Miljoenenboete voor gebruik SHA-256, trackingcookies en delen van klantdata

In dit artikel:

De Franse privacytoezichthouder CNIL legde een niet bij naam genoemd bedrijf een boete van 3,5 miljoen euro op wegens meerdere overtredingen van de AVG. Het gaat om een organisatie met een loyaliteitsprogramma van meer dan tien miljoen leden in Frankrijk, ruim 200.000 in België en duizenden elders in Europa.

CNIL concludeerde dat het bedrijf klantgegevens doorgaf aan een socialmediaplatform zodra deelnemers toestemming gaven voor reclame per e-mail of sms, waarna die gegevens werden ingezet voor gerichte advertenties. Gebruikers waren daar niet over geïnformeerd en er was geen verplichte Data Protection Impact Assessment uitgevoerd. Bovendien voldeden de eisen aan wachtwoordsterkte niet; gebruikers konden zwakke wachtwoorden aanmaken en wachtwoorden werden aanvankelijk gehasht met SHA-256 plus salt — een werkwijze die de toezichthouder onveilig achtte. Het bedrijf is inmiddels overgestapt op het modernere Argon2-algoritme. Tot slot plaatste de site bij een bezoek al elf trackingcookies nog voordat om toestemming werd gevraagd, en verwijderde of blokkeerde de organisatie die cookies niet nadat toestemming werd geweigerd.

De zaak onderstreept dat zowel transparantie over datadoorvoer, passende risicobeoordelingen als actuele beveiligingsmethoden vereist zijn om aan de AVG te voldoen.