Wanneer is een cc een overtreding van de privacywet (en dus boetewaardig)?

mail-to-cc-bccEen lezer vroeg me:

Recent kreeg ik een aankondiging van een webwinkel. Ik niet alleen, nog 254 andere mensen ook. Ja, exact 254, want ik kon de mailadressen van iedereen zien in het cc: veld. Is dat nu ook een datalek? Wat voor boete staat erop?

Per 1 januari bevat de Wbp een meldplicht datalekken, maar belangrijker: vanaf dat moment mag de Autoriteit Persoonsgegevens (de new, tough Cbp) boetes opleggen voor overtreding van zo ongeveer elke bepaling uit de privacywet. De voor mij belangrijkste bevoegdheid is die van het schenden van je beveiligingsplicht, kort gevolgd door de verwerking zonder grondslag.

Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt. En ja, dat kan al zo simpel zijn als het gebruiken van het cc: veld in plaats van bcc: als je meerdere ongerelateerde mensen wilt mailen.

In oktober publiceerde het Cbp concept-beleidsregels over boetes. Deze zijn nog niet definitief maar ik verwacht niet dat ze héél anders gaan worden. In het kort classificeert men overtredingen in drie categorieën (licht, middel, zwaar). Per categorie is er een basisboete en een bandbreedte, en de boete wordt vastgesteld als de basis plus of min ten hoogste de bandbreedte. De exacte hoogte van de plusmin volgt uit het concrete geval.

Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen valt in categorieën middel of zwaar, zo blijkt uit het concept. Daarmee ligt de boete in beginsel op zijn minst op € 120.000, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe duurder het wordt.

Een boete kan echter pas opgelegd worden nadat een aanwijzing over de overtreding niet is opgevolgd, of als blijkt dat sprake is van opzettelijk of grof nalatig handelen. Die gaat nog een lastige worden bij cc-foutjes, omdat dat vrijwel altijd onnadenkend gebeurt. Je wilt bcc, je klikt niet goed en je drukt te snel op verzenden. Dat kan ik geen ‘opzet’ noemen. Van grof nalatig, of beter gezegd ‘het gevolg van ernstig verwijtbare nalatigheid’, is sprake

indien de overtreding het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen.

Ik denk dat de term ‘grof’ op al die andere kwalificaties slaat, dus grof onzorgvuldig, grof onachtzaam of grof onoordeelkundig. En dat houdt dan in dat je niet zomaar onachtzaam of onzorgvuldig moet zijn geweest maar best wel heel erg. En dán wordt het spannend, want is dit iets dat iedereen zou moeten weten en niet moeten laten gebeuren, of is dit het soort dikkevingerfout dat iedereen kan overkomen en dus ‘gewoon’ onzorgvuldig is?

Arnoud

41 reacties

  1. Typisch iets wat iedereen uiteindelijk wel een keer overkomt. Je kijkt 10 keer je bent moe en ziet het over het hoofd. Het zou wel een erg sneue bedoeling worden als daarvoor boetes uitgedeeld gaan worden. En bij heel veel verenigingen is het vrijwilligers werk en gebeurd het uit onwetendheid. Willen we mensen/verenigingen die heel veel zaken belangeloos doen straks boetes op gaan leggen van duizenden euro’s? Dan is A de vereniging in 99% van de gevallen failliet en de persoon in kwestie vaak ook en dat lijkt mij totaal onevenredig van tov de schade… als je daar al van kan spreken.

    1. Onwetendheid, zeker. Al dan niet bewust in stand gehouden via: “het is maar een e-mailadres, wat maakt dat nou uit? Wat heb jij in vredesnaam te verbergen?”. Educatie van het nut van bcc-velden zou mij ook liever zijn dan boetes, maar ik zie niet echt hoe die educatie dan zou moeten.

