Gemeente Woensdrecht laconiek over datalek dat al jaren bestaat
Sinds 25 mei 2018 geldt in de hele EU dezelfde wetgeving aangaande privacy. Die moet er onder meer voor zorgen dat persoonsgegevens niet zomaar op straat komen te liggen. Dat gaat niet altijd goed en normaal gesproken wordt dat als een serieus probleem gezien door de organisatie die de mist in ging. De gemeente Woensdrecht maakt zich er een stuk minder druk om.
Door: Hans-Jorg van Broekhoven
In Nederland heet de wet de AVG: Algemene verordening gegevensbescherming. Recent nog was er in Roosendaal sprake van een serieuze rel, omdat daar twee keer kort achter elkaar mails zijn verstuurd waarin alle mailadressen van de geadresseerden zichtbaar waren. Normaal gesproken zet een verzender die in BCC (Blind Carbon Copy), waardoor ze onzichtbaar blijven voor de ontvangers.
Meldingsplicht
Toen het mis ging bij de gemeente Roosendaal leidde het tot behoorlijk wat ophef. De organisatie heeft mede daarom besloten hun zogenaamde ‘dagmail’ met actuele informatie in te wisselen voor een nieuwsbrief en een andere verzendwijze, om herhaling te voorkomen. De AVG legt namelijk een verantwoordingsplicht bij de betreffende organisatie, alsmede een meldingsplicht. Er dient, wanneer het mis is gegaan, melding van te worden gedaan bij de Autoriteit Persoonsgegevens. Soms ook bij de mensen wiens gegevens gelekt zijn. Daarnaast is een organisatie verplicht een datalekregister te hebben en daarin moet worden opgenomen wat er mis ging.
Woordvoerder ziet het probleem niet
Bij de Gemeente Woensdrecht lijkt men het allemaal wat minder serieus te nemen. Geregeld krijgt onze redactie e-mails binnen van woordvoerders met daarin zichtbaar de nodige al dat niet persoonlijke e-mailadressen. Dat gaat al jaren zo, terwijl juist bij een overheid duidelijk zou moeten zijn dat dit absoluut niet meer kan. We vroegen senior communicatieadviseur Jan Prop om een reactie hierop. Het enige dat hij erover kwijt wilde was: “We zullen het aanpassen en in het vervolg eenieder in BCC zetten.” Niets over het feit dat men zich dit blijkbaar niet bewust was. Niets over de verplichte stappen die er aan gekoppeld zouden moeten worden, waaronder melding bij de Autoriteit Persoonsgegevens. Blijkbaar maakt zo’n langdurig datalek hier geen enkele indruk.
Update, 27-10-’20 – 16.34 uur: Inmiddels heeft de functionaris gegevensbescherming van Gemeente Woensdrecht contact opgenomen en laten weten dat onze melding wel degelijk serieus genomen wordt. Hij gaat uitzoeken in hoeverre er sprake is geweest van een datalek, deze keer en alle eerdere keren dat er op deze wijze gemaild werd. Er volgt binnen 72 uur een oordeel over de kwestie en eventueel een melding aan de Autoriteit Persoonsgegevens. De functionaris noemde het feit dat onze redactie eerder meldingen deed over datalekken, maar dat daar nooit iets mee gedaan werd, een kwalijke zaak.