Nadat medio 2018 de AVG werd ingevoerd was iedereen druk bezig met privacy en de bescherming ervan. Wat er nu nog van lijkt te resteren zijn met name de opdringerige herhaaldelijke cookie-mededelingen op internet en andere meer omslachtige wijzen van communiceren door bijvoorbeeld overheden en verzekeraars.
Toch gaat het eigenlijk om bewustwording in de praktijk. En daar ontbreekt toch nog vaak feeling en kennis: zo werden wij enkele dagen geleden met onze privé-telefoonnummers toegevoegd aan een Whatsappgroep met behoorlijk veel vreemden. Die Whatsappgroep was opgezet namens een vereniging in ons netwerk met het doel om kaarten te verkopen voor een fundraiser. Onze eerste respons: “Aha, datalek!”
Nu zijn wij wellicht vakidioten om dat meteen te denken, maar laten we het even doorlopen:
Als datalek wordt aangemerkt onder meer een inbreuk op de vertrouwelijkheid, wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
Persoonlijke telefoonnummers gelden als persoonsgegeven in de zin van de wet.
Wij zijn zelf geen lid van de vereniging maar een lid van de vereniging heeft onze nummers, zonder onze toestemming toegevoegd aan de groep, met een commercieel/idieëel oogmerk. In Whatsapp kan je van alle toegevoegde leden de nummers zien en opslaan. Vaak voegt Whatapp er automatisch een naam of mededeling aan toe bovendien. De vereniging is een rechtspersoon en als zodanig te zien als verwerker van persoonsgevens in de zin van de AVG.
Als we een individueel appje hadden gekregen, dan was er weinig aan de hand geweest. Maar uit een stukje gemakzucht vanuit de vereniging wordt een groep aangemaakt, en dus worden alle telefoonnummers ook met alle andere groepsleden gedeeld. Onze toestemming daartoe ontbreekt, even als een (objectief) gerechtvaardigd belang zijdens de vereniging.
Naar onze mening is dat een datalek.
Wat zijn dan de gevolgen: Een datalek als het onderhavige zal aan de Authoriteit Persoonsgegevens moeten worden gemeld, evenals aan de betrokkenen (dus alle mensen in de groep). Ook moet de vereniging intern vastleggen dat dit is gebeurd en concrete stappen zetten om herhaling te voorkomen.
Kijkend naar het handelen van de Autoriteit Persoonsgegevens tot nu toe zal een kleine lokale vereniging voor zo’n misser niet snel een boete van tonnen hoeven verwachten. Educatie en bewustwording is uiteindelijk belangrijker. Juist in het alledaagse speelveld is veel winst te behalen als het gaat om verstandig om gaan met persoonsgegevens.
Een persoonlijke noot: uiteraard zijn wij er niet de personen naar om een vereniging een dergelijke actie aan te rekenen en we maken er dan ook geen punt van. We nemen het noch de vereniging in kwestie, noch de persoon die ons toevoegde aan die groep kwalijk. Maar vanuit onze beroepsachtergrond zijn het nu eenmaal voorvallen die ons opvallen.