Een alledaags datalek

Laatst kreeg ik een mailtje van een zorginstelling. Het was niet voor mij bestemd, en stond wel vol met vertrouwelijke informatie. Hoe kwam dat zo? Het domein merwe.nl is van mij en dus krijg ik alle mail gericht aan e-mailadresssen eindigend op merwe.nl. De zorginstelling heeft een patiënt Van de Merwe opgenomen en ze willen graag met de familie communiceren.

Het eerste mailtje dat ik kreeg was een uitnodiging voor een familiegesprek. De kans is groot dat ik wel ergens familie ben. Van de Merwe is niet zo’n veel voorkomende naam. Volgens het Meertens Instituut waren er in 2007 in Nederland 808 mensen die zo heten. Die ken ik niet allemaal.  Ik heb de zorginstelling toch laten weten dat zij gebruik maakten van een verkeerd e-mailadres. Het is een beetje slordig, maar kan gebeuren, nietwaar?

Maar dat was nog niet alles. Een paar dagen later kreeg ik namelijk een uitgebreide rapportage over het wel en wee van mevrouw Van de Merwe. Hoe lang ze geslapen heeft, wat ze gegeten heeft, hoe laat ze naar de wc ging en wat ze daar deed en verder details van haar medische staat. Weliswaar kleinschalig, maar volgens mij hebben we hier toch echt een datalek te pakken. Ik vroeg me af of ze mijn mail niet gekregen zouden hebben, maar het antwoord kreeg ik toen ik verder las.

"Heb ik gelijk nog een vraag: Ik zag in een mail welke u afgelopen week naat ons verzonden heeft staan, dat het door ons gebruikte e-mailadres niet juist is. Gaat het dan om het e-mailadres dat ik nu ook gebruik (xxxxx@xxx.merwe.nl). Dit is namelijk het e-mail adres dat bij ons bekend is en dat bij ons in de gegevens verwerkt staat. Mocht u een ander e-mail adres hebben, zou u deze dan naar ons toe kunnen sturen? Dan zorgen wij ervoor dat dit aangepast wordt in het systeem.”

Ik heb gereageerd; Nee, beste medewerker, de familie heeft een ander e-mailadres, maar IK ken dat niet – ik ben niet de geadresseerde mevrouw Van de Merwe-xxx en ik ken haar moeder ook niet. Laat staan dat ik weet, hoe u hen kunt bereiken! 

De Casus

Vooral interessant vind ik dus dat deze medewerker, ook al weet hij/zij dat er mogelijk sprake is van een onjuist e-mailadres, toch gewoon de hele rapportage meestuurt. Nu over naar de meldplicht datalekken. Is dit een lek dat gemeld moet worden, als zoiets zich voordoet na 1 januari 2016? Het College Bescherming Persoonsgegevens heeft in september een consultatieversie gepubliceerd van de Richtsnoeren Meldplicht Datalekken. Inmiddels is de consultatieperiode verstreken, maar de definitieve versie is nog niet gepubliceerd. Als ik de aanwijzingen in deze Richtsnoeren volg kom ik de volgende vragen tegen, die ik beantwoord aan de hand van bovenstaande casus.

  1. Is er sprake van verwerking van persoonsgegevens?
    Antwoord: Ja
  2. Ben ik de verantwoordelijke voor de verwerking of diens vertegenwoordiger? 
    Antwoord: Nee, de meldplicht is dus niet van toepassing op mij maar mogelijk wél op de zorginstelling. we kijken verder...
  3. Is de Wbp van toepassing op de verwerking?
    Antwoord: Ja

Eerste conclusie: de meldplicht uit de Wbp is van toepassing

  1. Zijn de verwerkte persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking? 
    Antwoord: Onbevoegde kennisneming is een vorm van onrechtmatige verwerking, dus ja.
  2. Kan ik redelijkerwijs uitsluiten dat er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt?
    Antwoord: Als je als verantwoordelijke kunt vaststellen dat het lek niet tot onrechtmatige verwerking heeft geleid, dan hoef je niet te melden. Bijvoorbeeld als inloggegevens zijn gelekt, maar je kunt op basis van logging vaststellen dat er geen gebruik van deze gegevens is gemaakt, dan is er uitsluitend sprake van een beveiligingslek en niet van een datalek.In dit geval is het antwoord “nee” en is er dus een datalek.
  3. Valt het datalek (gedeeltelijk) onder de meldplicht datalekken uit de Telecommunicatiewet?
    Antwoord: Nee
  4. Zijn er persoonsgegevens van gevoelige aard gelekt? 
    Antwoord: Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:• Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp Het gaat hierbij om persoonsgegevens over iemands […] gezondheid, […] In dit geval gaat om gegevens over iemands gezondheid, dus ja.

Eindconclusie

Er is sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. U moet het datalek melden aan het CBP.

Melden aan de betrokkene?

Hierna is nog de vraag of het datalek gemeld moet worden aan de betrokkene. In dit geval is dat de cliënt van de zorginstelling, mevrouw Van de Merwe. Volgens de Richtsnoeren moet je hierbij afwegen of het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de betrokkene. De Richtsnoeren geven hierbij aan: “Indien er persoonsgegevens van gevoelige aard zijn gelekt, dan moet u er van uitgaan dat u het datalek niet alleen moet melden aan het CBP, maar ook aan de betrokkene.” De zorginstelling weet niet of ik hun cliënt ken en hoe de verhoudingen in de familie liggen. Het lijkt me correct om de betrokkene in te lichten. 

Kortom, een alledaags mailtje door een van de medewerkers kan deze consequentie hebben.