Privacyverhaal: Bij Onno’s administratiekantoor ontstond een datalek door een verkeerd geadresseerde mail

16-03-2021

Ik ben eigenaar van een klein administratiekantoor. We zijn op dit moment erg druk met het verzorgen van belastingaangiftes voor onze klanten. We doen dit deels vanuit huis en deels op kantoor. Op kantoor werken we met een beveiligd dossiersysteem waar we vanuit huis niet bij kunnen.

Sinds de crisis halen mijn medewerkers – als ze op kantoor zijn - vaker dossiers uit het systeem en mailen dit naar hun werkmail. Zodat ze hier thuis verder aan kunnen werken. Gisteren is dit door een stom ongeluk helemaal misgegaan.

1 van mijn medewerkers heeft vanaf kantoor per ongeluk 5 persoonlijke, financiële dossiers naar een klant gemaild in plaats van naar het werkmailadres van zijn thuiswerkende collega. Hij kwam erachter doordat de dame die de mail ontving, contact met ons heeft opgenomen. Ze gaf gelukkig aan dat ze alle gegevens –waaronder BSN’s en financiële jaaroverzichten - heeft verwijderd.

"Ik zou het zelf ook willen weten als zulke persoonlijke informatie bij een ander terecht komt"

Ik heb ervoor gekozen om de betrokken personen meteen te informeren over dit datalek. Ook al zijn de gegevens verwijderd. Eigenlijk puur omdat ik het zelf ook zou willen weten als zulke persoonlijke informatie bij een ander terecht komt.

"Ik heb me onvoldoende gerealiseerd dat dossiers mailen überhaupt veel te risicovol is."

Als administratiekantoor ben ik mij er heel erg van bewust dat we werken met zeer gevoelige informatie. Mijn beleid van vóór de crisis was daarom ook altijd dat er niet wordt thuisgewerkt. Aan het begin van de crisis heb ik wel snel geregeld dat mijn medewerkers vanuit huis bij hun werkmail kunnen. Hiermee heb ik willen voorkomen dat ze dossiers naar hun onbeveiligde privémail gingen sturen.

Ik dacht dat dit voldoende was, maar heb me onvoldoende gerealiseerd dat dossiers mailen überhaupt veel te risicovol is.

Wist u dat?

• u als eigenaar van een bedrijf verantwoordelijk bent om te zorgen voor passende beveiligingsmaatregelen voor uw specifieke situatie? Ook met oog op menselijke fouten.

• het beveiligen van persoonsgegevens een continu proces is? Veranderde omstandigheden – zoals thuiswerken - kunnen vragen om andere maatregelen.

• wanneer u een datalek heeft, u verplicht kunt zijn om dit te melden bij de Autoriteit Persoonsgegevens (AP)? Dit moet dan binnen 72 uur na ontdekking van het lek. Of u een datalek moet melden bij de AP en de betrokken personen, hangt af van het risico op schade. U moet deze inschatting zelf maken.

• in dit verhaal lijkt de ontvanger geen kwaad in de zin te hebben. Maar hoe zeker is het dat de persoonsgegevens echt zijn vernietigd?

• doe bij twijfel altijd melding bij de AP. Daarmee laat u ook zien dat u uw verantwoordelijkheid neemt om de schade zoveel mogelijk te beperken.


bron: Autoriteit Persoonsgegevens

Van onze partners

Datalekken voor bedrijfsjuristen

→ Lees meer

Checklist Privacy AVG

→ Lees meer

Inzage- en verwijderingsverzoeken onder de AVG

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer