De Ierse Gegevensbeschermingscommissie heeft Meta een boete van 91 miljoen euro opgelegd.

De Ierse Gegevensbeschermingscommissie (DPC) heeft haar definitieve beslissing aangekondigd na een onderzoek naar Meta Platforms Ireland Limited (MPIL). Het onderzoek, dat werd gestart in april 2019, is afgerond met een boete van 91 miljoen euro en een berisping aan het bedrijf.

Achtergrond van het onderzoek

In maart 2019 heeft MPIL aan de DPC gemeld dat het per ongeluk bepaalde wachtwoorden van gebruikers van sociale netwerken had opgeslagen in ‘platte tekst’ op haar interne systemen, dat wil zeggen zonder cryptografische bescherming of versleuteling. Hoewel deze wachtwoorden niet toegankelijk waren voor externe partijen, vormde het incident een aanzienlijk risico voor de veiligheid van de gebruikersgegevens.

Vastgestelde overtredingen

De beslissing van de DPC constateert de volgende overtredingen van de Algemene Verordening Gegevensbescherming (AVG):

1. Overtreding van artikel 33(1) van de AVG door het niet melden aan de DPC van een inbreuk op persoonsgegevens met betrekking tot het opslaan van gebruikerswachtwoorden in platte tekst.
2. Overtreding van artikel 33(5) van de AVG door het niet documenteren van de gegevensinbreuken met betrekking tot het opslaan van gebruikerswachtwoorden in platte tekst.
3. Overtreding van artikel 5(1)(f) van de AVG door het niet gebruiken van passende technische of organisatorische maatregelen voor het waarborgen van een passende beveiliging van de gebruikerswachtwoorden tegen onbevoegde verwerking.
4. Overtreding van artikel 32(1) van de AVG door het niet implementeren van passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, inclusief het vermogen om de voortdurende vertrouwelijkheid van de gebruikerswachtwoorden te verzekeren.

Officiële verklaringen

Graham Doyle, plaatsvervangend commissaris van de DPC, merkte op: “Het is algemeen aanvaard dat gebruikerswachtwoorden niet in platte tekst moeten worden opgeslagen, gezien de risico’s van misbruik die ontstaan wanneer mensen toegang krijgen tot dergelijke gegevens. Men moet in aanmerking nemen dat de wachtwoorden die in dit geval worden overwogen bijzonder gevoelig zijn, omdat ze toegang zouden bieden tot de sociale netwerkaccounts van de gebruikers.”

Correctieve maatregelen

De beslissing bevat de volgende corrigerende maatregelen:

• Een berisping overeenkomstig artikel 58(2)(b) van de AVG.
• Bestuurlijke boetes voor een totaal van 91 miljoen euro overeenkomstig de artikelen 58(2)(i) en 83 van de AVG.

Conclusie

Deze zaak benadrukt het belang van het implementeren van geschikte beveiligingsmaatregelen bij de verwerking van persoonsgegevens, vooral wanneer het gaat om gevoelige informatie zoals gebruikerswachtwoorden. Het benadrukt ook de noodzaak om gegevensinbreuken behoorlijk te documenteren en te melden aan de gegevensbeschermingsautoriteiten.

De DPC heeft aangekondigd dat zij de volledige beslissing en meer gerelateerde informatie op haar tijd zal publiceren.

via: Data Protection