Gegevensbeveiliging: wie draagt verantwoordelijkheid?
19/05/2021

Wie draagt de verantwoordelijkheid voor het nemen van gegevensbeveiligingsmaatregelen?

Inbreuken betreffende gegevensbeveiliging

Begin 2021 heeft de Franse gegevensbeschermingsautoriteit een tekortkoming inzake gegevensbeveiligingsmaatregelen beboet.

Een onlinewebshop was het slachtoffer geworden van zogenaamde “credential stuffing” aanvallen.

Daarbij werden identificatiegegevens en paswoorden bemachtigd om vervolgens op meerdere websites informatie over verschillende accounts te verzamelen.

Zo werden (voor)namen, emailadres, geboortedatum, alsook de nummer en het saldo van klanten hun getrouwheidskaarten en bestelinformatie bemachtigd.

Ongeveer 40.000 klanten werden door de inbreuk betroffen.

Bovendien werden de gegevens toegankelijk tussen maart 2018 en februari 2019.


Wie is verantwoordelijk voor gegevensbeveiligingsmaatregelen?

De verantwoordelijkheid voor gegevensbeveiligingsmaatregelen ligt zowel bij de onlinewebshop als de beheerder van de website.

Desgevallend moeten, in afwachting van andere belangrijke maatregelen, afdoende voorlopige gegevensbeveiligingsmaatregelen genomen worden.

Men moet inderdaad altijd trachten het nodige te doen om aanvallen te verhinderen of de gevolgen ervan te verzachten.

Zo kunnen verzoeken per IP adres beperkt worden of een CAPTCHA gebruikt worden. Die laatste maatregel is ook efficiënt tegen aanvallen door robots.

Is iedereen verantwoordelijk?

De beheerder van de website kan zich niet simpelweg achter de instructies van de onlinewebshop verstoppen.

Wat was de beslissing ?

Aan de onlinewebshop werd een administratieve boete opgelegd van 150.000 EUR.

Aan de websitebeheerder werd een administratieve boete van 75.000 EUR opgelegd.

Zie ook : Lexing ( Ms. Anne Custers )


Click here to see the ad(s)

Laatste artikels van Ms. Anne Custers

Gegevenslek – Mogelijk om een administratieve boete te voorkomen ?
10/12/2020

De Gegevensbeschermingsautoriteit behandelde een dossier na aangifte door een Belgische onderneming van een gegevensl...

Read more

Hoe ver dient de verwijdering van links door zoekmachines te gaan?
25/10/2019

Op 24 september 2019 heeft de Grote kamer van het Hof van Justitie in zaak C-507/17 uitspraak gedaan over de int...

Read more

Inbreuk op het mededelingsrecht bij de verkoop van mediaspelers
06/06/2018

Artikel 3, lid 1 van de richtlijn 2001/29/EG van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van he...

Read more

Schriftelijke examenantwoorden, persoonsgegevens en de GDPR
02/05/2018

Vanaf 25 mei 2018 zal bij de verwerking van persoonsgegevens de nieuwe algemene verordening gegevensbescherming&...

Read more

LexGO Network