PrivacyTeam033 200 30 83

Alleen een échte DPIA telt

Alleen een échte DPIA telt

Naar aanleiding van een melding van een datalek in de zomer van 2020 door Cosmote, heeft de Griekse autoriteit de omstandigheden onderzocht waaronder de inbreuk plaatsvond. Daarbij heeft de autoriteit de rechtmatigheid onderzocht, evenals de toegepaste beveiligingsmaatregelen. Het ging om een ​​bestand met verkeersgegevens van abonnees dat wordt bewaard om eventuele problemen en storingen op te lossen. Dit bestand wordt 90 dagen bewaard. Tevens wordt het bestand "geanonimiseerd" (gespeudonimiseerd) en dit bestand wordt gedurende 12 maanden bewaard om statistische conclusies te trekken over het optimale ontwerp van het mobiele telefonienetwerk. Dit nadat het eerst is verrijkt met aanvullende eenvoudige persoonlijke gegevens.

Uit het onderzoek bleek dat Cosmote de beginselen van artikel 5 (transparantie) had geschonden door onduidelijke en onvoldoende informatie te verstrekken aan abonnees. Bovendien werd vastgesteld dat Cosmote artikel 32 van de AVG heeft geschonden vanwege ontoereikende veiligheidsmaatregelen. Maar ook is gebleken dat er weliswaar een DPIA is uitgevoerd, maar dat deze niet van voldoende kwaliteit was; de DPIA was niet voldoende onderbouwd, omdat niet alle risico's naar behoren waren onderzocht en conclusies niet voldoende gerechtvaardigd waren.

De Griekse toezichthouder heeft een boete van in totaal € 9.250.000 opgelegd.

Alleen een échte DPIA telt!

Let overigens goed op voor wat betreft uw eigen gegevensverwerkingen. Alleen een goed en compleet uitgevoerde DPIA is een échte DPIA. Indien een organisatie geen DPIA uitvoert of deze niet compleet en juist is uitgevoerd, dan loopt de organisatie een risico op een (standaard) boete van € 310.000,- van de Autoriteit Persoonsgegevens.

Heeft u vragen of kunnen wij iets voor u betekenen?
Bel ons op 033- 200 30 83 of stuur een mail naar post@privacyteam.nl.

Privacy advies en software