Stel je voor: je bent net klaar met een drukke werkdag, je tikt snel een e-mailtje naar een collega of een klant, klikt op 'verzenden' en denkt er verder niet meer aan.
▶Inhoudsopgave
Tot je de volgende dag wakker wordt en denkt: wacht eens even, had ik die bijlage wel naar het juiste e-mailadres gestuurd? Of erger: had ik die gevoelige lijst met klantgegevens wel naar die ene persoon moeten sturen in plaats van naar die groep? Het koude zweet breekt je uit.
Je hebt per ongeluk verkeerde data verstuurd. Nu rijst de belangrijkste vraag: moet je dit melden?
Deze situatie komt vaker voor dan je denkt. In de wereld van vandaag, waarin we constant e-mails versturen, is het risico op een menselijke fout reëel.
Een simpele typfout in het e-mailadres, een verkeerde 'cc' of 'bcc', of een bijlage die eigenlijk niet mee had gemogen. Het overkomt de beste. Maar wanneer schakel je van 'oops' naar een officieel datalek? Laten we dit helder uitleggen, zonder ingewikkelde juridische jargon-taal.
Wat is eigenlijk een datalek?
Om te bepalen of je moet melden, moeten we eerst weten wat een datalek volgens de wet eigenlijk is. In de Algemene Verordening Gegevensbescherming (AVG) spreken we over een 'inbreuk op de bescherming van persoonsgegevens'.
Dit klinkt zwaar, maar het is simpelweg een situatie waarbij persoonsgegevens worden vernietigd, verloren raken, worden gewijzigd of onrechtmatig worden verwerkt. Denk aan persoonsgegevens zoals namen, adressen, e-mailadressen, burgerservicenummers (BSN), medische gegevens of financiële informatie. Als deze gegevens in de verkeerde handen terechtkomen of toegankelijk worden voor mensen die daar geen toegang toe hebben, is er sprake van een datalek.
Wanneer is een verkeerde e-mail een datalek?
Een verkeerd verstuurde e-mail waarin deze gegevens staan, valt hier dus zeker onder.
Niet elke verkeerde e-mail is direct een datalek. Stel je voor: je stuurt een e-mail naar je collega Jan, maar per ongeluk naar Jan-Peter. Jan-Peter opent de e-mail, ziet dat het niet voor hem is bedoeld, en verwijdert hem direct. In dit geval is er waarschijnlijk geen sprake van een ernstige inbreuk.
De gegevens zijn per ongeluk gezien, maar niet misbruikt en snel verwijderd. Het risico op schade is klein.
Maar stel je voor dat je een e-mail met gevoelige klantgegevens stuurt naar een verkeerde externe partij, of naar een groep mensen die deze informatie niet had moeten zien. Of dat je een bijlage met persoonsgegevens verstuurt zonder beveiliging, waardoor iedereen met de link toegang heeft. Dan is het risico groter en is er wel degelijk sprake van een datalek. De kernvraag is: is er sprake van ongeautoriseerde toegang of verwerking van persoonsgegevens?
Is een verkeerde e-mail meldplichtig?
De AVG verplicht organisaties om een datalek te melden bij de Autoriteit Persoonsgegevens (AP) als er sprake is van een risico voor de rechten en vrijheden van mensen.
Dit risico kan ontstaan als gevoelige gegevens worden blootgesteld, zoals medische gegevens, financiële gegevens of gegevens die kunnen leiden tot identiteitsfraude. Als je per ongeluk een e-mail verstuurt met deze soorten gegevens naar de verkeerde persoon, is de kans groot dat je dit moet melden. De AP kijkt naar de aard van de gegevens, het aantal mensen dat getroffen is, en de mogelijke schade. Een e-mail met alleen een naam en e-mailadres naar één verkeerd persoon is anders dan een e-mail met honderden burgerservicenummers naar een verkeerde externe partij.
Het gaat dus niet alleen om het feit dat je een fout hebt gemaakt, maar om de impact van die fout. Als er geen reëel risico is op schade voor de betrokkenen, hoef je het niet te melden.
De 72-uursregel: een race tegen de klok
Maar als er wel risico is, ben je verplicht om het datalek binnen 72 uur te melden bij de AP.
En ja, dat tikt door: 72 uur nadat je het hebt ontdekt. De 72-uursregel is een cruciaal onderdeel van de AVG. Zodra je een datalek ontdekt, start de klok.
Binnen 72 uur moet je de AP informeren, tenzij het risico op schade nihil is. Als je te laat bent, kan dit leiden tot boetes, maar belangrijker nog: het verkleint de kans om schade te beperken.
Stel je voor: je ontdekt op dinsdagochtend dat je maandagavond een e-mail met persoonsgegevens naar de verkeerde persoon hebt gestuurd. Je moet dus voor dinsdagochtend een melding doen. Dit klinkt streng, maar het is bedoeld om snel te handelen en de impact te minimaliseren.
