Carrefour
Dinsdag maakte de Franse privacy toezichthouder CNIL bekend dat Carrefour twee boetes heeft gekregen. De supermarkt mag €2.250.000 overmaken en de banktak van het bedrijf €800.000. De twee zijn op grote schaal tekortgeschoten bij het naleven van de AVG. De consumenten zijn niet duidelijk geïnformeerd, informatie stond verstopt en data werd in een buitenland opgeslagen.
Stuk voor stuk zaken die niet door de beugel kunnen. Het is slechts het topje van de ijsberg wat er zijn negen fouten vastgesteld. Daarbij zit een opvallend punt en dat is ook iets waard e KNWU last van gaat krijgen. CNIL heeft namelijk vastgesteld dat Carrefour klantdata tot vele jaren na de laatste transactie bewaarde. Volgens de CNIL is een bewaartermijn van vier jaar buitensporig en ontbreekt elke grondslag hiervoor.
Personen die van het loyaliteitsprogramma gebruik hebben gemaakt hebben dankzij dit boetebesluit vernomen dat 28 miljoen klantrecords van personen die vijf tot 10 jaar inactief zijn ook nog zijn bewaard. En wie ooit online iets heeft besteld weet nu dat zijn gegevens, met die van 750.000 anderen, ook gewoon zijn bewaard.
KNWU
Op het eerste gezicht heeft het verhaal van Carrefour niets te maken met de KNWU. Die sportbond voor fietsers is namelijk zelf naar de toezichthouder gestapt. Er is namelijk een datalek vastgesteld. Een onverlaat heeft online een oude versie van de administratie gevonden en afgetapt. In ruil voor een bedrag zou die persoon willen afzien van het gebruik van die data.
Heel vervelend voorde KNWU en de 90.000 personen die in de databases staan. Het wordt nog vervelender voor de KNWU nu duidelijk wordt welke data allemaal is gelekt. Uit de reacties die online te vinden zijn kan namelijk worden opgemaakt dat de data van oud leden ook is gelekt.
Dit is de overeenkomst met de Carrefour zaak. De KNWU moet wel met een heel goed verhaal komen om te kunnen rechtvaardigen waarom data van zes jaar en ouder voorhanden was en niet geanonimiseerd. Let wel : het gaat hier niet om data die betrekking heeft op de boekhouding. Die data moet worden opgeslagen conform de eisen van de fiscus.
Wat er bij de KNWU is gelekt gaat veel verder. De correspondentie waarin persoonsgegevens zijn verwerkt inclusief geboortedatum bijvoorbeeld. De KNWU is daarmee een goede kandidaat voor een AVG boete van de AP.
