Het Amerikaanse kredietbureau Equifax moet 575 miljoen dollar (ruim 512 miljoen euro) aan verschillende Amerikaanse autoriteiten betalen voor een omvangrijk datalek in 2017. Mogelijk kan het bedrag uit het schikkingsvoorstel nog oplopen naar 700 miljoen dollar, maakt de Amerikaanse handelswaakhond FTC maandag bekend op zijn website.

Bij het datalek in 2017 werden de namen en geboortedatums van 147 miljoen mensen buitgemaakt. Ook wisten de hackers de persoonsnummers van 145,5 miljoen Amerikanen in handen te krijgen. Daarnaast werden gegevens van 209.000 betaalkaarten met de bijbehorende vervaldatums gestolen.

"Hackers kregen toegang tot een rampzalige hoeveelheid data, omdat Equifax verzuimde basisbeveiligingsmaatregelen te treffen", oordeelt de FTC. Zo werden wachtwoorden, de persoonsnummers en andere gevoelige informatie onversleuteld opgeslagen.

Daarnaast had Equifax geen beleid om ervoor te zorgen dat beveiligingslekken werden gedicht, werden lekke databases niet afgezonderd van andere delen van het netwerk en had het bedrijf geen systemen om hackers te kunnen signaleren.

Het bedrag van 575 miljoen dollar bestaat onder meer uit een boete van 100 miljoen dollar en een vergoeding van 175 miljoen dollar voor 48 Amerikaanse staten. De overige 300 miljoen dollar gaat naar een compensatiefonds voor getroffen klanten. Dit bedrag kan worden aangevuld met maximaal 125 miljoen dollar.

Klanten van Equifax die door het lek zijn getroffen, kunnen een persoonlijke schadevergoeding van maximaal 20.000 dollar claimen. Het gaat om schade als gevolg van identiteitsdiefstal of -fraude en persoonlijke investeringen om dit na de hack te voorkomen.

Equifax verzuimde lek te dichten

In 2017 kregen hackers toegang tot een database van Equifax waarin vragen van klanten over hun persoonlijke kredietwaardigheid werden behandeld. Het bedrijf was enkele weken daarvoor op de hoogte gebracht van een kwetsbaarheid, maar verzuimde maatregelen te nemen om het lek te dichten.

Als onderdeel van de schikking heeft Equifax maatregelen beloofd om zijn handelen omtrent gevoelige data verbeteren. Zo moet de informatiebeveiliging van het bedrijf elke twee jaar door een derde partij worden beoordeeld.