Foutief versturen e-mails één van meest voorkomende datalekken

31 mei 2021
Artikel

Uit onderzoek blijkt dat het foutief versturen van e-mails één van de meest voorkomende datalekken is. Recent heeft de Partij voor de Vrijheid (PVV) Overijssel een dergelijk datalek veroorzaakt en niet gemeld. Daarom heeft de Autoriteit Persoonsgegevens (AP) aan de PVV een boete opgelegd van € 7.500.

Portretfoto van Niels Ista
Neem contact op met:
Niels Ista Jurist ondernemingsrecht en ICT-recht
Twee mannen aan het werk met een laptop

Datalek PVV

Het datalek ontstond doordat één van de fractieleden een e-mail verstuurde over een achterbanbijeenkomst. In de e-mail werden via de aanhef 101 geadresseerden aangeduid als ‘vrienden van de PVV’. Door een fout van de fractiemedewerker waren de e-mailadressen van de geadresseerden zichtbaar voor iedereen die de uitnodiging ontving. Ook waren daarbij vaak hun namen te herleiden. Hierdoor zijn de politieke opvattingen van de geadresseerden gedeeld. Omdat er sprake is van een datalek, moest de partij dit binnen de termijn van 72 uur melden aan de Autoriteit Persoonsgegevens. Deze melding heeft nog niet plaatsgevonden. Hiermee overtreedt de partij de regels van de Algemene Verordening Gegevensbescherming (AVG).

Bijzondere persoonsgegevens

De politieke opvattingen van betrokkenen zijn bijzondere persoonsgegevens en worden in de AVG extra beschermd. De verwerking van bijzondere persoonsgegevens is verboden, behalve als u zich kunt beroepen op een wettelijke uitzondering én een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. De Autoriteit Persoonsgegevens geeft aan dat politieke partijen een grote verantwoordelijkheid hebben om dergelijke bijzondere gegevens te beschermen en adequaat op te treden als er, ondanks de getroffen beveiligingsmaatregelen, toch een datalek optreedt. Iets wat de partij in deze kwestie heeft nagelaten.

Klacht

De Autoriteit Persoonsgegevens kreeg kennis van de kwestie doordat één van de geadresseerden een officiële klacht indiende. Daarvoor had hij al contact gezocht met de partij en verzocht zijn gegevens te verwijderen uit de database. Een paar dagen later ontving hij echter dezelfde uitnodiging opnieuw, waarbij ditmaal de e-mailadressen van de overige betrokkenen niet meer waren opgenomen in de aanhef. De partij erkende de fout en bood excuses aan aan de betrokkenen. Juist het maken van excuses leverde de Autoriteit Persoonsgegevens voldoende bewijs op om te concluderen dat de partij inmiddels op de hoogte was van de inbreuk.

Boete

Als gevolg van de ernstige overtreding legt de Autoriteit Persoonsgegevens de partij een boete op van € 7.500. De Autoriteit Persoonsgegevens geeft aan dat zij hierbij de aard en de ernst van het datalek in ogenschouw heeft genomen. Ook het feit dat de partij aan na ontdekking van het datalek geen maatregelen nam om toekomstige schade te beperken, rekent de Autoriteit Persoonsgegevens hen zwaar aan. Het bijzondere in dit geval is dat voor een dergelijke overtreding een basisboete van € 525.000 geldt. In dit geval koos de Autoriteit Persoonsgegevens er echter voor de boete meer in lijn te brengen met 'de financiële draagkracht van de partij', waardoor de uiteindelijk opgelegde boete € 7.500 bedraagt.

Let op bij verzenden e-mails

Datalekken zijn niet meer weg te denken uit de hedendaagse digitale maatschappij en zijn daarmee aan de orde van de dag. Foutief verzonden e-mails ogen onschuldig, maar uit onderzoek blijkt dat deze behoren tot de meest voorkomende datalekken. Wees daarom alert, handel conform de AVG, en meldt (zo nodig) tijdig het datalek aan de Autoriteit Persoonsgegevens en/of betrokkenen.

Meer weten?

De juristen van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van privacyrecht, en kunnen u bijstaan bij het opstellen van privacybeleid. Samen met onze juristen kunt u checken of uw organisatie voldoet aan de voorwaarden en bepalingen van de AVG. Neem voor meer informatie of advies over privacywetgeving contact op met Niels Ista, jurist ondernemingsrecht en ICT-recht, via telefoonnummer 0165-531330 of stuur Niels een e-mail.

Wilt u meer weten over datalekken? Onze jurist helpt u graag verder!

E-mail Niels
Portretfoto van Niels Ista
Jurist ondernemingsrecht en ICT-recht
Bel
013-4647180