Een lezer vroeg me:
Recent kreeg ik een aankondiging van een webwinkel. Ik niet alleen, nog 254 andere mensen ook. Ja, exact 254, want ik kon de mailadressen van iedereen zien in het cc: veld. Is dat nu ook een datalek? Wat voor boete staat erop?
Per 1 januari bevat de Wbp een meldplicht datalekken, maar belangrijker: vanaf dat moment mag de Autoriteit Persoonsgegevens (de new, tough Cbp) boetes opleggen voor overtreding van zo ongeveer elke bepaling uit de privacywet. De voor mij belangrijkste bevoegdheid is die van het schenden van je beveiligingsplicht, kort gevolgd door de verwerking zonder grondslag.
Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt. En ja, dat kan al zo simpel zijn als het gebruiken van het cc: veld in plaats van bcc: als je meerdere ongerelateerde mensen wilt mailen.
In oktober publiceerde het Cbp concept-beleidsregels over boetes. Deze zijn nog niet definitief maar ik verwacht niet dat ze héél anders gaan worden. In het kort classificeert men overtredingen in drie categorieën (licht, middel, zwaar). Per categorie is er een basisboete en een bandbreedte, en de boete wordt vastgesteld als de basis plus of min ten hoogste de bandbreedte. De exacte hoogte van de plusmin volgt uit het concrete geval.
Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen valt in categorieën middel of zwaar, zo blijkt uit het concept. Daarmee ligt de boete in beginsel op zijn minst op € 120.000, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe duurder het wordt.
Een boete kan echter pas opgelegd worden nadat een aanwijzing over de overtreding niet is opgevolgd, of als blijkt dat sprake is van opzettelijk of grof nalatig handelen. Die gaat nog een lastige worden bij cc-foutjes, omdat dat vrijwel altijd onnadenkend gebeurt. Je wilt bcc, je klikt niet goed en je drukt te snel op verzenden. Dat kan ik geen ‘opzet’ noemen. Van grof nalatig, of beter gezegd ‘het gevolg van ernstig verwijtbare nalatigheid’, is sprake
indien de overtreding het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen.
Ik denk dat de term ‘grof’ op al die andere kwalificaties slaat, dus grof onzorgvuldig, grof onachtzaam of grof onoordeelkundig. En dat houdt dan in dat je niet zomaar onachtzaam of onzorgvuldig moet zijn geweest maar best wel heel erg. En dán wordt het spannend, want is dit iets dat iedereen zou moeten weten en niet moeten laten gebeuren, of is dit het soort dikkevingerfout dat iedereen kan overkomen en dus ‘gewoon’ onzorgvuldig is?
Arnoud