GDPR: De Franse CNIL legt een boete op van 400.000 EUR …

Op 28/05/19 heeft de CNIL (de Franse Gegevensbeschermingsautoriteit) een boete van 400.000,00 EUR opgelegd aan Sergic, een Franse onderneming die gespecialiseerd is in de bemiddeling bij de aan- en verkoop van vastgoed en in het beheer ervan.

Via haar website www.sergic.com kunnen kandidaat-huurders documenten uploaden om hun dossier samen te stellen: het gaat onder andere om kopies van identiteitskaarten, gegevens van sociale zekerheid, echtscheidingsvonnissen, rekeninguittreksels, …. In augustus 2018 stelde een gebruiker van de website vast dat hij via zijn persoonlijk dossier toegang kon krijgen tot documenten die door andere gebruikers werden geüpload en dit met een kleine technische ingreep (kleine aanpassing aan de URL). Uit een kort onderzoek van de CNIL bleek dat deze persoonsgegevens zonder voldoende beveiliging verwerkt werden en daardoor toegankelijk waren voor derden. De CNIL informeerde Sergic onmiddellijk en voerde enkele dagen later een controle ter plaatse uit waaruit bleek dat Sergic reeds van maart 2018 op de hoogte was van het probleem maar dat effectieve aanpassingen pas op 17/09/18, dus 6 maanden later, werden doorgevoerd.

De CNIL startte uiteindelijk een procedure op twee gronden.

  • In eerste orde werd vastgesteld dat Sergic niet de nodige maatregelen had genomen om de beveiliging van de persoonsgegevens van de gebruikers van haar website te verzekeren (art. 32 GDPR). De CNIL beschouwt deze beveiliging als een principe en benadrukt dat de inbreuk in dit geval nog verzwaard werd door het feit dat het ging om gevoelige informatie en door het feit dat Sergic zeer onzorgvuldig gehandeld had door meer dan 6 maanden te laten verlopen tussen vaststelling en oplossing.
  • In tweede orde verweet de CNIL aan Sergic dat zij de verzamelde gegevens zonder enige beperking in de tijd bewaarde in haar actieve database: het ging dan specifiek om de persoonsgegevens van kandidaat-huurders die afgewezen waren en waarvan de bewaring van de gegevens dus eigenlijk niet langer noodzakelijk waren. Indien Sergic van oordeel was deze gegevens toch nog nodig te hebben, dan hadden zij deze moeten verwijderen uit de actieve database en de gegevens moeten bewaren in een (tijdelijk) archief, los van de actieve database.

Wat betreft de boete van 400.000 Euro? Die valt ten opzichte van een omzet van 43.000.000 Euro nog mee: zij had kunnen oplopen tot 20.000.000 Euro.

Terzijde: de feitelijke achtergrond van het dossier is niet helemaal duidelijk, maar mogelijks had de CNIL ook nog een boete kunnen uitschrijven wegens het niet melden van een datalek. Sergic had immers reeds sedert maart 2018 kennis van het probleem en wist (of had moeten weten) dat bepaalde gegevens gelekt waren…

Wat leert deze uitspraak?

  • Zorg dat de persoonlijke gegevens die je verwerkt voldoende beveiligd worden zodat ze niet toegankelijk zijn voor derden: dit geldt niet alleen voor digitale gegevens maar ook voor papieren gegevens.
  • Als je een probleem vaststelt, reageer dan snel. Doet het probleem zich voor met gevoelige gegevens (gezondheid, seksuele geaardheid, …) dan moet je reactie vanzelfsprekend veel sneller en grondiger zijn dan voor minder gevoelige gegevens (een telefoonnummer).
  • Wanneer je gegevens verwerkt en bewaart dan moet je altijd een maximale bewaringstermijn voorzien: die moet opgenomen zijn in het register van verwerkingsactiviteiten (dataregister) en in de privacyverklaring van je onderneming.

Houd er ook rekening mee dat je een datalek in de meeste gevallen moet melden aan de Gegevensbeschermingsautoriteit, in sommige gevallen ook aan de betrokkene zelf. Het niet melden van lekken is een slecht idee en kan aanleiding geven tot  boetes en vervolging.

Recent werd de Belgische Gegevensbeschermingsautoriteit opnieuw samengesteld: de GBA zal vanaf nu veel actiever optreden en legt o.a. de nadruk op het tijdig en correct melden van datalekken.

De boete van 2.000,00 EUR die recent werd opgelegd aan een burgemeester die het niet al te nauw nam met de verwerking van persoonsgegevens is een eerste voorbode van een strenger optreden.

Voor verdere informatie over GDPR en bescherming van persoonsgegevens, kan u contact opnemen met een van onze specialisten: