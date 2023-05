Een Franse website die geen HTTPS-verbinding bood, het MD5-algoritme gebruikte voor het hashen van wachtwoorden, zonder toestemming cookies plaatste, gebruikersgegevens onnodig lang bewaarde en zonder toestemming gezondheidsgegevens verzamelde, heeft van de Franse toezichthouder CNIL een boete van 380.000 euro gekregen.

Het gaat om de website Doctissimo.fr, waarop allerlei gezondheidsgerelateerde informatie staat. Ook is er een forum en kunnen gebruikers allerlei tests en quizzen doen. Na een klacht van Privacy International besloot de Franse privacytoezichthouder een onderzoek naar de website in te stellen en ontdekte dat er het nodige mis was en de AVG op meerdere punten werd overtreden.

Zo bleek Doctissimo de informatie van gezondheidstests twee jaar te bewaren. Iets wat volgens CNIL een buitensporige lange bewaartermijn is. Verder bleek dat de gegevens van gebruikers die meer dan drie jaar inactief waren zonder anonimiseringsprocedure werden bewaard. De website vroeg gebruikers ook geen toestemming voor het bewaren van de gezondheidsgegevens die ze via de online tests invulden.

Ook bleek de website tot en met oktober 2019 nog gebruik te maken van het onversleutelde HTTP en werden wachtwoorden van gebruikers via het zwakke en eenvoudig te kraken MD5-algoritme gehasht. Tevens plaatste Doctissimo zonder toestemming trackingcookies en was er geen verwerkersovereenkomst. Volgens de toezichthouder waren dit bij elkaar vijf overtredingen van de AVG. Inmiddels heeft de website alle overtredingen beëindigd.