Het Spaanse Agentschap voor Gegevensbescherming (AEPD) heeft heeft onlangs twee kleine en middelgrote ondernemingen gesanctioneerd: de eerste, na het per e-mail verzenden van gevoelige informatie zonder toepassing van adequate beveiligingsmaatregelen; en in een ander dossier heeft het een boete opgelegd voor het verlies van een USB-geheugen dat persoonlijke klantgegevens bevatte zonder dat het op de juiste wijze was gecodeerd. In beide gevallen kon het argument van “specifieke menselijke fouten” de aansprakelijkheid niet uitsluiten, aangezien de AEPD dat begreep Uit de fouten bleek dat er sprake was van tekortkomingen in de vereiste technische en organisatorische maatregelen door de Algemene Verordening Gegevensbescherming (AVG).
De resoluties zijn vooral relevant voor zelfstandigen en kleine bedrijven, die klantendatabases, geschiedenissen, facturen of toegangsgegevens beheren, met beperkte structuren en zonder afdelingen die gespecialiseerd zijn in de naleving van de RGPD. De AEPD vereiste geen herhaling of accreditatie van daadwerkelijke schade om de inbreuk te beoordelen, maar analyseerde in plaats daarvan of er sprake was redelijke controles in overeenstemming met het daaraan verbonden risico op de verwerkte informatie, zoals vereist door de regelgeving.
De boodschap is duidelijk voor elke professional die documentatie per post verstuurt of gegevens op draagbare apparaten opslaat: een enkel incident kan een sanctieprocedure in gang zetten als daaruit blijkt dat er geen minimumprotocollen zijn. Zoals Pere Romero, financieel directeur van CDMON, uitlegt: “Het is niet nodig dat er sprake is van herhaling, noch dat effectieve schade bewezen moet worden”, omdat De as van het systeem is proactieve verantwoordelijkheid en het vermogen om ijver te tonen.
- Eén enkele controle is genoeg voor de AEPD om kleine bedrijven te bestraffen voor de gegevens van hun klanten
- Het verschil tussen een vergissing en een overtreding hangt af van het bewijsvermogen
- De maatregelen om sancties te vermijden zijn niet complex, maar moeten wel worden geïmplementeerd en gedocumenteerd
- De directe reactie na het incident is van invloed op de uiteindelijke beoordeling
Eén enkele controle is genoeg voor de AEPD om kleine bedrijven te bestraffen voor de gegevens van hun klanten
Artikel 32 AVG vereist de implementatie passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te garanderen, een formulering die de focus verschuift van de geïsoleerde fout naar het preventiesysteem. “De sleutel hier is ‘passend bij het risico’, niet ‘totale afwezigheid van fouten’”, zegt Romero wanneer hij analyseert hoe de AEPD dit soort situaties beoordeelt en hoe de eis van proportionaliteit wordt geïnterpreteerd. In dit kader is het doorslaggevend om te bewijzen passende technische en organisatorische maatregelen een op het risico afgestemd beveiligingsniveau te garanderen.
In het geval van e-mail kan de AEPD van mening zijn dat het verzenden van niet-versleutelde gegevens of zonder gebruik te maken van blinde kopieën in meerdere communicaties te voorzien en te vermijden was door middel van eenvoudige protocollen. Als het erop aankomt Bij routinematige processen kan het gebrek aan basiscontroles worden geïnterpreteerd als een gebrek aan structurele toewijding in overeenstemming met de AVG-criteria, vooral als dit gangbare bedrijfspraktijken zijn.
Wat het verloren USB-geheugen betreft, verhoogt het ontbreken van encryptie of technische beperkingen op draagbare apparaten het blootstellingsniveau en versterkt het de beoordeling van niet-naleving. “De fout openbaart afwezigheid van basiscontroles in routinematige processen”, houdt de deskundige vol, die benadrukt dat de AEPD onderzoekt welke barrières er vóór het incident bestonden en niet alleen wat er daarna gebeurde om de voorafgaande zorgvuldigheid te beoordelen.
Het verschil tussen een vergissing en een overtreding hangt af van het bewijsvermogen
Voor zelfstandigen en micro-KMO’s is de centrale kwestie niet het elimineren van alle risico’s, maar kunnen aantonen dat er maatregelen zijn genomen redelijk en consistent met het type gegevens dat wordt verwerkt. “Wat relevant is, is niet dat er sprake is van een menselijke fout, maar als de organisatie kan aantonen dat zij alles heeft gedaan wat redelijkerwijs nodig was om dit te voorkomen”, zegt Romero wanneer hij het debat verlegt naar het gebied van bedrijfsmanagement en financiële verantwoordelijkheid.
