Eerste AVG-boete zal niet lang meer op zich laten wachten
27 november 2018 -
Een Duits chatplatform heeft een boete van € 20.000 opgelegd gekregen vanwege het overtreden van de Europese privacywet GDPR, in Nederland bekend als de AVG.
Volgens de Duitse krant Der Spiegel gaat het om het socialmediadienst Knuddels, met 1,2 miljoen unieke gebruikers. De chatdienst heeft wachtwoorden van gebruikers in platte tekst (dus ongecodeerd) opgeslagen. Door de wachtwoorden onveilig op te slaan heeft het bedrijf de AVG geschonden.
Nu de eerste AVG-boete bij onze Oosterburen is opgelegd verwacht Privacy Zeker dat het in Nederland niet lang meer zal duren voordat bedrijven die in overtreding zijn beboet worden door de Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens (AP). Dit is in lijn met de voorspelling van Giovanni Buttarelli, data protection supervisor van de Europese Unie (EU). In een interview met TechCrunch begin oktober vertelde hij dat hij voor het einde van 2018 de eerste boetes verwacht.
Ook MKB-ondernemers en zzp’ers kunnen boetes krijgen
De AVG geldt voor alle bedrijven, verenigingen en stichtingen die persoonsgegevens verwerken. Ook MKB-ondernemers en zzp’ers, want iedereen houdt structureel wel een klantenbestand of salarisadministratie bij. Kor de Boer van Privacy Zeker: "De Autoriteit Persoonsgegevens heeft al eerder aangegeven dat het MKB-ondernemers geen uitzonderingspositie geeft." Volgens de toezichthouder is het beschermen van privacy en persoonlijke informatie een ‘grondrecht’ en ‘essentieel’. Daarom zal de AP ook ver gaan in de handhaving van de wet.
Passende technische maatregelen
Hoe kan het zo fout zijn gegaan bij het Duitse chatplatform? Je zou denken dat het versleutelen van data niet over het hoofd kan worden gezien door een programmeur. Zeker niet wanneer je met gevoelige persoonsgegevens omgaat, zoals wachtwoorden en e-mailadressen. "In de wet staat dat een organisatie passende technische en organisatorische maatregelen nemen om de persoonlijke gegevens te beschermen. Dit kan dus door pseudonimisering en versleuteling van persoonsgegevens," aldus De Boer.