Hollanda Veri Koruma Otoritesi, çalışanların sigortalarını yapan kuruma özel nitelikli veriler için gerekli güvenlik standartlarını tesis etmediği gerekçesiyle uyarı verdi. Kamu sigorta kurumu, sosyal güvenlik hizmetlerinin yürütülmesi amacıyla işverenlerden çalışanların hamile olması, doğum izni alması, devamsızlık tarihleri, ebeveyn izinleri ile iş sağlığı ve güvenliğine ilişkin bilgiler de dahil olmak üzere çalışanlara ilişkin bazı veriler toplamaktadır. İşveren tarafından aktarılan veriler arasında çalışanların hastalık sebebiyle işe gelemedikleri tarihler de yer almaktadır. Her ne kadar hastalık nedenleri işverenler tarafından açıklanmasa da Otorite bir kimsenin hasta olduğu günlere ilişkin verilerin de sağlık verisi kapsamında nitelendirilmesi gerektiğini ifade etmiştir.
Ayrıca, Otorite kamu sigorta kurumunun yalnızca tek kademeli kimlik doğrulama sistemi uygulayarak GDPR kapsamında gerekli güvenlik standartlarını ihlal ettiğini ifade etmiştir. Verilerin sunulduğu portala sadece e-posta adresi ve şifre kullanılarak girilebilmesi, GDPR güvenlik standartları açısından yetersiz bulunmuştur. Otoriteye göre risk düzeyi yüksek bir platform olan söz konusu portal için teknolojik açıdan en iyi güvenlik önlemleri alınmalı ve e-posta ile şifre girilmesinin ötesinde çok faktörlü kimlik doğrulaması gerekmektedir. Kamu sigorta otoritesinin birçok insanın sağlık verilerine sahip olması sebebiyle verilerin korunması için alınması gereken önlemlerde dikkatli davranması gerektiği belirtilmiştir.
Kamu sigorta kurumunun 1 Ekim 2018 tarihine kadar yeni bir mahremiyet etki analizi yapması ve 31 Ekim 2019’a eksiklikleri tamamlaması gerektiği belirtilmiştir. Aksi takdirde bu aydan sonra eksikliğin devam edeceği her ay için 150.000 avro olmak üzere en fazla 900.000 avro ödemesine karar verilmiştir.
Söz konusu karar ülkemizde Kişisel Verileri Koruma Kurulunun 31/01/2018 tarih ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararının önemini hatırlatmaktadır. Bu karar ile birlikte Kurul tarafından özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler belirtilmiştir. Dolayısıyla özel nitelikli verilerin işlenmesi esnasında öngörülen güvenlik standartlarını karşılamayan veri sorumlularının Kurul tarafından yaptırıma tabi tutulma ihtimali yüksek olacaktır.