Onlangs heeft de Duitse privacytoezichthouder BfDI Vodafone GmbH (Vodafone) een record boete opgelegd:

1️⃣ €15 miljoen boete wegens gebrekkig toezicht op partnerbureaus (verwerkers) – externe partijen wijzigden bestaande - of sloten nieuwe klantcontracten af - zonder daarvoor geldige toestemming te hebben verkregen van de betrokkenen. Vodafone heeft nagelaten deze partnerbureaus goed te auditen op naleving van de met hen overeengekomen verwerkersovereenkomsten. Dit is direct in strijd met de verplichting volgend uit art. 28 AVG omtrent het controleren/auditen van verwerkers.

2️⃣ 30 miljoen boete voor ernstige zwaktes in het authenticatieproces. Beveiligingslekken in het “MeinVodafone”-portaal en de hotline maakten het mogelijk voor derden om eSIM-profielen van klanten te misbruiken, dat leverde een ernstige schending van de verplichting tot passende technische en organisatorische maatregelen op (art. 32 AVG).

3️⃣ Daarnaast werd een officiële berisping opgelegd voor structurele tekortkomingen in databeveiliging en toezicht.

🔍 𝗪𝗮𝘁 𝗹𝗲𝗿𝗲𝗻 𝘄𝗲 𝗵𝗶𝗲𝗿𝘃𝗮𝗻?

1️⃣ 𝙑𝙚𝙧𝙖𝙣𝙩𝙬𝙤𝙤𝙧𝙙𝙚𝙡𝙞𝙟𝙠𝙝𝙚𝙞𝙙 𝙝𝙤𝙪𝙙𝙩 𝙣𝙞𝙚𝙩 𝙤𝙥 𝙗𝙞𝙟 𝙪𝙞𝙩𝙗𝙚𝙨𝙩𝙚𝙙𝙞𝙣𝙜
Organisaties blijven verantwoordelijk voor de acties van derde partijen die zij inzetten. Vodafone had haar audit proces niet op orde – met een boete van €15 miljoen als gevolg.

2️⃣ 𝙄𝘼𝙈 𝙚𝙣 𝙖𝙪𝙩𝙝𝙚𝙣𝙩𝙞𝙘𝙖𝙩𝙞𝙚 𝙥𝙧𝙤𝙘𝙚𝙨𝙨𝙚𝙣 𝙢𝙤𝙚𝙩𝙚𝙣 𝙧𝙤𝙗𝙪𝙪𝙨𝙩 𝙯𝙞𝙟𝙣
Zwakte in authenticatie = datalekrisico – en dus boeterisico.

3️⃣ 𝙋𝙧𝙞𝙫𝙖𝙘𝙮 𝙘𝙤𝙢𝙥𝙡𝙞𝙖𝙣𝙘𝙚 𝙢𝙤𝙚𝙩 𝙟𝙚 𝙢𝙖𝙣𝙖𝙜𝙚𝙣!
In totaal €45 miljoen + imagoschade onderstrepen: privacy moet serieus worden genomen als strategisch thema en niet alleen als compliance-check. Implementeer een goed werkend privacy managementsysteem, zodat je cyclisch al je privacy controles en audits uitvoert. Of beter nog, ga voor een privacy certificering zoals de BC 5701.

𝗞𝗲𝘆 𝘁𝗮𝗸𝗲-𝗮𝘄𝗮𝘆
Zorg dat je privacy managementsysteem aantoonbaar functioneert zodat je periodiek alle noodzakelijke controles en audits op je privacy controls uitvoert, zodat je aantoonbaar compliant bent én blijft aan de AVG.

👉 Wij helpen je met audits, risicoanalyses en het implementeren van privacy managementsystemen.

Bron: https://lnkd.in/e_fmAaZY

hashtag#GDPR hashtag#Dataprivacy hashtag#Cybersecurity hashtag#VendorRisk hashtag#Telecom hashtag#Vodafone hashtag#Compliance hashtag#AVG hashtag#DPIA hashtag#ThirdPartyRisk hashtag#BC5701 hashtag#TheDataComplianceBuilders