      1. Wat heb jij in vredesnaam te verbergen?

        Nou bij de situaties waar ik op doelde helemaal niets, iedereen kent elkaar meestal al en mailen onderling doen ze toch al. Context is hierbij wel een sleutelwoord. Als bol.com dit zou overkomen dan is het wel een totaal ander verhaal dan “stichting paardrijden voor gehandicapten”. In geval 1 kan er idd miscchien wel schade optreden in geval 2 nee echt niet. En educatie is vrij makkelijk een reply met iets van de volgende strekking: “Dit is misschien niet zo handig, zou je in vervolg het bcc veld willen gebruiken en de e-mail naar jezelf willen sturen” is meestal afdoende. Of de volgende keer dat je die mensen spreekt het ze even uitleggen. Een vergissing/onwetendheid is wat anders dan grove nalatigheid.

  2. Mijn mening is, dat als je meer dan 1 adres in een To-, Cc-, of Bcc-veld invult, je verplicht bent om bepaalde zorgvuldigheidscontroles in acht te nemen. Je weet dat je een e-mail aan meerdere personen gaat versturen, dus je moet gewoon even die extra tijd nemen om te controleren welk adresveld je hebt gebruikt. Desnoods gebruik je een plugin om nog even te waarschuwen: “U gaat een e-mail aan meerdere personen versturen. Weet u dat zeker? [Ja][Nee]” of iets van die strekking. Als je dan toch nog fouten maakt, is dat gewoon aan te rekenen als grove onzorgvuldigheid.

    1. Dus; Microsoft (en andere e-mailclient-makers) is grof nalatig/faciliteert het schenden van privacy door bij een groot aantal (verschillende) e-mailadressen in het To, of Cc veld geen waarschuwing tonen.

      Wat op auteursrecht gebied kan, kunnen we ergens anders ook natuurlijk.

      1. Naar aanleiding van deze vernieuwde wetgeving zouden de e-mailclientmakers inderdaad een update mogen uitbrengen waarin deze waarschuwing op meerdere ontvangers plaatsvindt. Misschien met een configureerbaar minimum aantal ontvangers.

  3. Ik denk dat het heel erg af zal hangen van de aard van de boodschap. Als het realistisch is dat de ontvangers elkaars contactgegevens ook onderling hebben dan lijkt een CC prima. Is het echter niet zo of dien je extra veiligheid in acht te nemen omtrent de privacy van de ontvangers, dan lijkt het mij veel problematischer.

    Misschien niet het voorbeeld waar je op hoopt, maar wel heel toepasselijk: In November verstuurde de BDSM vereniging Samarium per ongeluk alle uitnodigen voor een feest per CC, waardoor een boel mensen elkaars contactgegevens en identiteiten konden achterhalen. Er werd publiekelijk excuses gemaakt maar het kwaad was al geschiet.

    Ik weet echter niet of een boete in dit geval daadwerkelijk helpt. Het zal de stichting opdoeken maar dat is iets wat de meeste leden niet willen. In veel gevallen vermoed ik dan ook dat een boete weinig doet om de schade van slachtoffers te compenseren. Nu zal het bij Samarium wel los lopen (want ons-kent-ons) maar bij een ander platform zou het mensen hun baan of gezinsleven kunnen kosten.

    Het zou interessant zijn als het CBP 2.0 ook de mogelijkheid krijgt om slachtoffers te compenseren of om preventief te handelen/controleren, zodat de risico’s al eerder worden beperkt. Het is een gevalletje ‘Als het kalf verdronken is, dempt men de put’.

  4. Ik denk dat er nog wel een paar kanttekeningen te maken zijn.

    Zijn emailadressen bijvoorbeeld wel persoonsgegevens? Zijn het niet gewoon codes? Het email adres Jan.Jansen@amsterdam.nl kan wel aan aan Sophie Smith uit Salamanca toebehoren.

    En bovendien, is een lijst met emailadressen niet gewoon dat, een lijst? Kerkstraat 1, Dorpsplein 12, etc. Natuurlijk kun je gaan kijken wie er op een bepaald adres woont, als je dat interesseert, maar dat vormt niet direct een privacyinbreuk.

