De Gegevensbeschermingsautoriteit behandelde een dossier na aangifte door een Belgische onderneming van een gegevenslek.
Dat gegevenslek was gebeurd in het kader van een samenwerking met een verwerker in India.
De Belgische onderneming, zijnde de verwerende partij, had de Indische onderneming aangesteld om haar bestaande e-shop om te vormen, dit middels een Master IT Service Agreement afgesloten voor de inwerkingtreding van de AVG.
Gegevenslek
Door het gegevenslek waren de persoonsgegevens van 32.153 klanten van de verwerende partij voor meer dan 2 maanden zichtbaar en toegankelijk op het internet.
Er werd bovendien vastgesteld dat de gegevens door derden geconsulteerd en/of gedownload werden.
Accountability van de Belgische onderneming?
Die overeenkomst bepaalde wat de Indische verwerker al dan niet mocht.
Zo dienden vertrouwelijke gegevens gemaskeerd te worden en persoonsgegevens in niet-productieomgevingen geanonimiseerd.
Heeft de Belgische onderneming haar verantwoordingsplicht geschonden door een fout van haar verwerker?
Onderzoek van Inspectiedienst
De inspectiedienst oordeelde na verder onderzoek dat de Belgische onderneming door gebrek aan concretisering niet afdoende aantoonde hoe ze kwam tot een concrete risico-gebaseerde benadering.
De inspectiedienst oordeelde dat de Belgische onderneming haar verantwoordingsplicht niet naar behoren had vervuld.
Beslissing
De Gegevensbeschermingsautoriteit oordeelde alsnog dat er geen schending was van de verantwoordingsplicht, dit rekening houdend met een aantal concrete “verantwoordingsmaatregelen” hetzij passende technische en organisatorische maatregelen, te weten:
- Het regelen van de verwerking en meer bepaald het verbieden daarvan voor de doeleinden van ontwikkeling en testing van software door de verwerker, zulks niet alleen in de Master IT Service Agreement van 2014 maar ook in het kader van de verwerkersovereenkomst gesloten na de inwerkingtreding van de AVG.
- Het uitwerken en documenteren op het vlak van alle verwerkingsactiviteiten en gegevenslekken, van de nodige interne risicobeoordelingsmethoden. Ook het overmaken aan de Geschillenkamer van die documentatie en een toepassingsvoorbeeld van de methodiek werd in acht genomen.
- De evaluatie van de doeltreffendheid van de procedures en maatregelen door jaarlijkse externe audits.
- Het transparant afhandelen van het gegevenslek, dit ook met de nodige kennisgevingen.
- Het formeel in gebreke stellen van de verwerker na kennisname van de verboden verwerking.
De Gegevensbeschermingsautoriteit verwijst voor de verantwoordingsmaatregelen ook naar de niet-exhaustieve lijst vervat in het advies 3/2010 van de Groep 29.
Het Belgische bedrijf kon zo ontsnappen aan een boete voorschending van artikel 5 van de AVG.
Ons advies:
Zoals blijkt uit de besproken beslissing, dienen verwerkingsverantwoordelijken in alle stadia en dus ook in vorm van preventieve maatregelen acht te slaan op het belang van :
- de verantwoordingsmaatregelen (des te meer na de Schrems II beslissing en daareenvolgende richtsnoeren indien het over een buiten EU verwerker gaat),
- het documenteren ervan (accoutability)
Ons Creactivity departement kan u bijstaan in het bepalen van de voor uw bedrijf relevante maatregelen alsook u verder adviseren met het oog op compliance met de overige bepalingen van de AVG.