Geen bewaartermijnenbeleid en onvoldoende beveiliging leidt tot boete van € 800.000,- voor platform Discord

De Franse privacy toezichthouder (CNIL) heeft online platform Discord een boete van € 800.000,- opgelegd wegens (meerdere) schendingen van de Algemene Verordening Gegevensbescherming (AVG). Discord is een online platform waarop, kort gezegd, gebruikers met elkaar kunnen communiceren. Het is vooral populair onder gamers. De AVG-schendingen bestaan onder andere uit het niet hebben van een bewaartermijnenbeleid en een onvoldoende beveiligingsniveau. Over het boetebesluit en de (herstel)acties van Discord lees je meer in deze blog.

AVG-schendingen

Op grond van de AVG mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt. Discord voldoet hier volgens CNIL niet aan. Discord had geen (schriftelijk) bewaartermijnenbeleid en haar database bevatte ten minste 2.474.000 Franse gebruikersaccounts  die al meer dan drie jaar inactief waren en 58.000 Franse gebruikersaccounts met zelfs meer dan vijf jaar inactiviteit. De accounts zijn volgens de CNIL dus te lang bewaard.

Daarnaast was de beveiliging niet op orde. De AVG vereist een passende technische en organisatorische beveiligingsmaatregelen, zoals adequaat wachtwoordbeleid. Het wachtwoordenbeleid van Discord volstond niet, omdat het genoegen nam met wachtwoorden van zes karakters (waaronder letters en nummers). Discord had hogere eisen moeten stellen aan de wachtwoorden.

De andere schendingen van de AVG bestaan uit het niet goed informeren van gebruikers over de bewaartermijnen, het niet uitvoeren van een Data Protection Impact Assessment (DPIA) en het niet inrichten van het platform conform het vereiste van ‘privacy by design’.

Aanpassingen aan procedures door Discord

Al tijdens het onderzoek van CNIL is Discord aan de slag gegaan om de werkwijze in overeenstemming met de AVG te brengen. Dit heeft geleid tot de volgende acties:

• Implementatie van een schriftelijk bewaartermijnenbeleid, waarbij gebruikersaccounts na twee jaar van inactiviteit verwijderd worden.
• Aanpassing van het privacystatement met duidelijkere informatie over de bewaartermijnen.
• Tonen van een pop-up bij het afsluiten van de app om gebruikers te waarschuwen dat Discord nog steeds actief blijft als enkel op het kruisje wordt geklikt (privacy by design).
• Aanscherping van het wachtwoordenbeleid, waardoor een wachtwoord nu minimaal acht tekens, met ten minste drie van de vier verschillende soorten tekens (kleine letter, hoofdletter, nummer en speciaal teken) moet bevatten. Ook zijn er maatregelen er 10 mislukte inlogpogingen zijn geweest.
• Uitvoering van twee DPIA’s.

Boete

Ondanks voornoemde aanpassingen van Discord, is volgens CNIL een boete passend. De aanpassingen zijn wel meegewogen bij de vaststelling van de hoogte van de boete. Doordat ze onderdeel zijn van het boetebesluit, geeft het een mooi inkijkje van maatregelen die CNIL wel passend acht. Dit neemt niet weg dat volgens de AVG een geldboete afschrikwekkend en evenredig moet zijn. Een en ander leidt tot een boete van € 800.000,-, afgestemd op de omzet van Discord over 2019.

Meer weten over de vereisten van de AVG, zoals een bewaartermijnenbeleid? Neem gerust vrijblijvend contact op met Floortje Eijdems of één van de andere advocaten van het Privacy-team.