De Meldplicht Datalekken is sinds 1 januari een feit. Het is dus extra opletten geblazen bij het werken met persoonsgegevens. Dat zal even wennen zijn, zeker als u weet dat ook zoiets ‘simpels’ als een mailing of – in het algemeen – een mail aan meerdere personen tegelijk versturen al aanleiding kan zijn voor een probleem.
Kort voor de jaarwisseling is de Meldplicht Datalakken gepubliceerd in de Staatscourant. Het is nu dus officieel en de bewustwording binnen de organisatie zal snel op gang moeten komen. Neem bijvoorbeeld een mailing of bekendmaking aan een groep mensen die werkzaam zijn bij verschillende organisaties. Van tijd tot tijd gaat daarbij iets fout: alle geadresseerden horen te zijn opgenomen in het BCC-veld, maar ze komen terecht in het CC-veld. Gevolg is, dat alle geadresseerden niet alleen van elkaar weten dat ze in hetzelfde bestand zitten, maar dat ze nu ook elkaars mailadres kennen. Omdat persoonlijke mailadressen – ook zakelijk gezien – gelden als persoonsgegeven, is deze CC-fout een overtreding van de Meldplicht.
IT-jurist Arnoud Engelfriet kreeg de vraag voorgelegd of zo’n CC-fout ook zou kunnen leiden tot een boete volgens de Meldplicht Datalekken. Bij nieuwe wetgeving is interpretatie altijd extreem belangrijk, zeker tot het moment dat er de nodige jurisprudentie voorhanden is. Volgens hem is de kernvraag dus hoe zo’n fout kan worden uitgelegd. Is het belangrijkste aspect ‘onzorgvuldigheid’ (te snel gestuurd en niet opgelet) dan ligt een boete niet voor de hand. Telt het echter zwaarder dat organisaties zoiets niet alleen zouden moeten weten maar ook kunnen voorkomen, dan kan een boete wel eens het gevolg zijn.