CC ipv BCC slecht voor portemonnee! – januari 2016

De Meldplicht Datalekken is sinds 1 januari een feit. Het is dus extra opletten geblazen bij het werken met persoonsgegevens. Dat zal even wennen zijn, zeker als u weet dat ook zoiets ‘simpels’ als een mailing of – in het algemeen – een mail aan meerdere personen tegelijk versturen al aanleiding kan zijn voor een probleem.

Kort voor de jaarwisseling is de Meldplicht Datalakken gepubliceerd in de Staatscourant. Het is nu dus officieel en de bewustwording binnen de organisatie zal snel op gang moeten komen. Neem bijvoorbeeld een mailing of bekendmaking aan een groep mensen die werkzaam zijn bij verschillende organisaties. Van tijd tot tijd gaat daarbij iets fout: alle geadresseerden horen te zijn opgenomen in het BCC-veld, maar ze komen terecht in het CC-veld. Gevolg is, dat alle geadresseerden niet alleen van elkaar weten dat ze in hetzelfde bestand zitten, maar dat ze nu ook elkaars mailadres kennen. Omdat persoonlijke mailadressen – ook zakelijk gezien – gelden als persoonsgegeven, is deze CC-fout een overtreding van de Meldplicht.

Interpretatie erg belangrijk

IT-jurist Arnoud Engelfriet kreeg de vraag voorgelegd of zo’n CC-fout ook zou kunnen leiden tot een boete volgens de Meldplicht Datalekken. Bij nieuwe wetgeving is interpretatie altijd extreem belangrijk, zeker tot het moment dat er de nodige jurisprudentie voorhanden is. Volgens hem is de kernvraag dus hoe zo’n fout kan worden uitgelegd. Is het belangrijkste aspect ‘onzorgvuldigheid’ (te snel gestuurd en niet opgelet) dan ligt een boete niet voor de hand. Telt het echter zwaarder dat organisaties zoiets niet alleen zouden moeten weten maar ook kunnen voorkomen, dan kan een boete wel eens het gevolg zijn.

Boete kan oplopen tot maximaal € 810.000

Of u een datalek moet melden bij het CBP hangt af van de ernst van het datalek. Het melden van een datalek is alleen verplicht als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als hier een aanzienlijke kans op is. Meldt u onterecht een datalek niet, dan kan uw organisatie een boete krijgen, die kan oplopen tot maximaal € 810.000.

bron: rendement.nl

%d bloggers liken dit: