Op 12 april 2019 kwam de Noorse privacyautoriteit ‘Datatilsyned’ met het nieuws dat het een boete van €170.000,- had opgelegd aan de gemeente Bergen. Op het computersysteem van de tweede stad van Noorwegen waren de persoonsgegevens van zo’n 35.000 basisschoolleerlingen en leraren opgeslagen. Deze gegevens waren gekoppeld aan een portaal waarin de studieresultaten, namen, geboortedatums, adressen en het schoolniveau van de leerlingen werden getoond. De privacywaakhond kwam na een audit tot de conclusie dat deze gegevens onvoldoende werden beveiligd.
Twee-factor-authenticatie
De privacyautoriteit nam het de gemeente vooral kwalijk dat er bij het inloggen op het portaal geen gebruik werd gemaakt van een Twee-factor-authenticatie. Dit is een vorm van toegangsbeveiliging waarbij de gebruiker zich moet identificeren met minimaal twee factoren voordat hij toegang krijgt tot het portaal. Denk hierbij aan het inloggen met een pincode op de telefoon of een toegangspas.
Artikel 32 van de AVG verplicht bedrijven en overheidsinstellingen tot het nemen van passende beveiligingsmaatregelen om gegevens te beschermen. Kinderen worden in de AVG gedefinieerd als een kwetsbare groep, die extra bescherming geniet. Een Twee-factor-authenticatie was, gezien het feit dat het gegevens van minderjarigen betrof, absoluut noodzakelijk.
Nederland
Op basis van de recent gepubliceerde boetebeleidsregels van de Autoriteit Persoonsgegevens zou een dergelijke overtreding in Nederland worden bestraft met een basisboete van €310.000 die afhankelijk van de omstandigheden kan worden verlaagd tot €120.000 of worden verhoogd tot €500.000 (tweede boetecategorie).
Bron: link
De Functionaris
Ligusterbaan 16a
2908 LW Capelle aan den IJssel
KvK-nummer: 69175829
btw-nummer: NL 8577.68.190.B01
