARC Mercantile efter en överträdelse av personliga kunduppgifter i slutet av förra året, som inträffade när en ARC anställd postat ett kalkylblad med kunder på grund av pengar till Optus på Freelancer.com.

“Denna incident understryker vikten av att inte bara upprätta och genomföra integritets processer, men också att upprätthålla dessa processer för att säkerställa en kultur av privatlivet inom organisationen,” Office of Australian Information Commissioner (OAIC) ​​sa.

Detta inkluderar att ge lämplig utbildning för all personal i hela organisationen på sina skyldigheter enligt lagen om integritetsskydd, och se till att de förstår dessa skyldigheter.

Åtagandet, som är rättsligt bindande mellan uppdragsgivaren och ARC, kommer att se företaget genomföra förbättrad informationssäkerhet inom tre månader, inklusive upprätta en säker Digital Rights Management Server, genomföra integritet utbildning för sina anställda inom tre månader, lovar att inte upprepa beteende som ledde till händelsen, och erbjuder sig att ersätta kostnaden för en 12-månaders kredit-övervakning alert service inom 14 dagar för dem vars personuppgifter har åsidosatts under händelsen.

ARC måste också utse en tredje part, i samråd med OAIC, inom 14 dagar för att se över sin hantering och säkerhet för personuppgifter, och genomföra de rekommendationer som ett resultat av denna översyn.

Optus i december bekräftade att brott inträffade när en anställd ARC hade försökt att hyra en frilansande arbetstagare Freelancer.com att analysera data, som ingår namn, adresser, födelsedatum, e-post, telefonnummer och deras historia av skuld samling, med 51 personer få tillgång till data.

“Optus tar skyddet av kunddata och integritet på allvar,” en Optus taleskvinna berättade webbplatsen i ett uttalande på den tiden.

Optus har blivit medvetna om att en anställd hos en tredje part leverantör skrivit ett dokument som innehåller kunddata till en publik webbplats. Denna åtgärd var otillåten av Optus och dess leverantör, ARC.

Både Optus och ARC frivilligt rapporterade brott till OAIC, med Optus också meddela berörda kunder.

“Vi är glada att se att Optus har anmält drabbade individer om denna händelse”, sade OAIC.

Anmälan kan vara en viktig begränsning strategi som har potential att gynna både organisationen och de personer som berörs av ett dataintrång. Den OAIC uppmuntrar starkt anmälan under lämpliga förhållanden som en del av god integritet praxis.

Medan Crikey rapporterade antalet kunder vars uppgifter har åsidosatts som 31.150, gjorde telco inte kommentera detta.

“Så snart Optus blev medveten om ARC åtgärder, vi agerade snabbt för att ta bort data och göra en fullständig utredning av händelsen,” Optus taleskvinna till.

Australiska dataskyddsombudsman Timothy Pilgrim, som omvaldes ännu en gång i juli, har historiskt tagit en hård linje mot företag som täcker upp dataintrång, säger att döljandet av dataintrång “inte kommer att ses väl på vårt kontor”.

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer

Vita huset utser först Federal Chief Information Security Officer