CP&A krijgt AVG-boete van 15.000 euro wegens verzuimregistratie
Onderhoudsbedrijf CP&A heeft van de Autoriteit Persoonsgegevens een boete van 15.000 euro gekregen wegens het overtreden van de Algemene verordening gegevensbescherming (AVG). Het bedrijf hield van zieke werknemers bij wat de oorzaak was van het ziekteverzuim en de verzuimregistratie was voor iedereen op internet zonder wachtwoord toegankelijk.
De AVG verbiedt om informatie over de aard en oorzaak van iemands ziekmelding te registreren. Het is werkgevers ook niet toegestaan om hiernaar te vragen. Alleen arbodienst of de bedrijfsarts mogen dit. Daarnaast was de verzuimregistratie van CP&A zonder enige vorm van authenticatie voor iedereen op internet toegankelijk.
Gezondheidsgegevens zijn zogeheten bijzondere persoonsgegevens, die extra beschermd moeten worden. Voor de beveiliging van deze gegevens gelden extra strenge eisen. Alleen bevoegde medewerkers mogen bij deze gegevens. In het geval de verzuimregistratie via internet toegankelijk is, is het gebruik van multifactorauthenticatie vereist.
De Autoriteit Persoonsgegevens spreekt van twee ernstige overtredingen waarin CP&A de bijzondere gegevens van medewerkers onder onjuiste voorwaarden heeft verwerkt. Gezien de ernst van de overtredingen vond de toezichthouder het opleggen van een corrigerende maatregel, anders dan een bestuurlijke boete, onvoldoende doeltreffend, evenredig en afschrikkend.
Het onderhoudsbedrijf, waar zo'n honderdzestig medewerkers werken, had voor de overtredingen een boete van meer dan 1 miljoen euro kunnen krijgen. Het zou deze boete echter nooit kunnen betalen. De toezichthouder hield bij het boetebedrag dan ook rekening met de draagkracht van de onderneming en kwam zo uit op een boete van 15.000 euro.
Zelfs dat miljoen was te weinig geweest. Inderdaad, dan bestaat de organisatie niet meer. Dan is het probleem van het datalek ook opgelost. Nu lachen ze erom. Als de oplossing meer dan 30k kost, dan is de volgende boete incasseren gewoon goedkoper.
Zelfs dat miljoen was te weinig geweest. Inderdaad, dan bestaat de organisatie niet meer. Dan is het probleem van het datalek ook opgelost.
Daar komt nog bij dat die volgende boetes vermoedelijk hoger dan €15.000 zullen zijn als AP opmerkt dat ze met een bedrijf te maken hebben dat geen verbeteringen doorvoert maar doodleuk de fout in blijft gaan, en dat merken ze echt wel op. AP kan trouwens naast boetes ook een last onder dwangsom opleggen als het bedrijf niets doet om het probleem op te lossen. Dan kost bijvoorbeeld elke maand dat ze niets doen opnieuw een smak geld.
Dat was altijd al zo, ook voor de AVG!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
