Wie draagt de verantwoordelijkheid voor het nemen van gegevensbeveiligingsmaatregelen?
Inbreuken betreffende gegevensbeveiliging
Begin 2021 heeft de Franse gegevensbeschermingsautoriteit een tekortkoming inzake gegevensbeveiligingsmaatregelen beboet.
Een onlinewebshop was het slachtoffer geworden van zogenaamde “credential stuffing” aanvallen.
Daarbij werden identificatiegegevens en paswoorden bemachtigd om vervolgens op meerdere websites informatie over verschillende accounts te verzamelen.
Zo werden (voor)namen, emailadres, geboortedatum, alsook de nummer en het saldo van klanten hun getrouwheidskaarten en bestelinformatie bemachtigd.
Ongeveer 40.000 klanten werden door de inbreuk betroffen.
Bovendien werden de gegevens toegankelijk tussen maart 2018 en februari 2019.
Wie is verantwoordelijk voor gegevensbeveiligingsmaatregelen?
De verantwoordelijkheid voor gegevensbeveiligingsmaatregelen ligt zowel bij de onlinewebshop als de beheerder van de website.
Desgevallend moeten, in afwachting van andere belangrijke maatregelen, afdoende voorlopige gegevensbeveiligingsmaatregelen genomen worden.
Men moet inderdaad altijd trachten het nodige te doen om aanvallen te verhinderen of de gevolgen ervan te verzachten.
Zo kunnen verzoeken per IP adres beperkt worden of een CAPTCHA gebruikt worden. Die laatste maatregel is ook efficiënt tegen aanvallen door robots.
Is iedereen verantwoordelijk?
De beheerder van de website kan zich niet simpelweg achter de instructies van de onlinewebshop verstoppen.
Wat was de beslissing ?
Aan de onlinewebshop werd een administratieve boete opgelegd van 150.000 EUR.
Aan de websitebeheerder werd een administratieve boete van 75.000 EUR opgelegd.
