Op 5 juli 2019 heeft de Roemeense toezichthouder een boete van €3.000,- opgelegd aan het bedrijf achter de website avocatoo.ro omdat zij onvoldoende passende beveiligingsmaatregelen had genomen. Het bedrijf handelde hierdoor in strijd met artikel 32 AVG. Dit bedrijf levert via de website – merkwaardig genoeg – dienstverlening op het gebied van AVG-compliance en treedt namens verschillende bedrijven op als Functionaris Gegevensbescherming (FG).
De toezichthouder startte een onderzoek nadat ze lucht hadden gekregen van het feit dat er vertrouwelijke, op de website ingevulde gegevens (zoals naam, mailadres, telefoonnummer, functie en betaalgegevens) via onbeveiligde linkjes kon worden bezocht. De zwakke plek in de beveiliging zorgde ervoor dat de gegevens tussen 10 december 2018 en 1 februari 2019 konden worden ingezien door derden.
De toezichthouder gaf in haar beslissing aan dat het bedrijf op basis van artikel 5 onder f AVG verplicht is om de verwerkte persoonsgegevens op een zodanige manier te beveiligen, ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van die gegevens. In aanvulling op dit beginsel van integriteit en vertrouwelijkheid, geldt op grond van artikel 32 AVG eveneens de plicht om passende technische en organisatorische beveiligingsmaatregelen te treffen.
Doordat de gegevens zo lang te raadplegen waren en het bedrijf onvoldoende stappen had genomen om de data te beveiligen, besloot de toezichthouder om een boete van €3.000,- op te leggen. In dit geval is er sprake van meerdere overtredingen (zowel artikel 5 als artikel 32 van de AVG). Op basis van de beleidsregels van de Autoriteit Persoonsgegevens zou een soortgelijke overtreding van beide artikelen in Nederland worden bestraft met een boete van maximaal €750.000,- (derde boetecategorie).
Bron: link
De Functionaris
Ligusterbaan 16a
2908 LW Capelle aan den IJssel
KvK-nummer: 69175829
btw-nummer: NL 8577.68.190.B01
