De Autoriteit Persoonsgegevens (AP) veroorzaakte vrijdag 24 mei zelf een datalek. Een woordvoerder zette in een email naar journalisten, redacties en relaties 38 geadresseerden in het cc-veld. Daardoor kon iedere ontvanger zien wie het mailtje nog meer had gekregen (zie kader). Hoe gaat de privacytoezichthouder zelf om met zo’n incident?
Volgens AP is er in het eigen geval met de cc-knop sprake van een datalek. De interne procedures zijn gevolgd, maar of het incident officieel gemeld moet worden bij de AP is nog in overweging. De woordvoerder licht toe: ‘We hebben uiteraard een procedure voor beveiligingsincidenten. Het incident moet eerst zo spoedig mogelijk intern gemeld worden – afdelingshoofd, directeur, beveiligingsambtenaar, functionaris gegevensbescherming – zodat is te beoordelen of er sprake is van een datalek dat ook gemeld moet worden bij de AP.’
Bij het publiceren van dit artikel is daar nog geen besluit over genomen, legt de woordvoerder uit. In die motivatie speelt bijvoorbeeld de omvang van het aantal gelekte mailadressen mee en is ook de inhoud van de gegevens van belang, licht ze toe, verwijzend naar de richtlijnen van de meldplicht datalekken waarin het onbedoeld of ongegrond delen van namen van geadresseerden in cc wordt beoordeeld als een datalek.
De woordvoerder: ‘De volgende vraag is of een datalek ook bij de AP gemeld moet worden. Dat is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Het datalek moet worden gemeld als het leidt tot een risico voor de rechten en vrijheden van betrokkenen. Als er geen gevoelige gegevens zijn onthuld en als er slechts een klein aantal e-mailadressen is onthuld, hoeft een datalek niet altijd gemeld te worden.’
Cc-knop
Vrijdagochtend 24 mei jl verstuurt AP om 7.25 uur een mail naar 38 journalisten, redacties en relaties om hen te wijzen op een persbericht met de titel: ‘Wat betekent de privacywet voor jou(w bedrijf)’. In het cc-veld staan 38 e-mailadressen.
De woordvoerder merkt kennelijk vrij snel dat er iets is misgegaan of wordt daarop gewezen. Om 7.46 volgt een nieuwe mail met een verzoek: ‘Zojuist gepubliceerd: Start campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’ intrekken.’
Om 10.22 uur volgt nog een email: ‘Ik heb vanochtend in een onoplettend moment per abuis een persbericht verstuurd naar een aantal e-mailadressen in de cc ipv de bcc. Ik heb daarna de e-mail ingetrokken, maar mogelijkerwijs zijn alle e-mailadressen toch zichtbaar geweest voor alle of een deel van de adressanten. De fout is uiteraard gelijk intern gemeld en zal volgens de geldende procedures worden opgepakt. Mijn welgemeende excuses.’
‘Datelek hoeft niet altijd extern gemeld te worden’
Het is dus afhankelijk van de omvang van het gelekte aantal mailadressen en de inhoud van het bericht of het incident ook bij de autoriteit gemeld moet worden.
Incidenten met de cc-knop worden vaker gemeld bij de dienst. De woordvoerder: ‘In de meeste gevallen betreft het datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Hierbij gaat het met name om poststukken met gevoelige gegevens die bij de verkeerde persoon terechtkomen en geopend retour worden gestuurd (de onjuiste ontvanger heeft kennis genomen van de inhoud van de brief). Ook kan het gaan om een mail met daarin gevoelige persoonsgegevens die wordt verzonden naar de verkeerde ontvanger. Bijvoorbeeld door een typefout of omdat er in het mailprogramma een verkeerde geadresseerde wordt geselecteerd.’
Ze vervolgt: ‘In het algemeen geldt: als iedereen toestemming heeft gegeven of als alle adressanten elkaar kennen en elkaars e-mailadressen kennen. De inbreuk op privacy is dan minimaal. Gebruik van cc moet wel een doel dienen. In een werkomgeving kan het functioneel zijn bijvoorbeeld omdat je elkaars reactie ziet.’
Risico
Organisaties bepalen dus grotendeels zelf op basis van welke motivatie ze besluiten om een datalek via de cc-knop wel of niet te melden bij de AP. Volgens de woordvoerder loopt een organisatie die niets meldt altijd het risico dat één van de ontvangers zich meldt bij de autoriteit. Ze verwacht dat het onder de pet houden van incidenten zich uiteindelijk tegen organisaties zal keren en boetes zullen volgens als achteraf blijkt dat ze op onrechtmatige gronden een incident hebben verzwegen.
Het blijft voor de dienst lastig om in algemene zin aan te geven wanneer een dergelijk incident moet worden gemeld. Het hangt van specifieke details af, meldt de woordvoerder. Zo wordt bij incidenten met persoonlijke mailadressen de gevolgen voor de privacy van de persoon vaak zwaarder gewogen dan bij zakelijke mailadressen.
De woordvoerder over het eigen datalek met de cc-knop: ‘In dit specifieke geval gaat het om een verwijzing naar een algemeen persbericht op onze openbare website. Het gaat dus niet om bijvoorbeeld de salarisgegevens van onze medewerkers. Dat zou het ook weer anders maken. Maar ik kan mezelf natuurlijk wel voor mijn kop slaan voor het aanvinken van die cc-knop.’
UPDATE: AP meldt datalek bij AP
De woordvoerder laat maandagmiddag 27 mei 2019 om 15.11 uur weten dat het datalek officieel is gemeld bij de Autoriteit Persoonsgegevens.
‘Hoewel het risico voor de betrokkenen gering is, hebben we als AP er wel voor gekozen om het datalek te melden bij de AP. Wat hierbij een rol heeft gespeeld is dat een deel van de e-mailadressen tot de persoon herleidbaar is. En dat we als AP zo transparant mogelijk willen zijn als het gaat om onze eigen beveiligingsincidenten.’
Mooi statement van AP: ‘..En dat we als AP zo transparant mogelijk willen zijn als het gaat om onze eigen beveiligingsincidenten.’ Het ware goed ook (oplossing van) andere beveiligingsincidenten, transparant te delen, zodat anderen hiervan kunnen leren! Of is dat op dit moment nog teveel gevraagd??