Boete van 800.000 euro voor Discord

1 minuut leestijd

Het populaire chatplatform voor gamers Discord heeft een boete gekregen van 800.000 euro omdat ze verschillende richtlijnen van de AVG hebben overtreden. Het gaat o.a. om gebruikersgegevens die te lang werden bewaard en het toestaan van wachtwoorden van 6 karakters. Zo werden de persoonsgegevens van de vele gebruikers van het platform niet voldoende beschermd.

De boete is gebaseerd op de geconstateerde overtredingen en het aantal mensen dat erbij betrokken is. En ondanks dat er rekening is gehouden met de verbeteringen die Discord aan het doorvoeren is, blijft de boete fors. Privacy van persoonsgegevens wordt serieus genomen.

Voor elke organisatie vallen er lessen te leren uit de fouten die Discord heeft gemaakt:

  1. Maak een helder plan voor het bewaren van gegevens
    Er was geen beleid waarin duidelijk stond hoe lang gegevens van gebruikers bewaard mochten blijven. In de database bleken 2,4 miljoen Franse gebruikersaccounts te staan die al meer dan drie jaar niet waren gebruikt. Een deel daarvan was zelfs meer dan vijf jaar inactief. Volgens de AVG mogen gegevens niet langer dan noodzakelijk worden bewaard dan het doel waarvoor ze nodig waren. Zorg dat jouw bewaarbeleid helder is en handel er ook naar.
  2. Zorg voor voldoende bescherming voor je klanten en wees transparant
    Als gebruikers(klanten) de applicatie sloten bleef de applicatie in de achtergrond actief en konden gebruikers zo door andere gebruikers in de chatroom worden afgeluisterd. Ga voor je eigen activiteiten na of de persoonsgegevens van je klanten in alle gevallen goed worden beschermd.
  3. Zorg voor een sterk wachtwoordbeleid
    Het systeem accepteerde wachtwoorden van slechts zes karakters. De privacytoezichthouder vindt dat onvoldoende om de persoonlijke gegevens van gebruikers te beschermen. Ga nog eens na hoe het zit met het wachtwoordbeleid in jouw organisatie. Is iedereen daarvan op de hoogte? En weet je zeker dat je veilige wachtwoorden gebruikt?
  4. Voer een DPIA uit
    Er was geen data protection impact assessment (DPIA) uitgevoerd om de risico’s in kaart te brengen. Een DPIA is een onderzoek dat duidelijk maakt of en waar grote privacyrisico's ontstaan als je persoonsgegevens gebruikt. Vooral voor wat grotere organisaties is het toch verstandig om zo’n onderzoek uit te voeren.

woensdag 23 november 2022