De Autoriteit Persoonsgegevens, waarbij bedrijven datalekken verplicht moeten melden, heeft zelf per ongeluk de namen van werknemers openbaar gemaakt. Dat gniffelde Nu.nl en heel wat meer media naar aanleiding van de ontdekking van onderzoeker Mischa van Geelen van beveiligingsbedrijf NFIR. Die had gezien dat namen van personeel te vinden was in de metadata van zo’n 800 pdf-documenten, terwijl beleid van de AP is om geen namen van individuele medewerkers naar buiten toe te communiceren. Ohooh de juf laat een scheetje, en het doet ook wat knullig aan natuurlijk om op die manier namen te lekken, maar is dit nu werkelijk iets om je druk over te maken?
Natuurlijk zijn namen van personeelsleden persoonsgegevens. Daar moet je als werkgever dus zorgvuldig mee omgaan, en lijsten van medewerkers zomaar aan derden geven of op internet zetten lijkt me niet echt de bedoeling. Als het toch gebeurt, zou ik echter wel moeite hebben met de conclusie dat dit dús een meldwaardig datalek is. Als er meer bij staat, zoals salaris of andere gevoelige zaken, dan zonder meer, maar alléén een naam? Welke negatieve gevolgen ondervindt iemand van de onthulling dat hij bij organisatie X werkt?
Helemaal heb ik er moeite mee omdat het hier gaat over de naam van de ambtenaar die beleidsdocument Y heeft geschreven bij organisatie X. Natuurlijk kan het beleid zijn van de AP om die niet te publiceren, maar daarmee is het nog niet automatisch een noemenswaardig datalek dat die gegevens tóch op straat komen. Volgens mij is het doodnormaal dat bij publicaties van bedrijven de namen van de werknemer(s) in kwestie genoemd wordt (en afhankelijk van hoe je de Auteurswet leest, is het zelfs een récht van de werknemer), dus daarmee zie ik niet hoe het onrechtmatig is. Laat staan dus meldplichtwaardig.
Maar goed, het was even leuk lachen. Ik neem aan dat al die bedrijven zelf keurig datalekbeleid hebben en ondertussen AVG compliant zijn?
Arnoud
Hear, hear. Bovendien, ook (zelfs?) ambtenaren hebben een eigen verantwoordelijkheid. Je kan namelijk best zelf de metadata uit een document halen.
Dat ligt er natuurlijk aan. Als dit export bestanden uit een content management systeem zijn, heb je zelf niks te vertellen over de manier van exporteren.
Het kan nog veel makkelijker. Waarom moet je (ik neem aan Windows AD) systeem uberhaupt volledige voor en achternaam van een medewerker weten? Gebruik bijv. een personeelsnummer of slechts initialen. IT blij omdat ze geen gebruikersnamen in allerlei systemen hoeven wijzigen bij trouwen/scheiden, medewerkers blij omdat er geen mogelijkheid is dat er per ongeluk metadata in documenten blijft staan.
Puur de namen die gelekt zijn (dus weten wie er bij het bedrijf werkt) is inderdaad geen datalek. Veel medewerkers zullen ongetwijfeld ook een linkedin profiel hebben. Zie hier. Waar het probleem zit, is dat de AP een datalekbeleid heeft, waarin duidelijk gemeld staat dat documenten gepubliceerd worden zonder de naam van de medewerkers die het document geschreven hebben in de metadata. Het is relatief eenvoudig om de metadata te verwijderen, maar blijkbaar hebben de medewerkers de instructie niet ontvangen, of is dit beleid niet goed gecommuniceerd met de medewerkers. In puur theoretische zin, is dit inderdaad een datalek, want het is een overtrading van het beleid. Maar kijkend naar de impact en risico’s die er aan zitten, is het geen groot lek.
Deze https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RVS:2018:321 gaat wel over openbaarmaking, maar geeft tegelijkertijd de relatie aan van bekendheid met de persoon en de functie. De instellingen voor Word etc kan je natuurlijk op initialen zetten.
