Privacy en gegevensbescherming:
in conflict met de GBA

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten en gegevensbescherming

Webinar on demand

Fraudebestrijding binnen de eigen organisatie

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht

Webinar on demand

Datalek blunders: stop de cc-terreur in e-mails! (Sirius Legal)

Auteur: Matthias Vandamme (Sirius Legal)

Recent ontving ik een bezorgde e-mail van mijn fitnessclub. Ze wilden graag weten waarom ik de voorbije maanden niet meer ben komen sporten. Ik stel hun bezorgdheid zeker op prijs. Wat ik minder op prijs stel is dat er nog een 40-tal andere leden van de fitness open en bloot in cc staan. Zij hebben nu mijn privé e-mailadres en weten dat ik al een tijdje niet meer naar de fitness ga. Ik kan lachen met deze flater, maar voor sommigen kan dit als een inbreuk op hun privéleven aanvoelen. Tijd om dit klassieke en vermijdbare datalek nog eens in de schijnwerpers te plaatsen en je enkele pointers te geven hoe je het kan vermijden.

Het overkomt de beste

Mijn fitness is zeker niet de enige die dit heeft voorgehad. Recent ontving een collega nog een e-mail van een leerkracht met wat richtlijnen voor de aankomende zeeklassen. Alle andere ouders stonden ook mee in cc. Vele scholen begaan deze flater op dagelijkse basis. Ze zijn niet alleen, ook sommige rechtbanken sturen ons e-mails met alle andere advocaten die aanwezig zullen zijn op de zitting in cc.

Zelfs de Nederlandse Autoriteit Persoonsgegevens had het in 2019 nog voor. De woordvoerder plaatste in een e-mail aan de pers alle 38 geadresseerden in cc. Mocht het geen overduidelijke flater geweest zijn, was het alleszins wel een originele bewustmakingsactie. De Autoriteit besloot om het datalek wel te melden… aan zichzelf.

De Orde van Advocaten van Midden-Nederland had het ook voor in 2021. Maar liefst 275 geadresseerden werden in cc aangeschreven omdat ze nog niet aan hun verplichting hadden voldaan om alle financiële kengetallen aan te leveren. De Orde oordeelde zelf, vreemd genoeg, dat dit geen meldenswaardig datalek betrof. Sommige aangeschreven advocaten waren hiermee alleszins niet gediend aangezien zij wél al aan hun verplichtingen hadden voldaan. We vragen ons af of zij hun recht op het verbeteren van de onjuiste gegevens hebben uitgeoefend.

De Groningse politie heeft zich recent ook schuldig aan gemaakt aan deze praktijk. In een onderzoek naar een zware mishandeling die tijdens een festival plaatsvond verstuurde zij een e-mail naar duizenden festivalbezoekers in de hoop zoveel mogelijk informatie te verzamelen. Goede bedoelingen, maar nog steeds een schending van het privéleven van de geadresseerden. Ze hebben dit datalek wél gemeld aan de Autoriteit Persoonsgegevens, de geadresseerden geïnformeerd én hun excuses aangeboden.

In elk van deze gevallen is er sprake van een datalek. Uiteraard is niet elk van deze datalekken even noemenswaardig. Een leerkracht die een informatieve e-mail stuurt aan alle ouders, zal wellicht geen grote impact hebben op het privéleven van de betrokken ouders. De e-mail van de fitnessclub ligt wellicht al wat gevoeliger voor sommigen. Indirect zijn dit ook gegevens over je gezondheid. Een e-mail van een psycholoog met al diens cliënten in cc om hen te informeren over de nieuwe coronamaatregelen, is uiteraard een grote inbreuk op het privéleven van de geadresseerden én een schending van het beroepsgeheim van de psycholoog. Spijtig genoeg is ook dit laatste voorbeeld echt gebeurd.

