Italiaanse toezichthoudende autoriteit voor gegevensbescherming

Op 10 juni 2021 heeft de Italiaanse gegevensbeschermingsautoriteit GARANTE PER LA PROTEZIONE DIE DATI PERSONALI (GPDP) een boete van 40.000 euro opgelegd aan de luchthaven van Bologna, ref. 9685922. Het betrokken bedrijf had een provider of verwerker opdracht gegeven om een digitaal klokkenluidersysteem aan te bieden. Gebruikers konden dit systeem - ook anoniem - gebruiken om juridische onregelmatigheden te melden. Het Italiaanse rechtskader bepaalt met name voor de openbare en de particuliere sector dat klokkenluiders die hun identiteit bekendmaken, moeten worden beschermd tegen represailles en discriminerende maatregelen. 

Ingebruikneming van een digitaal klokkenluiderssysteem 

De provider gebruikte al geen beveiligd netwerkprotocol (zelfs niet het https-protocol) voor de gegevensoverdracht, hoewel het klokkenluiderssysteem via het internet toegankelijk is. De in de database opgeslagen gegevens waren ook niet versleuteld. Voorts werden loggegevens over het navigatiegedrag van gebruikers van het klokkenluidersysteem opgeslagen via een firewallconfiguratie. Voorts had de betrokken onderneming bij de invoering van het klokkenluidersysteem geen gegevensbeschermingseffectbeoordeling verricht. 

De Italiaanse gegevensbeschermingsautoriteit beschouwde het gedrag van het betrokken bedrijf als verschillende schendingen van de vereisten van de algemene verordening gegevensbescherming ("GDPR") en legde een boete van 40 000 euro op:

Gebrek aan encryptie - schending van artikel 32 GDPR. 32 GDPR

De Italiaanse gegevensbeschermingsautoriteit zag een schending van de verplichte toepassing van technische en organisatorische maatregelen overeenkomstig artikel 32, lid 1, onder a), en artikel 32, lid 1, onder b), van de richtlijn. 32 (1) (a) en Art. 5 (1) (f) GDPR omdat het bedrijf geen geschikte encryptiemechanismen voor het transport en de opslag van de berichten heeft toegepast. Het http-protocol (Hypertext Transfer Protocol) kan zowel de vertrouwelijkheid als de integriteit van de gegevens in de kennisgevingen die tussen de browser van de klokkenluider en de server van de aanbieder worden uitgewisseld, niet garanderen. Voorts kan de authenticiteit van de website van het klokkenluidersysteem niet door de klokkenluider worden gecontroleerd. Ook is tegengeworpen dat de gegevens van de tips in de database van het klokkenluidersysteem onversleuteld zijn opgeslagen. 

De Italiaanse gegevensbeschermingsautoriteit benadrukte met name ook dat de aard van de gegevens van de mededeling en de hoge risico's die kunnen voortvloeien uit misbruik van deze gegevens een hoog versleutelingsmechanisme vereisen.  

Het argument van de betrokken onderneming dat de uitgebreidere gegevensbeveiligingsmaatregelen extra kosten zouden hebben veroorzaakt, veranderde niets aan een inbreuk voor de gegevensbeschermingsautoriteit. Bovendien is het betrokken bedrijf ook verantwoordelijk voor de naleving van dergelijke maatregelen wanneer een verwerker optreedt. 

Ontoelaatbaarheid van registratie - schending van art. 25 GDPR

Opmerkelijk en in de praktijk vaak buiten beschouwing gelaten was de klacht van de toezichthoudende autoriteit voor gegevensbescherming dat het vastleggen van de navigatieprocessen van klokkenluiders op de website van het klokkenluidersysteem een schending vormt van art. 5, lid 1, onder f), art. 25 en Art. 32 van de GDPR. 

Als gevolg van een firewallconfiguratie werd de toegang van werknemers tot de website van het klokkenluidersysteem met werkstations of persoonlijke apparaten die op het bedrijfsnetwerk waren aangesloten, opgeslagen in logbestanden en gedurende 90 dagen bewaard. Deze bevatten het IP-adres en - door een verbinding met de Active Directory - ook de gebruikersnaam. 

Dit vormde een schending van het beginsel van "gegevensbescherming door ontwerp" en "gegevensbescherming door standaardinstellingen" volgens Art. 25 GDPR. Klokkenluiderssystemen moeten daarom zo worden ontworpen dat er geen logbestanden worden opgeslagen. Anders lopen de vertrouwelijkheid en de anonimiteit gevaar. 

Ontbreken van een effectbeoordeling inzake gegevensbescherming 

De Italiaanse toezichthoudende autoriteit voor gegevensbescherming maakte ook bezwaar tegen het feit dat het betrokken bedrijf geen gegevensbeschermingseffectbeoordeling overeenkomstig art. 35 GDPR. Dit had echter wel moeten gebeuren bij de invoering van een klokkenluidersregeling. De tips kunnen gevoelige gegevens bevatten. Ze kunnen informatie bevatten over vermoedelijke schendingen van de wet en grote gevolgen hebben voor de beschuldigde en de klokkenluider. Dit houdt bijzondere risico's in voor de rechten en vrijheden van de betrokkenen. 

Implementeer alle vereisten met onze Hintbox

Het besluit van de Italiaanse toezichthoudende autoriteit voor gegevensbescherming belicht twee aspecten: Ten eerste kunnen vertrouwelijkheid en anonimiteit in principe alleen worden gewaarborgd door een digitaal klokkenluiderssysteem. Ten tweede vereist een dergelijk klokkenluidersysteem de implementatie van een aantal technische maatregelen. Onze Hintbox heeft alle vereisten van de gegevensbeschermingswetgeving en de specificaties van de toezichthoudende autoriteiten voor gegevensbescherming op een wettelijk conforme manier geïmplementeerd. 

End-to-end-encryptie en database-encryptie

Alle informatie en communicatie tussen de klokkenluider en de compliance officer wordt end-to-end versleuteld. Bovendien worden de gegevens in de database opnieuw versleuteld. De gegevens worden gehost in een ISO-27001 gecertificeerd datacentrum in Duitsland. 

Geen tracering van IP-adressen of andere apparaatgegevens

Er worden geen gegevens of informatie, zoals het IP-adres of andere apparaatgegevens, opgeslagen bij gebruik van ons klokkenluidersysteem. Dit is de enige manier om vertrouwelijkheid en anonimiteit te waarborgen.

Wij ondersteunen u bij uw gegevensbeschermingseffectbeoordeling

Uiteraard ondersteunen wij uw onderneming kosteloos bij uw gegevensbeschermingseffectbeoordeling, zodat u alle eisen van Art. 35 DSGVO snel en correct kunt uitvoeren.