E-mailadressen groepsmail niet in het BCC- maar in het AAN- of het CC-veld: niets aan de hand of een datalek?!
Velen zullen de situatie herkennen: bij een e-mail aan een groep worden de e-mailadressen per ongeluk niet in het BCC- maar in het AAN- of het CC-veld gezet. Wat nu? Is dit een datalek volgens de privacywetgeving (waaronder de AVG)? Of is er niets aan de hand?
Een foutje is zo gemaakt. Dat geldt ook voor het invoeren van e-mailadressen in het verkeerde veld. Of een dergelijke situatie volgens het privacyrecht een probleem geeft, hangt af van de omstandigheden. Het kan zijn dat er niets aan de hand is. Het kan echter ook zijn dat er sprake is van een datalek. Is dat het geval? Dan kan het onder meer nodig zijn dit te melden aan de Autoriteit Persoonsgegevens.
Wat te doen indien e-mailadressen niet in het BCC- maar in het AAN- of het CC-veld zijn gezet?
Hierna wordt in een aantal stappen besproken of volgens het privacyrecht iets moet worden gedaan en zo ja, wat, wanneer bij een groepsmail e-mailadressen niet in het BCC- maar in het AAN- of het CC-veld zijn gezet.
Stap 1. Vaststellen of de AVG van toepassing is
Eerst moet worden bekeken of de AVG (en de andere privacywetgeving) van toepassing is. Of dat het geval is, hangt van aan aantal factoren af, waaronder de volgende twee. In de eerste plaats moeten de e-mailadressen persoonsgegevens zijn. Verder mag er geen sprake zijn van ‘persoonlijk gebruik’. Dit wordt hierna uitgelegd.
Vraag I. Zijn e-mailadressen persoonsgegevens?
Wanneer zijn e-mailadressen persoonsgegevens? Dat is het geval wanneer je (mede) aan de hand hiervan iemand kan identificeren.
Soms is het direct duidelijk dat iemand aan de hand van een e-mailadres kan worden geïdentificeerd. Denk aan een e-mailadres waarin de volledige naam van iemand staat met na het apenstaartje het bedrijf waar die persoon werkt. Bijvoorbeeld: felicia.vandenberg@glazenwasserij-janssen.nl. De kans is bijzonder groot dat dit e mailadres hoort bij Felicia van den Berg, die werkt bij Glazenwasserij Janssen. Als dit het geval is, is het e-mailadres een persoonsgegeven.
Hoe zit het bij algemene e-mailadressen van bedrijven? Denk bijvoorbeeld aan info@glazenwasserij-janssen.nl of administratie@glazenwasserij-janssen.nl. Hierin staat geen naam van een bepaalde persoon. In de regel zijn dit geen persoonsgegevens. Maar soms toch wel.
Om te bepalen of iemand via een e-mailadres te identificeren is, moet rekening worden gehouden met alle middelen die daarvoor redelijkerwijs te gebruiken zijn. Het kan dus zijn dat de gebruiker van info@glazenwasserij-janssen.nl wel kan worden geïdentificeerd wanneer het e-mailadres wordt gecombineerd met andere informatie. Denk bijvoorbeeld aan de informatie dat het gaat om een eenmanszaak zonder personeel. Op deze manier kan relatief gemakkelijk worden herleid wie de gebruiker van het op zich algemene e-mailadres is. Het is overigens niet nodig dat iedereen de betreffende persoon kan identificeren.
E-mailadressen zijn vaak te herleiden naar bepaalde personen. Daarom zijn het vaak persoonsgegevens. Als dat het geval is, is de privacywetgeving (waaronder de AVG) in beginsel van toepassing.
Vraag II. Gaat het om persoonlijk gebruik?
Soms gaat het om persoonsgegevens maar is de privacywetgeving (waaronder de AVG) toch niet van toepassing. Dit is bijvoorbeeld het geval wanneer het gaat om persoonlijk gebruik van de persoonsgegevens, in dit geval het e-mailadres.
