23 aug
2019

De Belgische en Duitse gegevensbeschermingsautoriteiten werken samen aan het dossier betreffende het gegevenslek bij Mastercard

De Belgische gegevensbeschermingsautoriteit (GBA) en de gegevensbeschermingsautoriteit van de Duitse deelstaat Hessen werden door Mastercard op de hoogte gebracht van een lek inzake persoonsgegevens dat op 19 augustus 2019 werd ontdekt en dat naar verluidt een groot aantal betrokkenen, waaronder een aanzienlijk aantal Duitse klanten, betrof. Aangezien de hoofdzetel van Mastercard in Waterloo is gevestigd, werkt de GBA nauw samen met zijn tegenhanger in Hessen en alle andere relevante autoriteiten om de belangen van de getroffenen te verdedigen.


Gegevenslek: publicatie van persoonsgegevens uit het programma "Priceless Specials"


Op 19 augustus 2019 merkte Mastercard op dat de klantgegevens van het getrouwheidsprogramma "Priceless Specials" gedurende een bepaalde tijd op het internet waren gepubliceerd.

Het gegevenslek bevat informatie zoals namen, betaalkaartnummers, e-mailadressen, telefoonnummers, postadressen, geslacht en geboortedata.

Het bedrijf met maatschappelijke zetel in Waterloo heeft de inbreuk in verband met de gegevens gemeld aan de Belgische Gegevensbeschermingsautoriteit maar, gelet op de woonplaats van de betrokkenen eveneens aan de autoriteit van Hessen. Mastercard heeft aan de GBA bevestigd dat het de getroffen personen al heeft geïnformeerd over het incident en een FAQ op zijn website heeft gepubliceerd: https://www.mastercard.de/de-de/faq-pricelessspecials.html.

David Stevens, voorzitter van de Gegevensbeschermingsautoriteit: "Sinds de bekendmaking van dit incident hebben we veel vragen en klachten ontvangen en willen we de gebruikers geruststellen: we hebben contact opgenomen met Mastercard om aanvullende informatie te verkrijgen en we volgen deze zaak op de voet in samenwerking met de gegevensbeschermingsautoriteit van Hessen en alle andere mogelijke betrokken autoriteiten. »

Mechanisme voor grensoverschrijdende samenwerking: het éénloketprincipe 

De AVG, die op 25 mei 2018 in werking is getreden, voorziet in een mechanisme voor samenwerking tussen de verschillende gegevensbeschermingsautoriteiten, het zogenaamde « one-stop-shop » of éénloketmechanisme, in gevallen waarin de verwerking van persoonsgegevens gevolgen heeft voor mensen in verschillende lidstaten van de Europese Unie, of wanneer een verwerkingsverantwoordelijke vestigingen heeft in verschillende Europese landen.

Het éénloketmechanisme bepaalt dat slechts één enkele autoriteit de contactpersoon is voor de verwerkingsverantwoordelijke die een vestiging in de Europese Unie heeft, terwijl de "betrokken" toezichthoudende autoriteiten aan de beslissing kunnen deelnemen.