    Het enige probleem zou misschien zijn dat dat betreffende emailadres iets te maken heeft met het onderwerp van de email. En dan zou je dus weten dat het emailadres Jan.Jansen@amsterdam.nl op de mailinglist van de voetbalclub staat. Maar dat wil niet zeggen dat Sophie Smith uit Salamanca interesse heeft in voetbal.

    Kortom, ik vind het allemaal vergezocht.

    Natuurlijk zou ik het niet leuk vinden als mijn emailadres op de mailinglist van de geslachtziektenkliniek zou staan, maar dan nog.

    Het wil niet zeggen dat ik daar patient ben. Misschien staat dat er wel op omdat ik voorlichting over geslachtsziekten wil geven? Of omdat een of andere grappenmaker het erop gezet heeft. Of omdat iemand mijn identiteit gekaapt heeft, of omdat ik de webdesigner of accountant daarvan ben.

    1. Een gegeven is een persoonsgegeven als het over één identificeerbare persoon gaat. Jan.jansen@amsterdam.nl is dus net zo goed een persoonsgegeven als henkiepenkie123@hotmail.com of anon43128@anon.penet.fi. De impact van misbruik van dit persoonsgegeven valt inderdaad meestal wel mee, maar afhankelijk van context kan het toch aardig onprettig zijn. Want dan moet jij gaan uitleggen “ja nee dat was een grappenmaker”. Tuurlijk cg, zou ik ook zeggen als mensen zien dat ik lid ben van de Stichting Red de Schaamluis.

      1. Ja maar toch wringt er iets… Ik roep een willekeurige datum, 12 juni 1963. Dat zal wel de geboortedatum van iemand zijn. Of ik verzin een adres, Stationsstraat 3 in Utrecht, daar zal wel iemand wonen. Of een emailadres, johnsmith1 at gmail.com.

        Heb ik dan persoonsgegevens gecreeerd, zo uit het niets? Nee toch zeker.

        Wel, zo is het ook met een lijst van emailadressen. Die zullen wel van iemand zijn, maar zolang ik verder niets weet van die personen, zolang niet eens zeker is dat het echte emailadressen van bestaande personen zijn, is het niets anders dan een lijst van codes.

        1. Als je het verzint dan gaat het niet om een identificeerbaar persoon. Je moet het kunnen herleiden naar een persoon waar de verwerker een relatie mee heeft. De verwerker weet dat bij een bepaald persoonsgegeven een bepaalde actie hoort.

          Pas als jij iets gaat doen met je zelfverzonnen persoonsgegeven (bijvoorbeeld er een e-mail naar sturen en bij houden wie het gelezen heeft) dan wordt het een persoonsgegeven.

        2. Klopt, het moet door jou (of door jouw publiek) redelijkerwijs te herleiden zijn tot een persoon. De geboortedata van mijn vrienden in mijn adresboek (of in Facebook) zijn dus persoonsgegevens, maar voor jou zou “11 december 1974” alleen een geboortedatum zijn als je 11 dagen geleden ook mijn blog las.

          Het voelt wat formeel om te zeggen “ik weet niet of dat e-mailadres van een persoon is”. Gewoonlijk is het de bedoeling dat je e-mails stuurt naar e-mailadressen in de verwachting dat een persoon ze leest. Derhalve is redelijkerwijs een e-mailadres als persoonsgegeven te beschouwen. Je kunt de persoon achter het adres benaderen, en vaak staat een naam in het mailadres zodat identificatie ook langs die weg mogelijk is.

          1. Ik begrijp wel dat je zegt dat het wat formeel aanvoelt, maar ik denk wel dat het een fundamentele issue is.

            Ik kan natuurlijk een email sturen naar dat emailadres en bekijken wat er terugkomt. Of ik kan naar Stationsstraat 3 in Utrecht gaan, en daar aan bellen en vragen hoe de bewoner heet.

            Prima, dan zijn het persoonsgegevens.