Wat gebeurt er wanneer iemand privé een groepje aanschrijft en per ongeluk de e-mailadressen niet in het BCC- maar in het AAN- of het CC-veld zet? Zolang het binnen heel beperkte privékring gebeurt, valt dit onder de uitzondering voor persoonlijk gebruik. Dan is de privacywetgeving (waaronder de AVG) dus niet van toepassing. In dat geval is het voor de privacywetgeving echter geen probleem wanneer de e-mailadressen per ongeluk niet in het BCC- maar in het AAN- of het CC-veld worden gezet. Uiteraard moet ook bij persoonlijk gebruik respectvol worden omgegaan met de privacy van de gebruikers van de e-mailadressen.
Wordt een e-mailadres op grotere schaal gedeeld? Dan is er geen sprake meer van persoonlijk gebruik. Het maakt daarbij niet uit of degene die het doet, dit zelf ook zo ervaart. Dan is de privacywetgeving (en dus de AVG) gewoon van toepassing.
Stap 2. Als de AVG van toepassing is: is het een datalek?
Is bij stap 1 geconstateerd dat het gaat om persoonsgegevens? En dat er geen sprake is van persoonlijk gebruik, zoals hiervoor genoemd? Dan is de privacywetging (en dus de AVG) van toepassing op de situatie waarin een groepsmail verstuurd waarbij de e-mailadressen niet in het BCC- maar in het AAN- of het CC-veld staan.
In dat geval komt stap 2 aan de orde. Er moet worden bekeken of de verzender de betreffende e-mailadressen aan anderen mag geven. Dat is namelijk wat er gebeurt wanneer e-mailadressen niet in het BCC- maar in het AAN- of het CC-veld zijn gezet.
In de AVG en privacywetgeving staat beschreven in welke situaties persoonsgegevens aan een derde mogen worden gegeven. In andere gevallen, is het niet toegestaan. Dit geldt ook wanneer het gaat om e-mailadressen die persoonsgegevens zijn of bevatten. Een voorbeeld van een situatie waarin het wel mag, is wanneer er toestemming is gegeven. In bepaalde gevallen kan het moeilijk zijn toestemming te krijgen. Dat is echter geen reden om een e-mailadres dan zonder toestemming aan een ander te geven.
Mag een e-mailadres worden gegeven aan de andere personen die de e-mail ook ontvangen? Dan is er privacyrechtelijk niets aan de hand. Is dit niet toegestaan? Dan is er sprake van een datalek wanneer de betreffende e-mailadressen niet in het BCC- maar in het AAN- of het CC-veld zijn gezet. Daarbij maakt het niet uit of het per ongeluk of opzettelijk is gebeurd.
E-mailadres is of bevat een bijzonder persoonsgegeven
Houd er echter ook rekening mee dat een e-mailadres bijzondere persoonsgegevens kan bevatten. Dit zijn onder meer gegevens over iemands geloof, seksuele gerichtheid of gedrag dan wel ras en/of politieke opvattingen. Bij een e-mailadres kan bijvoorbeeld gedacht worden aan een e-mailadres waaruit blijkt dat iemand aan een bepaalde kerk is verbonden. Dat zal namelijk in de meeste gevallen iets zeggen over het geloof van de betreffende persoon.
Is een e-mailadres een bijzondere persoonsgegeven of bevat het bijzondere persoonsgegevens? En is er geen sprake van ‘persoonlijk gebruik’? Dan mogen deze alleen aan anderen worden gegeven indien aan strenge voorwaarden is voldaan. Is dat het geval? En mag een e-mailadres worden gegeven aan de andere personen die de e-mail ook ontvangen? Dan is er privacyrechtelijk niets aan de hand wanneer het niet in het BCC- maar in het AAN- of het CC-veld wordt ingevuld. Is dit niet toegestaan? En wordt het toch niet in het BCC- maar in het AAN- of het CC-veld gezet? Dan is er een datalek.
Stap 3. Als er een datalek is: moet het worden gemeld bij de Autoriteit Persoonsgegevens?
Is bij stappen 1 en 2 vastgesteld dat er sprake is van een datalek doordat een groepsmail is verstuurd, waarbij de e-mailadressen niet in het BCC maar in het AAN- of het CC-veld zijn gezet? Dan is stap 3 aan de orde: er moet worden bekeken of het datalek moet worden gemeld bij de Autoriteit Persoonsgegevens.
De hoofdregel is dat een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens. Dit hoeft alleen niet wanneer het niet waarschijnlijk is dat door het datalek een risico ontstaat voor de rechten en vrijheden van mensen.
