Commission Nationale de l’Informatique et des Libertés (CNIL) har beslutat att ålägga företaget Nexpublica France en administrativ sanktionsavgift om 1 700 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Nexpublica France är verksamt inom utveckling och konsultation av IT-system och programvara. Inom ramen för sin verksamhet tillhandahåller bolaget programvaran PCRM, ett verktyg för hantering av användarrelationer inom socialtjänstsektorn.
I slutet av november 2022 anmälde kunder till Nexpublica France en personuppgiftsincident till CNIL, efter att användare av PCRM-portalen uppgett att de haft åtkomst till handlingar som rörde tredje man. Med anledning av incidenten inledde CNIL tillsynsåtgärder hos bolaget.
CNIL:s granskning visade på betydande brister i de tekniska och organisatoriska säkerhetsåtgärder som införts för att skydda de personuppgifter som behandlades genom PCRM-programvaran. Myndigheten konstaterade särskilt att bolagets informationssystem uppvisade strukturella svagheter samt att identifierade säkerhetsbrister inte hade åtgärdats i tid, trots att de varit kända genom flera revisionsrapporter.
CNIL fann att Nexpublica France hade underlåtit att uppfylla kraven i artikel 32 GDPR, enligt vilken den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Vid denna bedömning ska hänsyn tas till den aktuella tekniska utvecklingsnivån, genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och ändamål, liksom riskerna för fysiska personers rättigheter och friheter.
Enligt CNIL hade Nexpublica France inte implementerat ett tillräckligt effektivt system för hantering av dataskyddsrisker. De sårbarheter som identifierades i PCRM-systemet bedömdes huvudsakligen bero på bristande efterlevnad av god praxis och grundläggande informationssäkerhetsprinciper. Sårbarheterna var kända för bolaget och hade identifierats genom flera revisionsrapporter, men korrigerades först efter det inträffade dataintrånget.
Mot bakgrund av de konstaterade bristerna beslutade CNIL att ålägga Nexpublica France en administrativ sanktionsavgift om 1 700 000 euro. Vid fastställandet av sanktionsavgiftens storlek beaktade CNIL särskilt bolagets ekonomiska kapacitet, åsidosättandet av grundläggande säkerhetskrav, antalet berörda registrerade samt den särskilda känsligheten hos de behandlade personuppgifterna, i synnerhet uppgifter som avslöjar funktionsnedsättning. Överträdelserna bedömdes som försvårande mot bakgrund av bolagets verksamhet inom IT-system- och programvarukonsultation.