            De grote vraag is natuurlijk: Wanneer wordt iets van ‘zomaar een adres’ een persoonsgegeven? Als het welke moeite kost om van een gegeven een persoongegeven van te maken, wordt het vanzelf een persoonsgegeven?

            Ik vind zelf dat het met de wil van de lezer te maken heeft. Als ik een cc lijst zie en ik denk ‘eens kijken of er bekenden bijstaan’ of ‘hoera nu heb ik het emailadres van dat mooie meisje achter de balie’ zijn het persoonsgegevens. Als ik de cc lijst zie en denk ‘wat een lange lijst, een kwaadwillende zou daar heel wat schade mee kunnen doen, maar het interesseert me verder niet’, zijn het geen persoonsgegevens.

            Daar kun je natuurlijk juridisch niets mee 🙂

            1. Het juridisch criterium is of een persoon met kennis van het gegeven redelijkerwijs in staat is tot herleiden daarvan tot de persoon die het betreft. Dus ja, enige moeite mag het kosten maar niet bizar veel. Maar het is dus niet pas een persoonsgegeven als het herleid ís.

              Bij een emailadres lijkt me het redelijkerwijs herleidbaar. Het is evident een gegeven over één persoon, vaak staat de naam ín het mailadres en een mailtje is zo gestuurd. Bovendien, en dat is voor mij de doorslag, je wíl dat het een adres van een persoon is want je wilt er wat heen sturen (bijvoorbeeld reclame). Sommige mailadressen zijn van organisaties (pr@ of info@) en sommige van apparaten (scanner@) maar wie wil er een scanner mailen? Daarom voelt “het kán een apparaat of organisatie zijn” niet als adequaat tegenargument.

              1. Nee, het is niet pas een persoonsgegeven als het herleid is, dat ben ik met je eens. Maar het is ook geen persoonsgegeven als het simpelweg een willekeurig adres is.

                Het is mij een raadsel wanneer het dan wel een persoonsgegeven wordt. Als ik besluit om eens te gaan kijken wie op dat adres woont? Als ik daadwerkelijk in de auto ben gestapt? Als ik daar in de straat sta? Als ik aangebeld heb? Ik weet het echt niet.

                1. Maar het is ook geen persoonsgegeven als het simpelweg een willekeurig adres is.

                  Is dat zo? Ik heb in het verleden wel eens spam gekregen die gezien de overige adressen in de ’to’ puur een toevalstreffer moet zijn geweest. Als je e-mailadres aaa@aaa.net is krijg je volgens mij aanzienlijk meer spam. Volgens mij gaat de Wbp over het ‘verwerken’ van persoonsgegevens, dus ook al is een willekeurig adres wel een persoonsgegeven, overtreed je de wet pas als je er iets mee doet (zoals even langsgaan om te kijken wie er op een adres woont).

                  Ik heb in meerdere discussies hier de woordconstructie ‘wordt een persoonsgegeven’ gelezen en volgens mij is dat een misvatting. Iets is, of iets is niet een persoonsgegeven. Dat is een statische eigenschap die onafhankelijk van de bezitter van dat gegeven is (en of deze bezitter al dan niet in staat is het gegeven te herleiden tot een persoon). Tenminste, zo begrijp ik het.

                  1. Je schrijft: Iets is, of iets is niet een persoonsgegeven.

                    Dat kan niet waar zijn want dat leidt tot de absurde situatie dat jij en ik zoveel persoonsgegevens kunnen genereren, gewoon uit het niets, als we willen, zoals ik bovenstaand heb proberen duidelijk te maken.

                    1. Ik denk in mijn naïeviteit dat je met het simpelweg googlen van emailadressen al een heel eind zou kunnen komen, aangezien die meestal ook worden gebruikt als inlognamen en dergelijke. Diensten als mailinator zijn relatief onbekend. Daarom vermoed ik dat dat herleiden wel eens simpeler zou kunnen zijn dan wij met ons allen denken. Leest er een cybersecurityexpert mee die hier een licht op kan laten schijnen?

