De Duitse privacy toezichthouder (Duitse Federale Commissie voor Databescherming en Informatievrijheid) heeft in december 2019 een boete uitgedeeld van EUR 9.550.000 aan een telecommunicatie service provider voor het niet toepassen van passende technische en organisatorische beveiligingsmaatregelen. De toezichthouder had de melding ontvangen dat bij telecommunicatie service provider “1&1 Telecom GmbH” op eenvoudige wijze informatie kon worden verkregen over haar klanten door contact te leggen met de supportafdeling.  De normale gang van zaken was een klant zich telefonisch kon ‘identificeren’ met slechts zijn/haar naam en geboortedatum te overleggen. Daarmee werd vrijwel alle informatie van de klant vrijgegeven.

De toezichthouder stelt dat het bedrijf op basis van de AVG, artikel 32, onvoldoende technische en organisatorische maatregelen had getroffen om de verwerking van persoonsgegevens op een veilige manier te laten plaatsvinden. Gelet op de grote bereidheid van de organisatie om mee te werken in het onderzoek en te komen tot verbeteringen heeft de toezichthouder de boete verlaagd (!).

Interessant is dat, kijkende naar artikel 32 van de AVG, het bijzonder moeilijk is exact te definiëren wat nu precies voldoende technische en organisatorische maatregelen zijn. De telecommunicatie service provider heeft nu tijdelijk aanvullende maatregelen getroffen door een extra vraag te stellen, maar ook daarvan is het maar de vraag of dat voldoende is. Er staat immers nergens exact beschreven wat dan de definitie is van passende maatregelen. Dat dit een casus is die we in de gaten moeten houden is wel duidelijk. Wellicht kunnen we op basis van verdere uitspraken nog achterhalen op basis waarvan de Duitse autoriteit de nieuwe maatregelen wel passend acht. We houden je op de hoogte!

>> Bekijk het (Duitstalige) persbericht op de website van 1&1 Telecom GmbH, waarin het bedrijf stelt de boete niet proportioneel te vinden.