Deze accreditatiecapaciteit berust op interne documentatie, die het beslissende element kan worden in een sanctiedossier dat door de AEPD wordt behandeld. “In deze kwestie “documentair bewijs is wat een dossier kan beslissen,” waarschuwt, met verwijzing naar registraties van behandelactiviteiten, risicoanalyses, contracten met technologieleveranciers of bewijs van personeelstraining die de zorgvuldigheid ondersteunt.
De logica van de AVG is gebaseerd op het principe van proactieve verantwoordelijkheid vereist niet alleen naleving, maar ook het aantonen dat daaraan wordt voldaan vóór een mogelijke inspectieactie door de AEPD. “De AVG is gebaseerd op het principe van proactieve verantwoordelijkheid”, herinnert Romero zich, en legt uit dat het niet essentieel is om specifieke schade te bewijzen als het preventieve systeem onvoldoende is voor het risiconiveau dat wordt aangenomen.
De maatregelen om sancties te vermijden zijn niet complex, maar moeten wel worden geïmplementeerd en gedocumenteerd
Voor kleine bedrijven omvat het redelijke minimum een intern gegevensbeschermingsbeleid, adequate informatieclausules, gegevensverwerkingscontracten en een gedocumenteerde risicoanalyse, ook al is dit vereenvoudigd. Hieraan worden fundamentele technische maatregelen toegevoegd, zoals sterke wachtwoorden, toegangscontrole via profielen, automatische apparaatblokkering en regelmatige back-ups; ze waren allemaal in lijn met de vereisten van de RGPD en met de operationele realiteit van een zelfstandige.
“De regelgeving Het vergt geen grote investeringen, maar dat is wel zo vereist orde, oordeel en samenhang”, Romero wijst erop wanneer hij het idee ontraadt dat compliance alleen beschikbaar is voor grote bedrijven. Volgens hem is niet de hoeveelheid documentatie doorslaggevend, maar de samenhang tussen het geïdentificeerde risico en de getroffen maatregelen die bij inspectie vervolgens bij de AEPD kunnen worden geaccrediteerd.
Op draagbare apparaten verminderen encryptie en sterke authenticatie de blootstelling in geval van verlies of diefstal aanzienlijk, terwijl bij het gebruik van e-mail het implementeren van automatische regels of interne protocollen ongepaste verzending kan voorkomen. Het ontbreken van deze voorzorgsmaatregelen, wanneer gegevensverwerking gebruikelijk is, maakt het moeilijk vol te houden dat het incident onvoorzienbaar was in overeenstemming met de AVG-normen en kan de beoordeling van het gedrag verergeren.
Zodra de storing optreedt, Daaropvolgende zorgvuldigheid kan de situatie voor de AEPD verergeren of verzachten. “Daaropvolgend slecht management kan ernstiger zijn dan het initiële incident”, waarschuwt Romero, waarbij hij het belang van onmiddellijke beheersing en gedocumenteerde interne analyse als onderdeel van de vereiste zorgvuldigheid beschrijft. De reactie moet snel en gestructureerd zijn om grote gevolgen te vermijden en betrokkenheid te tonen.
Het beperken van de toegang tot het getroffen systeem, het wijzigen van gecompromitteerde inloggegevens en het intern registreren van de inbreuk behoren tot de eerste stappen die onmiddellijk moeten worden genomen. Bovendien, als er een risico bestaat voor de rechten en vrijheden van de betrokken personen, Melding aan de AEPD dient binnen maximaal 72 uur te gebeuren, en in gevallen van hoog risico is het ook noodzakelijk om dit aan de geïnteresseerde partijen te communiceren in overeenstemming met de bepalingen van de RGPD.
Wat uiteindelijk het risico op sancties kan verkleinen is niet de afwezigheid van fouten, maar het vermogen om na het incident snelle actie, transparantie en verbeterde controles aan te tonen. “Naleving betekent niet absolute perfectie, maar eerder het vermogen tot preventie en reactie en blijk van zorgvuldigheid”, vatte Romero samen bij het samenvatten van de norm die de AEPD hanteert in dit soort dossiers en die het verschil markeert tussen beheerd toezicht en een bevestigde inbreuk.
