Source: Ius Mentis
Een boete van de Franse privacytoezichthouder roept vragen op die ook buiten Frankrijk relevant zijn, ook voor kleine ondernemingen in Nederland.
Volgens het Nederlandse juridische blog Ius Mentis heeft de Franse privacytoezichthouder (CNIL) op 30 december 2025 een boete van 3,5 miljoen euro opgelegd aan een niet nader genoemde Franse onderneming. De zaak betrof twee afzonderlijke problemen.
Ten eerste deelde de onderneming persoonsgegevens van leden van haar loyaliteitsprogramma met een sociaal netwerk voor gerichte advertenties, naar verluidt zonder geldige toestemming van die leden.
Ten tweede bleek de onderneming SHA-256 (met salt) te gebruiken voor het hashen van klantenwachtwoorden. Volgens Ius Mentis achtte de CNIL dit onvoldoende, omdat de Franse nationale cybersecuritydienst ANSSI eerder had aangegeven dat SHA-256 en vergelijkbare algoritmen zeer snel uit te voeren zijn. Bij het opslaan van wachtwoorden werkt die snelheid in het voordeel van aanvallers, omdat zij daarmee grote aantallen wachtwoordgokken snel kunnen testen. Algoritmen zoals Argon2 zijn specifiek ontworpen om dit soort brute-force-aanvallen te weerstaan.
Scan gratuit couvrant le RGPD, le droit d'auteur, l'accessibilité, la sécurité et plus encore.
Scanner votre site gratuitementEen ernstige beveiligingskwetsbaarheid in cPanel- en WHM-software wordt momenteel actief misbruikt, en de omvang van het probleem is aanzienlijk. Als uw website draait op een hostingaccount dat via cP
De CNIL baseerde het beveiligingsgedeelte van haar beslissing op artikel 32 van de AVG, dat organisaties verplicht passende technische maatregelen te treffen om persoonsgegevens te beschermen. Ius Mentis wijst er ook op dat artikel 63 van de AVG vereist dat privacytoezichthouders binnen de EU samenwerken en hun standpunten op elkaar afstemmen, wat betekent dat een standpunt van de CNIL over wachtwoordbeveiliging waarschijnlijk niet beperkt blijft tot Frankrijk.
De beslissing van de CNIL is bindend in Frankrijk. Voor andere landen, waaronder Nederland, is zij niet automatisch bindend. Zoals Ius Mentis echter aangeeft, zorgt het samenwerkingsmechanisme onder de AVG ervoor dat toezichthouders hun standpunten in de loop van de tijd op elkaar afstemmen. De Autoriteit Persoonsgegevens (AP), die de AVG in Nederland handhaaft, verwacht van organisaties dat zij op grond van vergelijkbare beginselen passende beveiligingsmaatregelen treffen.
Het is van belang te vermelden dat Ius Mentis een secundaire bron is die over de CNIL-beslissing rapporteert, en niet de officiële beslissingstekst zelf. Het boetebedrag, de datum en de wetsverwijzingen zijn zoals gerapporteerd door het blog en zijn niet onafhankelijk geverifieerd aan de hand van de primaire bron.
Als uw website klantenwachtwoorden opslaat, is de methode die wordt gebruikt om die wachtwoorden te beschermen van belang onder de AVG. Het gebruik van een verouderd of snel hash-algoritme zoals SHA-256 voor wachtwoordopslag kan door de AP worden beschouwd als een ontoereikende beveiligingsmaatregel. Het is de moeite waard om bij uw webontwikkelaar of hostingprovider na te vragen hoe uw klantenwachtwoorden worden opgeslagen en of er al een geschikter algoritme wordt gebruikt. U kunt ook onze beveiligingschecklist voor kleine ondernemingen raadplegen voor praktische vervolgstappen.