Bij de beoordeling van het hiervoor genoemde risico moet ook naar alle andere omstandigheden van het datalek worden gekeken. Het kan zijn dat het enkel lekken van de e-mailadressen niet (zo) erg is. De context waarbinnen dit gebeurt, kan echter maken dat er toch een risico ontstaat. Neem bijvoorbeeld een groepsmail die wordt verstuurd naar klanten van een apotheek. Daarin staat dat een bepaald door hen gebruikt (met naam genoemd) medicijn tegen depressies weer op voorraad is. Het is een uitnodiging aan de geadresseerden om langs te komen om het op te halen. Iedereen die deze e-mail leest, kan dan zien dat de gebruikers van die e-mailadressen (of personen waarvoor zij verantwoordelijk zijn) het betreffende medicijn (al dan niet voor zichzelf) afnemen. Ook kunnen lezers uit de e-mail afleiden dat de kans groot is dat de geadresseerden (of personen waarvoor zij verantwoordelijk zijn) last hebben van depressies. Het kan risico’s voor de betreffende personen opleveren indien deze informatie in handen van derden belandt.
Een datalek doordat e-mailadressen per ongeluk niet in het BCC- maar het CC- of het AAN-veld worden ingevoerd, komt zoveel voor dat het een standaardoptie is in het formulier voor het melden van datalekken bij de Autoriteit Persoonsgegevens.
Let op: het melden moet op tijd!
De hoofdregel is dat de melding van een datalek ‘zonder onredelijke vertraging’ maar uiterlijk binnen 72 uur nadat de verwerkingsverantwoordelijke daarvan kennis heeft genomen, moet worden gemeld.
Stap 4. Moet het datalek worden gemeld aan de betrokkenen?
Wordt een groepsmail verstuurd waarbij de e-mailadressen niet in het BCC- staan maar in het AAN- of het CC-veld? En is bij stappen 2 en 3 geconcludeerd dat er sprake is van een datalek dat moet worden gemeld bij de Autoriteit Persoonsgegevens? Dan moet tot slot bij stap 4 worden beoordeeld of het datalek ook moet worden gemeld aan de betrokkenen. Dit zijn de mensen om wiens persoonsgegevens het gaat. Dit laatste klinkt wellicht wat dubbel omdat het gaat om de personen die de e-mail hebben ontvangen. Het kan echter bijvoorbeeld zijn dat dit een minder vaak gebruikt e-mailadres is en/of dat deze personen het (nog) niet is opgevallen.
Wanneer is een melding aan de betrokkenen nodig? De hoofdregel is dat deze melding moet worden gedaan wanneer het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van mensen. Denk bijvoorbeeld aan de situatie waarin de kans groot is dat mensen in gevaar komen wanneer bekend wordt dat zij een bepaalde politieke partij aanhangen. Wordt deze informatie via een datalek openbaar, dan moeten de betrokkenen hierover worden geïnformeerd. Dan kunnen zij proberen het risico af te wenden of zich op een andere manier te beschermen.
Let op: het informeren moet op tijd!
Moeten de betrokkenen worden geïnformeerd? Dan moet dat ‘onverwijld’ gebeuren. Dat betekent zo snel mogelijk.
Is het belangrijk dat aan het privacyrecht wordt voldaan?
De (Europese) wetgevers en toezichthouders vinden het heel belangrijk dat privacywetgeving wordt nageleefd. Daarom staat op het niet naleven daarvan vaak sancties. Dit kunnen zowel boetes zijn (die hoog kunnen zijn) als andere maatregelen. Dit geldt ook voor particulieren. Ook om deze reden is het belangrijk dat datalekken zoveel mogelijk worden voorkomen. Gaat het toch mis, dan is het zaak dat wordt gehandeld op de manier die door het privacyrecht is voorgeschreven. Voor bedrijven en instellingen geldt verder dat dit bijdraagt aan hun professionele uitstraling.
Vragen? Neem vrijblijvend contact met ons op!
Vraagt u zich af of u een bepaalde situatie een datalek oplevert? Of hoe u een datalek moet melden? Wij helpen u graag. Neem dan vrijblijvend contact op met Cathelijne Elassaiss-Schaap via elassaiss@elassaiss.nl of via 0344 – 227 030.