Wat zijn de DO's en DONT's bij het perongeluk CC versturen in plaats van BCC?

Onze organisatie heeft perongeluk een e-mail naar een ledenbestand verstuurd, zonder de e-mailadressen onzichtbaar te maken. Met het oog op de AVG wet en alles dat erbij komt kijken ontstaan er veel vragen.
Met name wat de belangrijke vervolgstappen zijn en risico's (en valkuilen) indien we onjuist of niet handelen.

Weet jij het antwoord?

/2500

Je hebt het hier over een datalek en in veel gevallen heeft een organisatie dan een meldplicht. Of een organisatie een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Zo hoef je dit niet te melden als het datalek niet zal leiden tot risico's voor de rechten en vrijheden van de betrokkenen. De betrokkenen hoeven ook niet in alle gevallen geïnformeerd te worden over het datalek. Deze verplichting is er alleen als er een verhoogd risico is voor hun rechten en vrijheden. Het is dus niet mogelijk om zo, zonder extra informatie te zeggen wat jouw organisatie moet doen, en wat ze niet hoeven te doen. Maar op de site van de Autoriteit Persoonsgegevens staat veel informatie. De Europese privacytoezichthouders hebben de Guidelines meldplicht datalekken gepubliceerd. Deze guidelines zijn bedoeld om organisaties te helpen om te bepalen of zij een datalek moeten melden.

Bronnen:
https://autoriteitpersoonsgegevens.nl/nl/o...

DO: Een excuusmail sturen naar de leden, maar deze keer op de correcte manier, en met de mededeling dat er in de toekomst beter zal worden opgelet bij e-mailen. DON'T: Je hier verder veel zorgen over gaan maken. ... N.B.: In de e-mail aan de leden schrijf je niets over een datalek, niets over de AVG, maar alleen wat er is gebeurd, dat dit een fout was, dat dit per abuis of per ongeluk is gebeurd, en dat de verzender (jij? het bestuur?) in de toekomst beter zal opletten bij het e-mailen. Houd de e-mail dus kort en bondig, zo raad ik je aan. ... Eventueel vermeld je nog aan het eind van de e-mail dat hiermee de kwestie is afgesloten. Zo voorkom je dat er een overbodige discussie ontstaat over wat er is gebeurd.

Toegevoegd op 05 februari 2019 23:38: tekst

Bij versturen van e-mails met cc’s ipv de gewenste bcc’s (blinde kopieën) gebeurt er nav de inhoud niets wat niet gebeurd zou zijn als de e-mail wel met bcc’s verzonden was. Alle geadresseerden kunnen altijd de inhoud lezen. Gevolg is wel dat de geadresseerden weten dat ze in hetzelfde bestand zitten en nu elkaars mailadres kennen. Volgens de AVG is sprake van een datalek als zich een inbreuk voordoet op de beveiligingsmaatregelen, wat leidt tot het per ongeluk, opzettelijk of onrechtmatig vernietigen of toegang tot, persoonsgegevens die verwerkt zijn. Voorbeelden van datalekken zijn o.a.: het verlies van een mobiel apparaat of usb-stick waarop gevoelige persoonsgegevens staan, een computer hack, een of email naar verkeerde ontvanger en wat regelmatig gebeurt: persoonsgegevens bij het oud papier. Niet ieder datalek-incident valt onder de meldplicht. Er is sprake van een geclausuleerde meldplicht .Hiervoor is het noodzakelijk dat een juridische beoordeling wordt gemaakt. Artikel 33 van de AVG stelt dat een datalek gemeld dient te worden indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden. In de beleidsregels Autoriteit Persoonsgegevens staat dat een datalek alleen gemeld moet worden wanneer een aanzienlijk risico is op schade aan de persoonlijke levenssfeer van een individu. Als verloren of gestolen persoonsgegevens goed versleuteld zijn opgeslagen, dan is er geen aanzienlijke risico op schade aan de persoonlijke levenssfeer. Welke ernstige negatieve gevolgen ondervinden de leden van een organisatie als zij via een e-mail met cc's ipv bcc's van elkaar weten dat zij in een en hetzelfde bestand zitten (zolang het geen bestand van een verboden geheim genootschap is). E-mailadressen worden onderling aan Jan en alleman uitgewisseld. Is het bewuste onzorgvuldigheid of gewoon niet goed opgelet. De vergissing kan zwaar tellen als de organisatie kon weten dat dit zou kunnen gebeuren met ernstige nadelige gevolgen voor de geadresseerden. Omdat persoonlijke mailadressen – ook zakelijk gezien – gelden als persoonsgegeven, kan er bij het maken van deze cc/bcc-fout als incident een plicht zijn om te melden, maar het is geen datalek in de zin van de wet. Daarvan is het criterium de inbreuk op de beveiliging. Ik ken de vragen niet die de leden stellen nav deze omissie, de voornaamste stap voor de organisatie is te beloven ervoor te zorgen dat er nog beter opgelet wordt bij het verzenden van e-mails.

Stel zelf een vraag

Ben je op zoek naar het antwoord op die ene vraag die je misschien al tijden achtervolgt?

/100