APD בלגיה: IAB, פיננסים ו-NIS2
גוף הפיקוח על נתונים של בלגיה מחזיק עמדה ייחודית ב-EU. המדינה מאחסנת את משרדי ה-EU ו-NATO. יש בה יותר בנקים וגופים פיננסיים גלובליים מכל מדינת EU אחרת, פרט ללוקסמבורג. זה מעניק ל-Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA) השפעה ויכולת פעולה רחבות.
פסיקת IAB Europe
בפברואר 2022 פסקה הרשות הבלגית נגד IAB Europe. התיק עסק במסגרת השקיפות וההסכמה (TCF). ה-TCF מניע כ-€220 מיליארד בפרסום דיגיטלי אירופאי מדי שנה.
מה מצאה הרשות: מחרוזת ההסכמה של TCF היא נתון אישי. היא מקושרת למזהה הפסאודוניים של המשתמש. IAB Europe הוגדרה כבקרת משותפת, דבר שהעמיד אותה באחריות על אופן שימוש מו"לים וחברות פרסום בנתונים אלה.
הקנס של €250,000 היה צנוע. ההשפעה האמיתית הייתה גדולה בהרבה. הרשות דרשה עיצוב מחדש מלא של TCF. כל מו"ל אירופאי המשתמש בכלי הסכמה הרגיש זאת, וכן כל קונה פרסומות.
הלקח: טכנולוגיה כלל-ענפית יכולה להפר GDPR. לא רק חברות בודדות הן בסיכון — כל שרשרת הערך יכולה להיות מחויבת. אף חוליה בשרשרת אינה מחוץ לטווח הבדיקה.
הסקטור הפיננסי: NIS2 ו-GDPR יחד
בלגיה מאחסנת את רשות הבנקאות האירופאית (EBA), EIOPA ואת ציר SWIFT הגלובלי. בנקים וחברות ביטוח שם חייבים לעמוד הן ב-GDPR סעיף 32 והן ב-NIS2 סעיף 21. שני חוקים אלה חולקים שטח נרחב.
NIS2 סעיף 21 קובע:
- בדיקות סיכונים בתחומים אנושיים, פיזיים ודיגיטליים
- דיווח על אירועים תוך 24 שעות
- תוכניות התאוששות עסקית
- בדיקות אבטחת שרשרת אספקה
- הצפנה לנתונים בתנועה ובמנוחה
- בקרות גישה רב-שלביות
GDPR סעיף 32 קובע:
- מיסוך והצפנה של רשומות אישיות
- יכולת שחזור גישה לאחר אירוע
- בדיקות תקופתיות של בקרות אבטחה
- אמצעי הגנה טכניים מבוססי סיכון
בקרות אלה מופיעות בשני החוקים: הצפנה, בקרת גישה, תגובה לאירועים ובדיקות שרשרת אספקה. תוכנית חזקה לפי GDPR סעיף 32 עומדת ברוב דרישות NIS2 סעיף 21 בו-זמנית. מערכת בקרות משולבת אחת היא הנתיב היעיל ביותר. ראו את מדריך עמידה ב-GDPR לסקירה מלאה של שני החוקים.
אכיפה ב-2024: נושאים מרכזיים
הרשות הבלגית הוציאה 82 החלטות ב-2024. תיקי סקטור פיננסי עלו ב-56% לעומת 2023. ארבעה נושאים בולטים.
פרופיילינג ללא הסכמה: בנקים המשתמשים בנתוני עסקאות לניתוח הוצאות או הצעת מוצרים חייבים לעמוד בכללי GDPR. הרשות דחתה "שיפור שירות" כעילה תקפה כאשר הפרופיילינג מסתמך על נתונים כאלה.
ניקוד אשראי בינה מלאכותית: GDPR סעיף 22 מסדיר החלטות אשראי אוטומטיות. הוא דורש סקירה אנושית ונימוקים ברורים. מספר חברות פינטק חסרו אמצעי הגנה אלה — זה היה מוקד מרכזי.
מיזוג נתונים לאחר רכישות: בנקים שמיזגו רשומות לאחר רכישות הפרו לרוב כללי מטרה. ההסכמה המקורית לא כיסתה את השימוש המשולב החדש.
מיקור חוץ ללא כלי העברה: חברות שהעבירו עבודת IT למדינות שלישיות ללא כלים משפטיים נאותים נחשפו לאכיפה. תיקים כיסו את הודו, מרוקו והפיליפינים.
לחברות עם פעילות בנקאית בבלגיה: בקרות GDPR ו-NIS2 משולבות הן ההגנה הטובה ביותר לפני ביקורת. סקירת האבטחה והציות שלנו מסבירה כיצד עיצוב zero-knowledge מצמצם חשיפה מיסודה.