Bij Onno’s administratiekantoor ontstond een datalek door een verkeerd geadresseerde mail
Ik ben eigenaar van een klein administratiekantoor. We zijn op dit moment erg druk met het verzorgen van belastingaangiftes voor onze klanten. We doen dit deels vanuit huis en deels op kantoor. Op kantoor werken we met een beveiligd dossiersysteem waar we vanuit huis niet bij kunnen.
Sinds de crisis halen mijn medewerkers – als ze op kantoor zijn – vaker dossiers uit het systeem en mailen dit naar hun werkmail. Zodat ze hier thuis verder aan kunnen werken. Gisteren is dit door een stom ongeluk helemaal misgegaan.
Een van mijn medewerkers heeft vanaf kantoor per ongeluk 5 persoonlijke, financiële dossiers naar een klant gemaild in plaats van naar het werkmailadres van zijn thuiswerkende collega. Hij kwam erachter doordat de dame die de mail ontving, contact met ons heeft opgenomen. Ze gaf gelukkig aan dat ze alle gegevens –waaronder BSN’s en financiële jaaroverzichten – heeft verwijderd.
Ik zou het zelf ook willen weten als zulke persoonlijke informatie bij een ander terecht komt
Ik heb ervoor gekozen om de betrokken personen meteen te informeren over dit datalek. Ook al zijn de gegevens verwijderd. Eigenlijk puur omdat ik het zelf ook zou willen weten als zulke persoonlijke informatie bij een ander terecht komt.
Ik heb me onvoldoende gerealiseerd dat dossiers mailen überhaupt veel te risicovol is.
Als administratiekantoor ben ik mij er heel erg van bewust dat we werken met zeer gevoelige informatie. Mijn beleid van vóór de crisis was daarom ook altijd dat er niet wordt thuisgewerkt. Aan het begin van de crisis heb ik wel snel geregeld dat mijn medewerkers vanuit huis bij hun werkmail kunnen. Hiermee heb ik willen voorkomen dat ze dossiers naar hun onbeveiligde privémail gingen sturen.
Ik dacht dat dit voldoende was, maar heb me onvoldoende gerealiseerd dat dossiers mailen überhaupt veel te risicovol is.
Wist u dat...
- U als eigenaar van een bedrijf verantwoordelijk bent voor passende beveiligingsmaatregelen voor uw specifieke situatie? Ook met het oog op menselijke fouten.
- Het beveiligen van persoonsgegevens een continu proces is? Veranderde omstandigheden – zoals thuiswerken – kunnen vragen om andere maatregelen.
- Wanneer u een datalek heeft, u verplicht kunt zijn om dit te melden bij de Autoriteit Persoonsgegevens (AP)? Dit moet dan binnen 72 uur na kennisname van het lek. Of u een datalek moet melden bij de AP en de slachtoffers, hangt af van het risico op schade. U moet deze inschatting zelf maken.
- In dit verhaal lijkt de ontvanger geen kwaad in de zin te hebben. Maar hoe zeker is het dat de persoonsgegevens echt zijn vernietigd?
- U bij twijfel het beste melding kunt maken bij de AP? Daarmee laat u ook zien dat u uw verantwoordelijkheid neemt om de schade zoveel mogelijk te beperken.
Links
* De privacyverhalen op deze website zijn gebaseerd op meldingen bij de Autoriteit Persoonsgegevens. Vanwege de privacy van de betrokkenen zijn de persoonsgegevens en sommige omstandigheden veranderd. Voor de beelden bij deze verhalen maken we gebruik van modellen (stockfotografie).
Waarom is het beschermen van persoonsgegevens zo belangrijk? Deze mensen vertellen wat hun overkwam.