De Kroatische toezichthouder heeft een extreem hoge AVG boete opgelegd aan een bedrijf door de mand viel na het ontvangen van een usb stick. Niet voor de eerste keer zien we dat zoiets simpels als een usb stick een domino effect teweegbrengt.
In maart van dit jaar ontvangt de Kroatische AVG toezichthouder AZOP een anonieme tip. Het internationaal actieve Incasso bedrijf EOS Matrix zou de regels op meerdere vlakken overtreden. Als bewijs van die claim was er een usb stick bij het schrijven toegevoegd met daarop een dataset van ruimt 181.000 personen die in de systemen van EOS Matrix voorkwamen.
De Kroatische dienst reageerde duidelijk alerter dan de Nederlandse tegenhanger, die vooral opvalt door de inactiviteit bij het behandelen van dit soort concrete klachten. De usb stick werd forensisch onderzocht en daarbij viel direct op dat er gegevens van minderjarigen voorkwamen. Ook leek het zo te zijn dat gegevens van reeds gesloten dossiers actief werden gehouden.
Samen het nog wat andere “eigenaardigheden” was dat reden voor AZOP een formeel onderzoek te starten. Daarbij is een bezoek aan EOS Matrix gebracht en dat leidde tot zoveel informatie dat een omvangrijk boeterapport kon worden opgesteld.
De AVG maakt het mogelijk dat aan een usb stick zo’n hoog prijskaartje wordt gehangen . De boete voor EOS Matrix bedraagt omgerekend 5.470.000 Euro. Een bedrag dat duidelijk maakt dat er heel veel fout was bij het bedrijf.
In 6 punten samengevat
Wat precies heeft AZOP duidelijk omschreven in zes punten. Het boeterapport is uitsluitend in het Kroatisch, maar de uitgebreide persmelding heeft ook een Engelse vertaling. Daarmee is het mogelijk voor iedereen te begrijpen wat is aangetroffen.
- Eerste constatering is dat EOX Matrix onvoldoende de systemen heeft beveiligd. De usb stick in bezit van AZOP is daarvan het bewijs;
- In de sample database zijn records gevonden zonder legale basis. Dat zelfde is ook tijdens het onderzoek van de hele omgeving gezien. Minderjarigen, overleden personen en cases die al jaren terug waren afgesloten ;
- Het bedrijf noteerde ook medische gegevens van personen. Los van het feit dat zoiets standaard is verboden er is geen enkele rechtvaardiging dat voor incassodoeleinden te doen;
- Uiteraard was er geen bewijs dat proactief met de klanten is gecommuniceerd wat er is opgeslagen aan persoonsgegevens en waarom dat gebeurde;
- Dan zijn er nog twee punten die tot de recordboete hebben geleid. EOX Matrix nam alle telefoongesprekken op in een bepaalde periode. Daar was geen toestemming voor gevraagd en wat er over te vinden was, was niet duidelijk geformuleerd.
Geen ver van je bed show
Wie denkt dat een ver van je bed show is heeft waarschijnlijk over een paar punten heen gelezen. Om te beginnen zien we hier dat systemen zo slecht beveiligd zijn dat iemand ergens ongezien een usb stick kan vullen met live data. Systeembeheer dat zo te kort schiet komt wel vaker voor.
Wat ook vaker voorkomt, dus ook in Nederland, dat telefoongesprekken klakkeloos worden vastgelegd. Binnen vergadertools wordt die optie ook steeds vaker gebruikt. Het is makkelijk die knop in te drukken, maar is het wel legaal dat te doen? Is het wel legaal dergelijke handelingen mogelijk te maken en te faciliteren? Hint: je verschuilen achter “de directie vond dit nodig” is geen vrijwaringsbewijs dat door een toezichthouder wordt geaccepteerd.