Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 15 000 euro mot CP&A B.V. för brott mot artiklarna 9 och 32 dataskyddsförordningen (GDPR).
Av beslutet framgår att CP&A samlat in känsliga personuppgifter om sina anställda genom att använda en molntjänst för frånvaroregistrering som sakande nödvändig tvåfaktorsautentisering. Enligt AP var företagets behandling av anställdas fysiska och/eller psykiska hälsa, liksom sjukdom och frånvaroorsak, inte nödvändig för ändamålet. Vidare har företaget inte vidtagit nödvändiga tekniska säkerhetsåtgärder genom att tillåta behandling av känsliga personuppgifter utan tvåfaktorsautentisering. AP beslutade därför att utfärda en sanktionsavgift på 15 000 euro mot CP&A för brott mot artiklarna 9 och 32 GDPR.