De Franse toezichthouder heeft een AVG boete opgelegd aan Free Mobile. De telco is betrapt op vermijdbare fouten en ernstige tekortkomingen. De bescherming van persoonsgegevens was onvoldoende en het negeren van de AVG verplichtingen was ook aan de orde.
Free
CNIL
Bij het mobiele deel zijn de processen en procedures niet goed. Dat kan worden opgemaakt uit het persbericht van 4 januari van CNIL. Deze Franse tegenhanger van ons AP maakt daarin bekend dat Free een boete van 300.000 Euro opgelegd heeft gekregen. De hoogte van de boete valt, gelet op de omzet van het bedrijf nog mee. Dat wil niet zeggen dat de overtredingen van de AVG gering waren.
Naar aanleiding van “many complaints” is CNIL vorig jaar een onderzoek gestart. Daarbij is duidelijk geworden dat Free consequent weigerde gehoor te geven aan verzoeken om informatie. Dat recht is in de AVG heel duidelijk omschreven. Elke ondernemer moet daar een procedure voor hebben. Het is een van de redenen waarom op veel websites een apart formulier of e-mail adres staat vermeld voor communicatie over de AVG.
Dat was niet het enige dat fout ging. Bijzonder is dat een deel van de boete veroorzaakt is omdat Free bleef mailen met ex-klanten. Dat betekent dat in de databases voor marketing geen onderscheid is gemaakt tussen actieve en in-actieve klanten. En de in-actieve klanten hadden in veel gevallen al lang verwijderd moeten zijn (trefwoord: dataminimalisatie).
Wachtwoorden
De sales- en marketingdoelstellingen van Free hebben dus geleid tot de AVG boete, net als het weigeren verzoeken om informatie in behandeling te nemen. De derde misstand die tot de boete heeft geleid is er een van puur technische aard. Het is bijna onvoorstelbaar, maar Free stuurde wachtwoorden plain text per mail toe. Dat waren geen tijdelijke wachtwoorden!
Door die derde fout is de AVG boete van Free pas echt interessant. We zien hier (voor het eerst?) wat er gebeurt als een bedrijf niet nadenkt over de eisen die gelden voor het verstrekken van wachtwoorden. De kans is heel erg groot dat vergelijkbare fouten ook elders worden gemaakt. Hier is dan ook een waarschuwing op zijn plaats. Let op: de AVG stelt eisen aan wachtwoorden!