Afgelopen week vroeg een klant mij of een e-mail die intern aan een verkeerde ontvanger verstuurd is (hierna: ‘Mail’) een datalek is. Ik vond het een goede vraag. Al was het maar omdat deze klant met het stellen van de vraag aangaf awareness te hebben. Hij constateerde iets en dacht vervolgens na over de vraag of hier in het kader van privacy ‘iets mee moest’. Als jurist/privacyadviseur doet me dat goed. Want juist die awareness is een van de belangrijkste pijlers van het privacyrecht. Over het belang van awareness en hoe je dat als organisatie creëert, heb ik het overigens graag een andere keer. Nu eerst een antwoord op de vraag van mijn klant. Het (korte) antwoord is: ja, er kan sprake zijn van een datalek. Hieronder leg ik uit waarom.
Mail is een datalek, tenzij…
Een paar weken geleden postte ik op LinkedIn een bericht waarin ik de voorwaarden voor een datalek (zoals bedoeld in de AVG) noemde. Daarvan is sprake als (i) bij een organisatie, (ii) persoonsgegevens (iii) vernietigd/gewijzigd zijn of toegankelijk zijn geworden (iv) zonder dat dat de bedoeling was.
Dat betekent dus dat de Mail kwalificeert als datalek, tenzij deze (bijvoorbeeld) geen persoonsgegevens bevat. Dan zou er immers aan een van de voorwaarden niet zijn voldaan en is er (dus) geen datalek. Iets om even over na te denken: e-mailadressen zijn ook persoonsgegevens zijn. Dat betekent dat het vermelden van meerdere ontvangers in de CC in plaats van de BCC ook een datalek kan opleveren.
Belang: melden & boetes
Het is belangrijk dat organisaties zich bewust zijn van het feit dat er ook binnen de organisatie sprake kan zijn van een datalek. Dit omdat een datalek in principe gemeld moet worden bij de Autoriteit Persoonsgegevens en het niet melden tot (hoge) boetes kan leiden. De kans dat een door een Mail ontstaan datalek gemeld moet worden, is m.i. overigens wel kleiner dan wanneer een e-mail naar iemand buiten de organisatie gestuurd wordt. Maar dat neemt niet weg dat een organisatie wel moet nagaan of het datalek gemeld moet worden.
Betrouwbare ontvanger
Het uitgangspunt is namelijk dat alle datalekken gemeld moeten worden. Maar er zijn uitzonderingen op die regel. Een uitzondering is bijvoorbeeld dat het datalek niet gemeld hoeft te worden als de ontvanger als betrouwbaar kwalificeert. Een factor die bij het beoordelen of een Mail een datalek is van belang is, is of de ontvanger een geheimhoudingsplicht heeft en waarvoor precies. Wat verder mee kan spelen is of de ontvanger normaliter ook al toegang tot de betreffende gegevens had. Dit zijn overwegingen die echt niet alleen in externe relaties van belang zijn. Met name bij grotere organisaties -die vaak onderverdeeld zijn in afdelingen die niet allemaal toegang hebben tot alle persoonsgegevens die binnen de organisatie verwerkt worden- is de kans op een intern datalek zeker niet uit de sluiten.
Tip
Of je nu tot de conclusie komt dat een Mail een datalek oplevert of niet: registreer wat er is gebeurd en waarom je tot je conclusie -wel/niet melden- bent gekomen. In het privacyrecht is accountability namelijk ook een belangrijk uitgangspunt. Dat wil zeggen dat organisaties niet alleen compliant moeten zijn op het gebied van de privacywet, maar ook moeten kunnen aantonen dat ze dat zijn. Dat betekent dus ook dat je moet kunnen aantonen waarom je vindt dat je beslissing overeenkomt met de AVG.