Bron: Ius Mentis
Een boete van de Franse privacytoezichthouder roept vragen op die ook buiten Frankrijk relevant zijn, ook voor kleine ondernemingen in Nederland.
Volgens het Nederlandse juridische blog Ius Mentis heeft de Franse privacytoezichthouder (CNIL) op 30 december 2025 een boete van 3,5 miljoen euro opgelegd aan een niet nader genoemde Franse onderneming. De zaak betrof twee afzonderlijke problemen.
Ten eerste deelde de onderneming persoonsgegevens van leden van haar loyaliteitsprogramma met een sociaal netwerk voor gerichte advertenties, naar verluidt zonder geldige toestemming van die leden.
Ten tweede bleek de onderneming SHA-256 (met salt) te gebruiken voor het hashen van klantenwachtwoorden. Volgens Ius Mentis achtte de CNIL dit onvoldoende, omdat de Franse nationale cybersecuritydienst ANSSI eerder had aangegeven dat SHA-256 en vergelijkbare algoritmen zeer snel uit te voeren zijn. Bij het opslaan van wachtwoorden werkt die snelheid in het voordeel van aanvallers, omdat zij daarmee grote aantallen wachtwoordgokken snel kunnen testen. Algoritmen zoals Argon2 zijn specifiek ontworpen om dit soort brute-force-aanvallen te weerstaan.
De CNIL baseerde het beveiligingsgedeelte van haar beslissing op artikel 32 van de AVG, dat organisaties verplicht passende technische maatregelen te treffen om persoonsgegevens te beschermen. Ius Mentis wijst er ook op dat artikel 63 van de AVG vereist dat privacytoezichthouders binnen de EU samenwerken en hun standpunten op elkaar afstemmen, wat betekent dat een standpunt van de CNIL over wachtwoordbeveiliging waarschijnlijk niet beperkt blijft tot Frankrijk.
De beslissing van de CNIL is bindend in Frankrijk. Voor andere landen, waaronder Nederland, is zij niet automatisch bindend. Zoals Ius Mentis echter aangeeft, zorgt het samenwerkingsmechanisme onder de AVG ervoor dat toezichthouders hun standpunten in de loop van de tijd op elkaar afstemmen. De Autoriteit Persoonsgegevens (AP), die de AVG in Nederland handhaaft, verwacht van organisaties dat zij op grond van vergelijkbare beginselen passende beveiligingsmaatregelen treffen.
Het is van belang te vermelden dat Ius Mentis een secundaire bron is die over de CNIL-beslissing rapporteert, en niet de officiële beslissingstekst zelf. Het boetebedrag, de datum en de wetsverwijzingen zijn zoals gerapporteerd door het blog en zijn niet onafhankelijk geverifieerd aan de hand van de primaire bron.
Als uw website klantenwachtwoorden opslaat, is de methode die wordt gebruikt om die wachtwoorden te beschermen van belang onder de AVG. Het gebruik van een verouderd of snel hash-algoritme zoals SHA-256 voor wachtwoordopslag kan door de AP worden beschouwd als een ontoereikende beveiligingsmaatregel. Het is de moeite waard om bij uw webontwikkelaar of hostingprovider na te vragen hoe uw klantenwachtwoorden worden opgeslagen en of er al een geschikter algoritme wordt gebruikt. U kunt ook onze beveiligingschecklist voor kleine ondernemingen raadplegen voor praktische vervolgstappen.
Gratis websitescan voor AVG, auteursrecht, toegankelijkheid, beveiliging en meer.
Gratis scan startenVolgens Security.NL is er een nieuwe beveiligingskwetsbaarheid ontdekt in cPanel en WHM, twee veelgebruikte tools voor het beheren van webhostingaccounts en servers. De kwetsbaarheid, aangeduid als CV
Het Britse National Cyber Security Centre (NCSC) heeft organisaties en gebruikers naar verluidt gewaarschuwd voor een ongekende golf aan kwetsbaarheden, aangedreven door AI-tools die in staat zijn om
Een adviespagina van het NCSC-NL, het Nationaal Cyber Security Centrum, was onlangs toegankelijk maar toonde alleen een doorverwijzing zonder inhoudelijke informatie. De pagina in kwestie draagt de re