Wat moet je onder de AVG doen met ongewenst verkregen persoonsgegevens?

| AE 9579 | Privacy | 16 reacties

Een lezer vroeg me:

Af en toe krijgen wij als PC-reparateurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail is natuurlijk onbeveiligd. Wat moeten wij daar mee?

Inderdaad ben je onder de AVG verplicht zorgvuldig met persoonsgegevens om te gaan die je binnenkrijgt, en het doet er niet toe of je gevraagd hebt om die gegevens. Maar het is niet zo dat je per direct een boete krijgt wanneer iemand je ongevraagd zijn medisch dossier mailt, of zelfs maar dat die persoon een schadeclaim kan indienen. Zolang je maar adequaat je mail monitort op dergelijke gegevens, en ze wist zodra duidelijk is dat ze irrelevant zijn.

Wanneer de gegevens van een collega komen, wordt het een iets ander verhaal. Die collega is verantwoordelijke voor die gegevens, en mag ze niet zomaar aan een derde verstrekken. Dat mag in dit soort situaties eigenlijk alleen als jij als verwerker (voorheen: bewerker) bent aangesteld en er een verwerkersovereenkomst tussen jou en hem is gesloten, waarin staat dat jij in de uitvoering van je PC-reparaties persoonsgegevens kan ontvangen, dat je daarmee zorgvuldig om zult gaan et cetera. Die zal er dus sowieso moeten komen.

Nog steeds ben je dan niet schadeplichtig als je die mails binnenkrijgt en er adequaat op reageert. Maar hij is dat wel: hij verstrekt persoonsgegevens aan derden zonder afdoende maatregelen te hebben genomen. Dus de bal ligt bij hem om hier wat aan te doen. Hooguit ontstaat voor jou een probleem als dit stelselmatig gebeurt en je nooit eens een escalatie opstart om hier een einde aan te maken (of een verwerkersovereenkomst te sluiten).

Arnoud