Ten eerste: Ik wist niet dat dit een overweging was bij het bepalen of dit een datalek is. Een datalek is toch een datalek ongeacht de consequenties?
Ten tweede: Er zijn zat beroepen waar niets mis mee is, maar waarvan de beoefenaar toch goede redenen kan hebben om dit niet aan de grote klok te hangen. Denk bijv. aan deurwaarders, mensen die bij de IND werken en aan gedwongen uitzettingen doen, controleurs voor de bijstand etc. etc.
Ik meen dat het Arnoud ging om de vraag of een meldplichtig datalek zou zijn. Daarbij moet de lekker beoordelen wat de potentiële invloed op de gelekten is. Mocht de AP daarbij tot de slotsom komen dat het om een meldplichtig lek zou gaan, zou deze het lek bij zichzelf moeten melden…
Is een datalek dat tegen het eigen data/privacybeleid van de organisatie ingaat niet per definitie meldplichtig? De medewerkers mogen er, gezien het beleid, verwachten dat hun namen niet gelekt worden.
Als er nu geen beleid was geweest, dan zou je misschien kunnen zeggen: Big Deal!
Maar als er wel een beleid is, tja, dan moet je je daaraan houden. Niet alleen omdat de wet dat eist, maar ook op basis van een pseudocontract met je eigen werknemers,
De AVG definieert wanneer je datalekken moet melden, en doet dat aan de hand van impact op de betrokkenen. Het is dus irrelevant of er beleid is over wel of niet publiceren dan wel verstrekken van gegevens. Als ik in strijd met het beleid handel maar er is geen risico voor de persoonlijke levenssfeer (artikel 33 AVG) dan ben ik niet meldingsplichtig.
Maar ik twijfel zelfs of sprake is van een datalek sec. Is er in strijd met beveiliging gehandeld namelijk? Beleid is leuk maar geen beveiliging. Als beleid op papier bestaat maar de facto genegeerd wordt, dan is dat geen organisatorische beveiliging en dus is er ook geen sprake van een inbreuk daarop. En zonder inbreuk überhaupt geen datalek.
Maar het personeel vertrouwde er wel op dat er op basis van dat beleid gehandeld, en was daardoor waarschijnlijk intern minder actief om perssongegevens af te schermen dan ze anders geweest zouden zijn.
Is dat zo? Mijn ervaring in grote organisaties is dat papier geduldig is maar beleid in de praktijk veel minder nageleefd wordt dan je zou denken. Ik zou hier met name dan verwachten dat er tools waren die screenen op de aanwezigheid van namen. Kennelijk was er niets, anders was het niet zo structureel misgegaan met handhaving van die beleidsregel. Ik concludeer daaruit dat het beleid niet actief gehandhaafd werd.
Dat ben ik met je eens, de theorie is vaak veel mooier dan de praktijk.
Desalniettemin, als je werkgever je toezegt dat rapporten, studies, etc worden gescreend op namen van werknemers en dat die worden verwijderd, dan mag je daar als werknemer natuurlijk op vertrouwen.
Hoe ze dat doen (een automatisch filter, een speciale screening-functionaris), dat zal jou als werknemer worst zijn.
Jij doet er nogal laconiek over… de juf laat een scheetje. Ik vind het juist zeer ernstig.
Enerzijds omdat de zorgplicht van de werkgever verzaakt is, en anderzijds omdat dit duidelijk weergeeft hoe gemakkelijk persoongegevens per ongeluk, zonder hack of zo, gelekt kunnen worden.
En natuurlijk is dit een keiharde aanwijzing van onvoldoende technisch-administratieve competentie van de overheid (of alleen van de AP). Dat vind ik eigenlijk het meest zorgelijk. Metadata niet checken/schoonmaken! Kom op zeg, hoe amateuristisch wil je het hebben?
Of het nu formeel een datalek is of niet, daar kunnen we over twisten, maar zorgelijk is het wel (volgens mij toch).
Waar het om gaat is dat die wet niet zo gemakkelijk na te leven is, omdat je data lekt voor je het weet. Het is een grijns van een boerenbevolking met kiespijn.