Niet altijd meldenswaardig

Oké, het zijn datalekken, maar het is wel duidelijk dat er een gradatie is naargelang de ernst van de inbreuk. In principe moet je als verwerkingsverantwoordelijke een datalek binnen de 72 uur na de kennisname melden aan de GBA. Wanneer er naar alle waarschijnlijkheid geen risico is voor het privéleven van de betrokkenen, is deze melding niet verplicht. Als er wel een potentieel hoog risico is, dan moet je de GBA uiteraard wel op de hoogte stellen én de betrokkenen.

De GBA publiceerde er recent nog enkele beslissingen over. In een van deze beslissingen oordeelde zij dat de melding van een datalek niet vereist was omdat er slechts 16 ontvangers waren en het aantal gedeelde persoonsgegevens ook beperkt was. Daarnaast bleek ook dat de inbreukpleger, een publieke instelling voor jeugdzorg, een gedragscode had waarin de medewerkers werden verzocht om bcc te gebruiken in communicaties met groepen geadresseerden. Zoals bij de meeste datalekken, ging het hier om een menselijke inschattingsfout. Dit is uiteraard slechts één beslissing in een heel specifieke zaak, maar het geeft wel een mooie indicatie.

In een andere beslissing van de GBA ging het om een stadsbestuur dat in het kader van een stedelijk herontwikkelingsproject meerdere e-mails verstuurde met alle geadresseerden in cc. De klager sprak de stad hier vanaf het begin op aan, maar dat mocht niet baten. De stad stuurde nog enkele e-mails met iedereen in cc. De GBA stelde een schending vast en berispte de stad.

In elk geval moet het datalek gemeld worden aan je DPO of, als die er niet is, de persoon die intern verantwoordelijk is voor de privacy. Deze maakt hier dan melding van in het interne datalekregister en beoordeelt of vervolgstappen noodzakelijk zijn. Je doet er op zich niets mis mee om de GBA op de hoogte te brengen. Als je beslist dat toch niet te doen, documenteer dat dan omstandig. Minstens dien je de interne policies even toe te lichten binnen je bedrijf of een opfris cursus te organiseren.

Iedereen in bcc dan maar?

Een praktische oplossing die vaak wordt gebruikt, is het toevoegen van alle geadresseerden in blind copy of bcc. Hierdoor kunnen de ontvangers niet zien wie de andere ontvangers zijn. Zeker een goede praktijk, maar niet altijd voldoende of zelfs noodzakelijk.

Het is onvoldoende wanneer uit de inhoud van de e-mail of de bijlagen toch persoonlijke informatie blijkt over de anderen. Bijvoorbeeld door sommige mensen wel in cc te plaatsen. Dan lijkt het bovendien alsof je deze informatie stiekem met de anderen wou delen.

Soms is het noodzakelijk om meerdere ontvangers open en bloot aan te schrijven. Al is het maar om iedereen te informeren over de geadresseerden van de e-mail of hen met elkaar in contact te brengen.

Reply all en forwarden

Stel dat je in een e-mailketting zit met verschillende ontvangers, dan denk je best ook twee keer na voor je op ‘reply all’ klikt of de e-mail doorstuurt. Je begaat namelijk dezelfde inbreuk als de ontvangers in de eerste e-mail al niet in cc mochten staan.

Meest vermijdbare datalek

Bovenstaande datalekken komen puur voort uit onwetendheid of slordigheid. Ze moeten niet altijd een ramp zijn, maar toch vermijd je ze liever. Het is zo eenvoudig om dit te voorkomen en je bespaart je minstens de slechtgezinde klanten, de reputatieschade en het administratief gedoe dat erbij komt kijken.

Enkele tips om je te helpen:

  • Stel je eerst de vraag of alle geadresseerden wel een boodschap hebben aan de e-mail.
  • Maak van bcc je standaard bij e-mails aan meerdere geadresseerden, tenzij er een reden is om iedereen of enkelen in cc te zetten.
  • Voorzie in een intern beleid en bewustmakingsacties voor je personeel.
  • Gebruik geen e-mail om gevoelige gegevens te verzenden.
  • Controleer bij reply all of forwarden telkens wie er in cc staat.

Bron: Sirius Legal