Wat moet je onder de AVG doen met ongewenst verkregen persoonsgegevens?

| AE 9579 | Privacy | 16 reacties

Een lezer vroeg me:

Af en toe krijgen wij als PC-reparateurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail is natuurlijk onbeveiligd. Wat moeten wij daar mee?

Inderdaad ben je onder de AVG verplicht zorgvuldig met persoonsgegevens om te gaan die je binnenkrijgt, en het doet er niet toe of je gevraagd hebt om die gegevens. Maar het is niet zo dat je per direct een boete krijgt wanneer iemand je ongevraagd zijn medisch dossier mailt, of zelfs maar dat die persoon een schadeclaim kan indienen. Zolang je maar adequaat je mail monitort op dergelijke gegevens, en ze wist zodra duidelijk is dat ze irrelevant zijn.

Wanneer de gegevens van een collega komen, wordt het een iets ander verhaal. Die collega is verantwoordelijke voor die gegevens, en mag ze niet zomaar aan een derde verstrekken. Dat mag in dit soort situaties eigenlijk alleen als jij als verwerker (voorheen: bewerker) bent aangesteld en er een verwerkersovereenkomst tussen jou en hem is gesloten, waarin staat dat jij in de uitvoering van je PC-reparaties persoonsgegevens kan ontvangen, dat je daarmee zorgvuldig om zult gaan et cetera. Die zal er dus sowieso moeten komen.

Nog steeds ben je dan niet schadeplichtig als je die mails binnenkrijgt en er adequaat op reageert. Maar hij is dat wel: hij verstrekt persoonsgegevens aan derden zonder afdoende maatregelen te hebben genomen. Dus de bal ligt bij hem om hier wat aan te doen. Hooguit ontstaat voor jou een probleem als dit stelselmatig gebeurt en je nooit eens een escalatie opstart om hier een einde aan te maken (of een verwerkersovereenkomst te sluiten).

Arnoud

Deel dit artikel

  1. Hoe werkt dat eigenlijk met oude facturen e.d. Ik neem aan dat (als je het netjes/veilig doet) wel gewoon een archief mag hebben voor je administratie. Clubs e.d. hebben vaak ook een leden/contributie administratie waar gegevens van oud leden in staan, die worden soms tijdens feestelijkheden benadert etc.

    • Natuurlijk mag je een archief hebben voor je administratie; sterker nog dat móet je. Zo’n wettelijke plicht betekent automatisch dat je de gegevens niet hoeft te wissen. De wisplicht (en het recht te worden vergeten) gelden altijd pas als er geen recht meer is de gegevens te hebben.

      Een administratie met oud-leden is wat spannender. Die betalen niet en hebben geen verplichtingen, wat doen die in je administratie? Ik denk dat je daar echt een apart bestand van moet maken en in je privacyverklaring moet melden hoe lang je oud-leden in het snotje houdt (en hoe ze verzet kunnen uitoefenen tegen jouw jaarlijkse oproep voor de reünie).

  2. Begrijp ik het goed dat een bedrijf als de Media Markt met elke leverancier waar ze mogelijk een defect apparaat naar toe gaan sturen waar persoonsgegevens op kunnen staan (pc, laptop, telefoon, tablet, mediaspeler etc) een verwerkersovereenkomst gesloten moet hebben. En dat geldt dan natuurlijk ook voor elke PC- en telefoonboer op de hoek.

      • Wij lopen na helpdesk vragen tegen het feit aan dat sommige van onze klanten BSN hebben opgeslagen in commentaar velden, omdat dat zo handig is.

        Dit is dus niet de bedoeling. Wij hebben bewust geen veld voor BSN nummers in de invoer/database, omdat er ons inziens geen wettelijke grond voor is. Daarnaast hebben wij geen mogelijkheid om dit te controleren als het in een algmeen commentaarveld is toegevoegd.

        Feit is dat wij zo dus wel onbedoeld zonder wettelijke grondslag BSN nummers opslaan voor onze klanten. En verwerken van bijzondere persoonsgegevens vereist ook een strenger privacy beleid onder zowel de huidige als de nieuwe richtlijn. Waarschijnlijk binnenkort een mailing eruit dat dit echt niet de bedoeling is en het verzoek dit niet (meer) te doen en deze gegevens te wijzigen, maar wie zegt dat iedereen daar gehoor aan geeft?

  3. En hoe ga je dat doen als een e-mail zowel privé gegevens bevat die je niet nodig hebt voor de uitvoering van een opdracht als gegevens bevat die nodig zijn? Die combinatie komt voor en het gelijk verwijderen van die e-mail maakt het uitvoeren van de opdracht mogelijk zelfs onmogelijk, helemaal als je discussie krijgt over de opdracht wordt dat relevant.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS