Tweet uitleg
Die uitleg is niet correct. Het begint er mee dat de bank twee boetes heeft gekregen. €150.000 voor het overtreden van artikel 32 lid 1 en 4 (“beveiliging van de bewerking”). Er is ook een boete van €20.000 opgelegd. Deze is omdat artikel 33 van de verordening (“Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit”) is overtreden.
Vertaling
Om te begrijpen wat er precies is gebeurd is kennis van de Roemeense taal een vereiste. Het gebruiken van Google Translate is een zinnige workaround. Bij een vertaling naar het Engels leidt dat tot een begrijpelijke tekst. De Nederlandse variant is minder makkelijk leesbaar.
De vertaling maakt duidelijk dat de twee medewerkers zonder medeweten en toestemming van de bank WhatsApp hebben gebruikt om kredietaanvragen te vergemakkelijken. Bij die aanvragen zijn uiteraard PII in het spel. Op die manier zijn 1194 aanvragen behandeld. Dat doet vermoeden dat de overtreding langere tijd heeft geduurd. Dat linkt met de hoogte van de boete. De bank had geen maatregelen getroffen om het gebruik van ongeautoriseerde programma’s onmogelijk te maken. Evenmin was het in staat dergelijke risico’s snel te constateren.
WhatsApp verboden?
Dat de eerste reacties op de boete voor de bank in Roemenië hinten op de onmogelijkheid WhatsApp te gebruiken omdat het in strijd is met de AVG is niet waar deze zaak om draait. Primair gaat het om het falen van een bank de processen te beschermen en de ongewenste creativiteit van het personeel. De vraag of WhatsApp legaal kan worden ingezet is in deze zaak niet aan de orde geweest. WhatsApp is dus niet verboden. De boete kan wel een reden zijn in het bedrijfsleven en bij de overheid nog eens op zoek te gaan naar niet geautoriseerde applicaties in het bedrijfsnetwerk en op devices.
