image

Noorse overheid krijgt wegens AVG-overtredingen boete van 1,7 miljoen euro

woensdag 3 april 2024, 15:18 door Redactie, 7 reacties

De Noorse privacytoezichthouder Datatilsynet heeft de Noorse overheid wegens een reeks AVG-overtredingen een boete van omgerekend 1,7 miljoen euro opgelegd (pdf). De Dienst Arbeid en Welzijn, die zich bezighoudt met sociale zekerheid en voor nagenoeg alle uitkeringen in het land verantwoordelijk is, bleek gedurende een lange periode op grote schaal bijzondere persoonsgegevens van mensen te bewaren, zonder dat hiervoor de noodzakelijke beveiliging was geregeld.

In totaal werden er met betrekking tot de gegevensverwerking twaalf overtredingen vastgesteld. Zo bleek dat een zeer grote groep medewerkers van de dienst toegang tot de gevoelige data had en dat er onvoldoende logging plaatsvond. Verder werden er geen risicoassessments uitgevoerd en liet de training van systeembeheerders, die medewerkers toegang tot de data gaven, te wensen over.

De Datatilsynet ontdekte ook dat medewerkers standaard toegang tot informatie van alle personen in het systeem hadden. Naast de boete heeft de privacytoezichthouder de dienst ook verschillende maatregelen opgelegd om ervoor te zorgen dat de gegevensverwerking in lijn met de AVG plaatsvindt.

Reacties (7)
03-04-2024, 15:32 door karma4
Informatieveiligheid is geen onderdeel van de GDPR. Dit heeft een duidelijk omschreven doel.
Waarom die scope verandering uit activisme of big brother neigingen?
03-04-2024, 17:47 door Anoniem
Door karma4: Informatieveiligheid is geen onderdeel van de GDPR. Dit heeft een duidelijk omschreven doel.
Waarom die scope verandering uit activisme of big brother neigingen?
Ik weet niet hoe jij je voorstelt dat een organisatie die persoonsgegevens verwerkt aan de AVG kan voldoen zonder de informatieveiligheid op orde te hebben. Natuurlijk is dat onderdeel van de AVG. H
et zijn de "passende technische en organisatorische maatregelen" die de verwerkingsverantwoordelijke moet treffen, die worden veelvuldig genoemd in de wettekst.

De AVG werkt niet uit wat die maatregelen inhouden. Dat is een bewuste keuze waarmee voorkomen wordt dat de wettekst veroudert waar je bij staat. Naarmate de technologie verandert, en dat gaat razend snel, verandert ook wat passende technische en organisatorische maatregelen zijn. Dat mogen, nee: moeten de toezichthouders beoordelen. Dat is geen scope-verandering en geen big brother-neiging, dat is een toezichthouder die zijn werk doet.
03-04-2024, 18:02 door Anoniem
Door karma4: Informatieveiligheid is geen onderdeel van de GDPR. Dit heeft een duidelijk omschreven doel.
Waarom die scope verandering uit activisme of big brother neigingen?
Dat heeft het wel, stop met onzin verkondingen. AVG artikel 32 heet "Beveiliging van de verwerking" en stelt o.a. "Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:... ..."
03-04-2024, 21:23 door Anoniem
Door karma4: Informatieveiligheid is geen onderdeel van de GDPR. Dit heeft een duidelijk omschreven doel.
Waarom die scope verandering uit activisme of big brother neigingen?

Misschien eerst een keer de AVG lezen voor dat je gaat commenten? Er klopt geen reet van wat je elke keer schrijft hier.
03-04-2024, 22:22 door Anoniem
Door Anoniem:
Door karma4: Informatieveiligheid is geen onderdeel van de GDPR. Dit heeft een duidelijk omschreven doel.
Waarom die scope verandering uit activisme of big brother neigingen?

Misschien eerst een keer de AVG lezen voor dat je gaat commenten? Er klopt geen reet van wat je elke keer schrijft hier.

Volgens mij leest karma er iets anders in dan jij. Hoeft niet onwaar te zijn, het is een psychologisch interessante perceptie, zoals meer van karma4's bijdrages. Hij heeft het over de GDPR, niet over de AVG. Ik kan het mis hebben, maar waardeer de bijdrages wel, en de redactie blijkbaar ook.
Door Anoniem:
Door karma4: Informatieveiligheid is geen onderdeel van de GDPR. Dit heeft een duidelijk omschreven doel.
Waarom die scope verandering uit activisme of big brother neigingen?
Dat heeft het wel, stop met onzin verkondingen. AVG artikel 32 heet "Beveiliging van de verwerking" en stelt o.a. "Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:... ..."
Precies en nog veel fundamenteler ook, zie artikel 5 eerste lid onder F en de definitie van een datalek in artikel 4 definitie 12.
De enigste gemiste kans in de AVg is dat voor een overtreding van artikel 32 de laagste categorie aan boetes staat en niet de hoogste. Dat valt dan via artikel 5 wel weer te omzeilen als de toezichthouder dat aandurft ;)
04-04-2024, 23:15 door Het Nieuwe Abnormaal
Betaald met belastinggeld, dat zal ze leren. Ze zullen het echt nooit meer doen..
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.