                    2. Hoezo is dat absurd? Ik probeerde te beargumenteren dat ook gegenereerde gegevens persoonsgegevens kunnen zijn, blijkens de spam die ik wel eens gekregen heb waarbij de gegeneerde tekenreeks (+ @hotmail.com) een persoonsgegeven van mij bleek te zijn. Waarschijnlijk waren veel van de gegenereerde tekenreeksen geen persoonsgegeven, maar genoeg om het voor de spammer interessant te maken om het toch te proberen. Oftewel, of iets een persoonsgegeven is heeft geen verband met hoe men aan dat gegeven gekomen is (webformulier, gekochte database, random generator / chimpansees met typmachines), noch in wiens handen die gegevens zijn (“voor mij is het geen persoonsgegeven want ik kan niet herleiden, dus ik kan deze niet-persoonsgegevens veilig verkopen aan meneer de spamkoning”).

                      Ik blijf dus bij mijn constatering dat ‘bool isPersoonsgegeven’ een statische eigenschap is. Wel vraag ik me af of een niet-persoonsgegeven zoals een niet-bestaand e-mailadres ooit een wel-persoonsgegeven kan worden op het moment dat iemand toevallig dat e-mailadres registreert. Maar goed, dat is wel een beetje vergezocht. (Anders loop ik ook gevaar aangezien ik altijd Testnaam op Teststraat 1 in Teststad gebruik als ik een webformulier moet testen)

                      1. Daar ben ik het niet mee eens. Een willekeurige datum of e-mail adres kan geen persoonsgegeven zijn er is namelijk helemaal geen link met een persoon. Pas als een gegeven aan een persoon is gekoppeld dat wordt het een persoonsgegeven.

                        In mijn agenda staan een heleboel data maar dat zijn toch geen persoonsgegevens omdat er toevallig ook wel iemand geboren is/wordt op die datum?

                        1. Die link is er wel, jij kent die link alleen niet. Het is dan ook niet verboden om persoonsgegevens te hebben, alleen maar om ze te verwerken. En een datum is niet te herleiden tot iemand, door niemand. Alleen als je dit gegeven combineert met andere gegevens waarmee het mogelijk wordt de datum te zien als de geboortedatum van een specifieke, herleidbare persoon, dan is het een persoonsgegeven.

                          In de statement “iets is een persoonsgegeven of niet” kan een datum, sec, nooit een persoonsgegeven zijn. Het persoonsgegeven kan wel bestaan uit een set gegevens waarvan de geboortedatum een onderdeel is maar ook elementen bevat waarmee die set als geheel te herleiden is tot een persoon. Soms bevat de set maar 1 element die mogelijkerwijs gelijk al te herleiden is tot een persoon, bijvoorbeeld een e-mailadres. Dat wil zeggen: {“geboortedatum” : “01-01-1979”} is geen persoonsgegeven, maar {“geboortedatum”:”01-01-1970″, “e-mailadres” : “matthijs@mailinator.com”} wel. Dat maakt de geboortedatum niet ineens een persoonsgegeven, maar de set als geheel wel. Dat is ook de reden dat Big Data lijnrecht tegenover privacy staat, omdat het met Big Data mogelijk is om verschillende sets te combineren waarbij de nieuwe set persoonsgegevens betreft terwijl dit voorheen alleen losstaande data betrof.

                          @Arnoud: Ja, inderdaad, in die zin is het een dynamisch gegeven. In temporele zin kan een gegeven van status veranderen doordat de herleidbaarheid veranderlijk is. Ook met gegenereerde e-mailadressen kan het zo zijn dat een adres voorheen niet bestond (en dus geen persoonsgegeven was) en plotseling iemand dat adres registreert en daarmee het gegeven een persoonsgegeven maakt. De enige functie die dus telt is het kunnen herleiden van het gegeven tot een persoon, en dat is veranderlijk over de tijd. Alle andere variabelen, zoals of ik persoonlijk in staat ben die herleiding te doen, of hoe ik aan het gegeven gekomen ben zijn irrelevant.

