UW RAADSMAN - 26.03.2024

Per ongeluk gevoelige informatie gedeeld, wat te doen?

Een makelaar stuurde woningzoekers die bij hem zijn ingeschreven, een e-mail over een nieuwbouwproject. Hij voegde echter bij deze e-mails een Excel-bestand toe met daarin alle financiële gegevens van de potentiële kopers. Wat zei de rechter?

Gevoelige informatie. Het makelaarskantoor stuurde de e-mail naar maar liefst 1.100 geïnteresseerden. In het Excel-bestand stonden niet alleen de persoonsgegevens van alle 1.100 geïnteresseerden, maar ook hun jaarinkomens, hoeveel eigen geld ze kunnen inbrengen en hoeveel hypotheek ze maximaal kunnen krijgen.

Dat is dus een fors datalek

Meteen gezien. Al snel na het versturen van de e-mails drong het tot de makelaar door dat er een grote fout was gemaakt. Hij ondernam direct actie en stuurde alle geadresseerden een e-mail met het verzoek de e-mail te verwijderen en de bijlage niet te openen.

Excuus-e-mail. De makelaar bood in de e-mail zijn excuses aan en meldde ook dat hij in de toekomst zorgvuldiger zou zijn: “Rest mij u niets anders dan u onze welgemeende excuses aan te bieden. Wij nemen privacy en veiligheid zeer serieus. Helaas hebben wij dit in uw geval niet waar kunnen maken, maar we zullen er alles aan doen om uw gegevens vanaf nu wel zo goed mogelijk te beschermen.”

Melding bij Autoriteit Persoonsgegevens. De makelaar meldde dit datalek bij de Autoriteit Persoonsgegevens (AP) en verwerkte deze inbreuk op de persoonsgegevens in zijn datalekregister (art. 35 lid 5 AVG) , maar hij ondernam verder geen actie. Hij vond dat er simpelweg sprake was van een domme fout waarop hij adequaat had gereageerd.

Geadresseerde leed schade

Anne is een van de betrokkenen en zij vindt dat zij extra benadeeld is, omdat zij als eerste te zien is als het bestand wordt geopend. Haar naam begint immers met een A, waardoor ze vooraan staat. Bovendien ontvangt ze sinds de e-mail vaker spam, waardoor ze zich onveilig voelt. Ze weet immers niet waar haar gegevens allemaal zijn terechtgekomen. Ze stapt daarom naar de rechter en eist een schadevergoeding van maar liefst € 20.000.

Wat vindt de rechter daarvan? De rechter oordeelde dat met overtreding van de AVG, dus met het datalek waardoor betrokkenen niet weten waar de persoonsgegevens zijn beland, de schade een gegeven is (ECLI:NL:RBROT:2022:1420) . Toch oordeelt de rechter mild. Het gaat hier niet om het openbaar maken aan een algemeen publiek, maar om ‘slechts’ aan 1.100 personen. Verder vindt de rechter van belang dat het een menselijke fout betreft waarbij de makelaar direct schadebeperkend heeft gehandeld. De inbreuk is ook direct bij de juiste autoriteiten gemeld. Zo blijven de gevolgen van deze fout beperkt. Anne ontvangt een schadevergoeding van € 250.

Hoe handelt u correct?

Wees voorbereid. Zorg dat uw bedrijf en uw medewerkers weten hoe te handelen als zich een datalek voordoet. Volg direct dit stappenplan en zorg dat dit stappenplan bij iedereen bekend is.

  1. Maak een analyse van wat er is gebeurd.
  2. Probeer de schade te beperken. Vraag bijv. de geadresseerde van een verkeerd verzonden e-mail om deze e-mail te verwijderen, ook uit de prullenbak.
  3. Check of u dit datalek moet melden bij de Autoriteit Persoonsgegevens en vermeld het altijd in uw eigen datalekregister.

Gebruik het Stappenplan: kom in actie bij een datalek dat u vindt op https://www.tipsenadvies.nl , Download Zone, jaargang 29, nr. 3.

Een onrechtmatige verwerking van persoonsgegevens kan een datalek tot gevolg hebben. Handel zoals het hoort en gebruik het stappenplan van de Autoriteit Persoonsgegevens. Zo beperkt u de schade, ook als u vervolgens toch voor de rechter moet verschijnen.

Contactgegevens

Indicator BV | Schootense Dreef 31 | Postbus 794 | 5700 AT Helmond

Tel.: 0492 - 59 31 31 | Fax: 040 - 711 17 00

klantenservice@indicator.nl | www.indicator.nl

 

KvK-nummer: 17085336 | Btw-nummer: NL-803026468B01