De Autoriteit Persoonsgegevens (AP) veroorzaakte vrijdag 24 mei zelf een datalek. Een woordvoerder zette in een email naar journalisten, redacties en relaties 38 geadresseerden in het cc-veld. Daardoor kon iedere ontvanger zien wie het mailtje nog meer had gekregen (zie kader). Hoe gaat de privacytoezichthouder zelf om met zo’n incident?
28 mei 2019 •
Nieuws
Privacywaakhond AP blundert met cc-knop
Volgens AP is er in het eigen geval met de cc-knop sprake van een datalek. De interne procedures zijn gevolgd, maar of het incident officieel gemeld moet worden bij de AP is nog in overweging. De woordvoerder licht toe: ‘We hebben uiteraard een procedure voor beveiligingsincidenten. Het incident moet eerst zo spoedig mogelijk intern gemeld worden – afdelingshoofd, directeur, beveiligingsambtenaar, functionaris gegevensbescherming – zodat is te beoordelen of er sprake is van een datalek dat ook gemeld moet worden bij de AP.’
Bij het publiceren van dit artikel is daar nog geen besluit over genomen, legt de woordvoerder uit. In die motivatie speelt bijvoorbeeld de omvang van het aantal gelekte mailadressen mee en is ook de inhoud van de gegevens van belang, licht ze toe, verwijzend naar de richtlijnen van de meldplicht datalekken waarin het onbedoeld of ongegrond delen van namen van geadresseerden in cc wordt beoordeeld als een datalek.
De woordvoerder: ‘De volgende vraag is of een datalek ook bij de AP gemeld moet worden. Dat is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Het datalek moet worden gemeld als het leidt tot een risico voor de rechten en vrijheden van betrokkenen. Als er geen gevoelige gegevens zijn onthuld en als er slechts een klein aantal e-mailadressen is onthuld, hoeft een datalek niet altijd gemeld te worden.’
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.