Een van onze klanten vroeg: “Ik stuurde een nieuwsbrief naar een groep leden, maar ik had per ongeluk iedereen in de cc gezet in plaats van bcc. Oeps. Is dat nou echt een datalek?“
Antwoord van de AVG-expert:
Het korte antwoord: ja, dat is een datalek.
Een cc’tje lijkt misschien onschuldig – iedereen ziet elkaars e-mailadres, so what? Maar volgens de AVG zijn e-mailadressen persoonlijke gegevens. En als mensen elkaars gegevens ongevraagd kunnen zien, is er sprake van ongeoorloofde toegang. En dat… is dus een datalek.
Zeker als het om een grotere groep mensen gaat (bijvoorbeeld cliënten, ouders, leden of klanten), kan zo’n fout vervelende gevolgen hebben. Iemand kan er misbruik van maken, of mensen worden boos dat hun gegevens ‘op straat’ liggen.
Wat moet je doen als het gebeurt?
- Meld het intern bij degene die verantwoordelijk is voor privacy of gegevensbescherming (ook al ben jij dat zelf 😉).
- Beoordeel de risico’s: gaat het om gevoelige info (bijvoorbeeld bij een hulporganisatie)? Is het een kwetsbare doelgroep? Hoe groot is de groep?
- Besluit of je het moet melden bij de Autoriteit Persoonsgegevens (AP):
- Als mensen er schade van kunnen ondervinden, moet je binnen 72 uur melden
- Twijfel? De AP heeft een handige beslisboom
- Informeer de betrokkenen, zeker als het risico voor hen hoog is.
Wat is bcc ook alweer?
In je mailprogramma heb je meestal drie opties:
- Aan: zichtbaar voor iedereen
- Cc: ook zichtbaar voor iedereen
- Bcc: onzichtbaar voor anderen
Bcc (Blind Carbon Copy) is dus wat je gebruikt als je een mail wilt sturen naar een groep mensen zónder dat ze elkaars adres zien.
Hoe voorkom je dit soort foutjes?
- Gebruik altijd bcc bij verzendlijsten of groepen mensen die elkaar niet persoonlijk kennen
- Laat iemand anders even meekijken als je een belangrijke mailing verstuurt
- Gebruik een nieuwsbriefsysteem – dat is sowieso AVG-vriendelijker
- Werk met een stappenplan voor datalekken, zodat je weet wat je moet doen als het toch gebeurt
Een voorbeeld uit de praktijk:
Een vrijwilligersorganisatie stuurde per ongeluk een oproepmail naar 180 leden in de cc. Geen gevoelige inhoud, maar wel alle adressen zichtbaar. Ze meldden het bij hun interne contactpersoon, oordeelden dat er geen schade was, en legden de situatie vast in hun datalekregister – keurig volgens de AVG.
Conclusie
Een fout met een cc’tje lijkt klein, maar kan grote gevolgen hebben. Maak het jezelf makkelijk: zet groepen altijd in de bcc, of gebruik een verzendtool. En gebeurt het tóch? Geen paniek – maar wel melden, beoordelen en vastleggen.
In onze online werkomgeving vind je ook een datalek stappenplan – superhandig! Je kunt het 30 dagen gratis proberen.
Maarten Roelfs is voorzitter van de Stichting AVG. In de rubriek Klantvragen beantwoordt hij vragen van onze klanten over privacy en de AVG./
Stel hem via het contactformulier. Misschien verschijnt jouw vraag én ons antwoord dan in deze rubriek.
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
