Gegevenslek – Mogelijk om een administratieve boete te voorkomen ?
10/12/2020

De Gegevensbeschermingsautoriteit behandelde een dossier na aangifte door een Belgische onderneming van een gegevenslek.

Dat gegevenslek was gebeurd in het kader van een samenwerking met een verwerker in India.

De Belgische onderneming, zijnde de verwerende partij, had de Indische onderneming aangesteld om haar bestaande e-shop om te vormen, dit middels een Master IT Service Agreement afgesloten voor de inwerkingtreding van de AVG.

Gegevenslek

Door het gegevenslek waren de persoonsgegevens van 32.153 klanten van de verwerende partij voor meer dan 2 maanden zichtbaar en toegankelijk op het internet.

Er werd bovendien vastgesteld dat de gegevens door derden geconsulteerd en/of gedownload werden.

Accountability van de Belgische onderneming ?

Die overeenkomst bepaalde wat de Indische verwerker al dan niet mocht.

Zo dienden vertrouwelijke gegevens gemaskeerd te worden en persoonsgegevens in niet-productieomgevingen geanonimiseerd.

Heeft de Belgische onderneming haar verantwoordingsplicht geschonden door een fout van haar verwerker ?

Onderzoek van Inspectiedienst

De inspectiedienst oordeelde na verder onderzoek dat de Belgische onderneming door gebrek aan concretisering niet afdoende aantoonde hoe ze kwam tot een concrete risico-gebaseerde benadering.

De inspectiedienst oordeelde dat de Belgische onderneming haar verantwoordingsplicht niet naar behoren had vervuld.

Beslissing

De Gegevensbeschermingsautoriteit oordeelde alsnog dat er geen schending was van de verantwoordingsplicht, dit rekening houdend met een aantal concrete “verantwoordingsmaatregelen” hetzij passende technische en organisatorische maatregelen, te weten:

  • Het regelen van de verwerking en meer bepaald het verbieden daarvan voor de doeleinden van ontwikkeling en testing van software door de verwerker, zulks niet alleen in de Master IT Service Agreement van 2014 maar ook in het kader van de verwerkersovereenkomst gesloten na de inwerkingtreding van de AVG.
  • Het uitwerken en documenteren op het vlak van alle verwerkingsactiviteiten en gegevenslekken, van de nodige interne risicobeoordelingsmethoden. Ook het overmaken aan de Geschillenkamer van die documentatie en een toepassingsvoorbeeld van de methodiek werd in acht genomen.
  • De evaluatie van de doeltreffendheid van de procedures en maatregelen door jaarlijkse externe audits.
  • Het transparant afhandelen van het gegevenslek, dit ook met de nodige kennisgevingen.
  • Het formeel in gebreke stellen van de verwerker na kennisname van de verboden verwerking.

De Gegevensbeschermingsautoriteit verwijst voor de verantwoordingsmaatregelen ook naar de niet-exhaustieve lijst vervat in het advies 3/2010 van de Groep 29.

Het Belgische bedrijf kon zo ontsnappen aan een boete voorschending van artikel 5 van de AVG.

________________________________________________

Zoals blijkt uit de besproken beslissing, dienen verwerkingsverantwoordelijken in alle stadia en dus ook in vorm van preventieve maatregelen acht te slaan op het belang van :

de verantwoordingsmaatregelen (des te meer na de  Schrems II beslissing en daareenvolgende richtsnoeren indien het over een buiten EU verwerker gaat),
het documenteren ervan (accoutability)

Ons Creactivity departement kan u bijstaan in het bepalen van de voor uw bedrijf relevante maatregelen alsook u verder adviseren met het oog op compliance met de overige bepalingen van de AVG.

Voir aussi : Lexing ( Ms. Anne Custers )

[+ http://www.lexing.be]


Click here to see the ad(s)

Derniers articles de Ms. Anne Custers

Hoe ver dient de verwijdering van links door zoekmachines te gaan?
25/10/2019

Op 24 september 2019 heeft de Grote kamer van het Hof van Justitie in zaak C-507/17 uitspraak gedaan over de int...

Read more

Inbreuk op het mededelingsrecht bij de verkoop van mediaspelers
06/06/2018

Artikel 3, lid 1 van de richtlijn 2001/29/EG van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van he...

Read more

Schriftelijke examenantwoorden, persoonsgegevens en de GDPR
02/05/2018

Vanaf 25 mei 2018 zal bij de verwerking van persoonsgegevens de nieuwe algemene verordening gegevensbescherming&...

Read more

Vrij verkeer van software als medisch hulpmiddel
05/03/2018

Ingevolge de richtlijn 93/42/EEG van 14 juni 1993 , gewijzigd bij richtlijn 2007/47 en die in 2020 ver...

Read more

LexGO Network