<div dir="ltr"><a href="https://www.theregister.co.uk/2018/07/18/ico_hands_sexual_abuse_inquiry_200k_fine_for_security_breach/" target="_blank">https://www.theregister.co.uk/<wbr>2018/07/18/ico_hands_sexual_<wbr>abuse_inquiry_200k_fine_for_<wbr>security_breach/</a><br><br>The UK's data watchdog today issued the Independent Inquiry into Child Sexual Abuse (IICSA) a £200,000 penalty after it sent a bulk email to participants that identified possible victims of historical crimes.<br><br>The Information Commissioner's Office (ICO) said IICSA – set up in 2014 to probe the degree to which institutions in England and Wales failed in their duty to protect young people from molestation – had breached the Data Protection Act (DPA) 1998 by not keeping confidential and sensitive personal data secure.<br><br>A employee of the inquiry fired a blind carbon copy (BCC) email to 90 people participating to inform them of a public hearing. Upon realising their error, a correction was issued but email addresses were mistakenly entered into the "to" field rather than BCC.<br><br>As a result, all recipients were able to view each other's email addresses, highlighting other possible victims child sexual abuse. Some 52 of the addresses included full names or had a full name label attached.<br><br>One recipient notified IICSA of the breach, and they then entered two further email addresses into the "to" field before replying to all in the chain.<br><br>IICSA subsequently sent three emails requesting that the recipients delete the original email and not circulate it further, but one of these in turn led to 39 "Reply All" emails.<br><br>According to the ICO, the inquiry: failed to use an account that could send separate emails to each person involved in the cases; didn't give guidance or training on BCC emails; hired an external IT firm to manage the mailing list and relied on advice from the third party that it would prevent email recipients from replying to the whole list; and shared those email addresses with the IT company in breach of its own privacy notice.<br><br>The ICO's director of investigations, Steve Eckersley, said the breach placed "vulnerable" people "at risk" and the ICCSA "should and could have done more to ensure this did not happen".<br><br>"People's email addresses can be searched via social networks and search engines, so the risk that they could be identified was significant," he added.<br><br>The ICO and IICSA were sent 22 complaints about the security breach, one from someone who said they were "very distressed" by it.<br><br>The breach was dealt with under the DPA 1998, not the 2018 Act that replaced it, due to the date of the breach in February 2017.<br><br>The Inquiry said it takes data protection "very seriously" and apologised to the victims impacted by this security breach.<br><br>"After a wide-ranging review by external experts, we have amended our handling processes for personal data to ensure they are robust and the risk of a further breach is minimised," the IICSA said.</div>