                          1. Het CBP zegt er zelf dit over:

                            Verband tussen gegeven en persoon Niet elk technisch of toevallig verband tussen een gegeven en een persoon is dus voldoende om dat gegeven een persoonsgegeven te doen zijn
                            Dit geeft al aan dat het niet gewoon true/false is maar dat het af hangt van andere waarden. Als ik alle combinaties van voornamen, achternamen en geboortedata laat genereren dan zijn dat nog steeds geen persoonsgegevens omdat er geen link is met een echt persoon, er is slechts een toevallig verband.

                            Voor het CBP is er geen overigens verschil tussen het hebben en het verwerken van gegevens. Zodra je ze hebt, verwerk je ze.

                            1. Hmm, ok. Ik vind het raar dat als iemand mijn e-mailadres heeft ‘gegenereerd’, dat dat geen persoonsgegeven is alleen maar omdat het verzonnen is.

                              Voornamen en achternamen, evenals geboortedata kun je natuurlijk veilig genereren omdat die niet direct herleidbaar zijn tot 1 persoon. Als het je lukt mijn voor-, achternaam, geboortedatum en woonplaats te genereren, dan wordt het dubieus. Aan de ene kant kun je claimen dat er, omdat je niet weet welke gegevens correct zijn, slechts toevallige verbanden kunnen bestaan (wat volgens je quote zou mogen). Aan de andere kun je zeggen dat het wel een persoonsgegeven is maar je vanwege de gebruikte methode niet kunt weten dat dit zo is en dus tamelijk nutteloos.

                              Overigens staat er in je quote “Niet elk toevallig verband is een persoonsgegeven”, dat is iets anders dan “elk toevallig verband is niet een persoonsgegeven”.

                              Op z’n minst zou ik bij het gebruik van gefingeerde gegevens iets melden a la de melding bij aftitelingen: “All characters appearing in this work are fictitious. Any resemblance to real persons, living or dead, is purely coincidental.” 🙂

                      2. Helaas is het volgens het Cbp een dynamisch gegeven. Een huisadres kan nu een bedrijf betreffen, maar over 3 jaar gaat er iemand antikraak wonen en dan is dat adres ineens zijn adres. Of het IP-adres van een bedrijfje wordt door Ziggo opnieuw uitgegeven en ditmaal aan een particulier. Dus nee, dat is niet vergezocht.

                        Waar het uiteindelijk om gaat, is of het gegeven met een redelijke inspanning te herleiden is tot een persoon. Bij verzonnen gegevens is dat niet zo. En ook als je echte voor- en achternamen gebruikt, kom je er niet. Als ik zeg “Jan de Vries”, welke van de 250.000 Nederlanders bedoel je dan? Maar als ik zeg, “de Jan de Vries geboren 23-5-1959 en woonachtig te Appelscha” dan heb ik er misschien wél eentje.

                        1. “Maar het is ook geen persoonsgegeven als het simpelweg een willekeurig adres is.”

                          Het is alleen in het kader van datalekken nooit een willekeurig adres. Als de e-mail uit het bovenstaande voorbeeld van je concurrent afkomstig is, weet je meteen wie zijn relaties zijn. Dat is opeens al heel veel informatie, zelfs al ben je niet in staat élk gelekt adres tot een persoon te herleiden.

                          “Waar het uiteindelijk om gaat, is of het gegeven met een redelijke inspanning te herleiden is tot een persoon. Bij verzonnen gegevens is dat niet zo.”

                          Was het niet ooit zo dat spammers mailadressen verzonnen op basis van bekende domeinnamen? Achter john88@gmail.com zal vast iemand zitten.

        3. Als je aannemelijk kunt maken dat je (e)mail naar zelfverzonnnen adressen stuurt lijkt me dat dat geen overtreding van de privacy wetten kan zijn, maar dan ben je gewoon aan het spammen (en je probeert wellicht nog iets anders illegaals te doen) en het lijkt me dat je daar eerder een boete voor krijgt. Verder zie ik geen probleem met zelfverzonnen “persoons”-gegevens of zie ik iets over het hoofd?

    2. Het genoemde e-mailadres behoort niet aan Sophie Smith uit Salamanca zag ik in het outlookadresboek van de gemeente…. Misschien dat Jan niet heel blij wordt als zijn mailadres hier geharvest wordt, maar gelukkig is het spamfilter op amsterdam.nl vrij goed.

  5. Het probleem is eenvoudig af te vangen in bv Postfix door daarin een check te maken op een maximum aantal ontvangers in To: of Cc:. Dat kan iedere beheerder gewoon instellen. Je kunt je afvragen of het, gegeven alle ongelukjes die hiermee al geweest zijn, het tegenwoordig nalatig genoemd kan worden dat je zo’n check niet in je outgoing MTA inbouwt.

    1. Ja en dan? Ga je de MTA het mailtje laten bouncen terug naar de verzender, die dan niet snapt wat er gebeurd en de helpdesk gaat bellen? Klinkt leuk die opties in de MTA te verwerken, maar of het praktisch is….

  6. 254 is max_byte – 1, toeval?

    Worden dit soort mails niet meestal door een of ander automatisch systeem verzonden? Meestal versturen die systemen 1 mail per klant, gewoon in het ’to’-veld. Maar inderdaad, ik heb ook wel eens een commerciële mail gekregen met meerdere adressen in de cc. Niet echt een fijn idee omdat je dan mogelijk ook in de spamlijst van een andere partij terecht komt. Als bedrijf ook niet echt slim om de adressen van je klanten te geven aan je concurrenten. Boetes vind ik wel ver gaan, maar een tik op de vingers mag zeker wel.

  7. Ik lees de bepaling als een lijst. Dus indien de overtreding het gevolg is van grof handelen of aanzienlijk onzorgvuldig handelen of onachtzaam handelen of onoordeelkundig handelen. Tenslotte klinkt grof aanzienlijk onzorgvuldig zo raar.

  8. Dus elk onnodig bewust verwerken van persoonsgegevens kost 120.000 Euro minimaal? Dus het feit dat ik hier ‘de premier van Nederland’ neerzet kan me nu 120.000 Euro gaan kosten? Duur grapje, die wet bescherming persoonsgegevens…

  9. Het analyseren van de bescherming van persoonsgegevens enkel en alleen op basis van de wettelijke tekst van een nationale wet als de Wbp gaat redelijk snel fout. Juist bij email adressen is de bescherming tegen lastigvallen al snel gebroken als de bekendheid groter wordt dan in een bedoelde kring. Juist daarop is spam gebaseerd. Uitgaande van de stelling dat met een werkend emailadres een “beheerder” bereikt kan worden is voor elk adres dat door minimaal één server herkend wordt sprake van een te beschermen gegeven. Zelfs als dat adres in eerste instantie een rechtspersoon zou betreffen, ook daar zit een beheerder van vlees en bloed achter.

    Overigens lijkt een waarschuwing mij voldoende om de kluns aan de andere kant in een schuldpositie te brengen 😉

  10. [cc per ongeluk i.p.v. bcc gebruiken] “Is dit iets dat iedereen zou moeten weten en niet moeten laten gebeuren, of is dit het soort dikkevingerfout dat iedereen kan overkomen en dus ‘gewoon’ onzorgvuldig is?”

    Als het de eerste keer is dat je cc of bcc gebruikt: de hoogste boete, want dan heb je blijkbaar niet de moeite genomen de handleiding “Inleiding tot het Internet” te lezen.

    Als je 100 keer correct bcc hebt gebruikt en nu één keer per ongeluk cc gebruikt, is het een kennelijke vergissing: geen boete.

    Als je 100 keer incorrect cc hebt gebruikt, dan is het blijkbaar opzettelijk en dus geen datalek: geen boete.

    Zoiets?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.