De AP verwacht niet dat je alle details hebt binnen 72 uur, maar je moet wel een basis melding doen.
Later kun je aanvullen. Het is beter om te vroeg te melden dan te laat.
Wat moet je doen als je een verkeerde e-mail hebt verstuurd?
Als je merkt dat je een verkeerde e-mail hebt verstuurd, is het belangrijk om snel te handelen. Hier is een stappenplan dat je kunt volgen:
1. Stop direct met wat je doet: Als je nog bezig bent met e-mails, stop dan even.
Controleer of je andere fouten hebt gemaakt. 2. Verifieer de fout: Controleer welke gegevens zijn verstuurd, naar welk(e) e-mailadres(sen), en of de bijlagen beveiligd zijn. 3. Beoordeel het risico: Kijk naar de aard van de gegevens. Zijn het persoonsgegevens?
Zijn het bijzondere persoonsgegevens (zoals medische gegevens)? Hoeveel mensen zijn getroffen?
4. Neem maatregelen: Probeer de e-mail terug te roepen als dat kan (bijvoorbeeld via de 'recall'-functie in Outlook, maar wees realistisch: dit werkt niet altijd). Neem contact op met de ontvanger en vraag om de e-mail te verwijderen. Als de gegevens openbaar zijn geworden, moet je actie ondernemen om ze te verwijderen. 5. Documenteer alles: Noteer wat er is gebeurd, wanneer, en welke maatregelen je hebt genomen.
Dit is belangrijk voor de AP en voor je eigen administratie. 6. Melden bij de AP: Als het risico op schade reëel is, meld het datalek dan binnen 72 uur bij de Autoriteit Persoonsgegevens. Bepaal hierbij ook of je de betrokkenen moet informeren over het datalek.
Gebruik hiervoor het meldformulier op de website van de AP. 7. Informeer de betrokkenen: Als er een hoog risico is voor de rechten en vrijheden van de betrokkenen (bijvoorbeeld identiteitsfraude), moet je ook de betrokkenen informeren. Dit is niet altijd nodig bij een lager risico.
Laten we een paar voorbeelden bekijken om het duidelijker te maken. Voorbeeld 1: Een HR-medewerker stuurt per ongeluk een e-mail met salarisgegevens van alle medewerkers naar één verkeerd e-mailadres.
Praktijkvoorbeelden van verkeerde e-mails
Dit is een ernstig datalek. De gegevens bevatten financiële informatie en kunnen leiden tot misbruik. Dit moet binnen 72 uur worden gemeld bij de AP, en de betrokken medewerkers moeten worden geïnformeerd.
Voorbeeld 2: Een secretaresse stuurt een e-mail met een afspraakbevestiging naar een verkeerd e-mailadres. De e-mail bevat alleen een naam en een datum, geen bijzondere gegevens.
Het risico op schade is klein. In dit geval hoef je het niet te melden bij de AP, maar het is wel goed om de ontvanger te vragen de e-mail te verwijderen.
Voorbeeld 3: Een arts stuurt per ongeluk een e-mail met medische gegevens naar een familielid van de patiënt in plaats van naar de patiënt zelf. Dit is een ernstig datalek vanwege de gevoelige aard van de gegevens. De AP moet worden geïnformeerd, en de patiënt moet worden geïnformeerd over de inbreuk.
Deze voorbeelden laten zien dat de meldplicht afhangt van de context. Het is niet zwart-wit, maar de regel is: als er risico is op schade, moet je melden.
Hoe voorkom je verkeerde e-mails?
Natuurlijk is het beste scenario om te voorkomen dat je een verkeerde e-mail verstuurt. Hier zijn een paar tips om de kans op fouten te verkleinen: Gebruik beveiligde e-mail: Stuur nooit onbeveiligde e-mails met persoonsgegevens.
Gebruik versleutelde e-maildiensten of portals zoals die van Zorgmail of andere beveiligde platforms.
Deze systemen vragen om extra verificatie en beperken de kans op ongeautoriseerde toegang. Double-check je ontvangers: Controleer altijd het e-mailadres voordat je op 'verzenden' klikt.
Vooral bij 'cc' en 'bcc' is het makkelijk om een fout te maken. Neem een seconde de tijd om dit te controleren. Beperk de informatie: Stuur alleen de gegevens die echt nodig zijn.
Vraag je af: heeft deze persoon dit echt nodig? Zo niet, stuur het niet.
Gebruik sjablonen: Voor standaardberichten kun je sjablonen gebruiken die al zijn gecontroleerd op veiligheid. Dit verkleint de kans op menselijke fouten. Train je team: Zorg dat iedereen in je organisatie weet hoe om te gaan met persoonsgegevens. Regelmatige trainingen over privacy en veiligheid helpen om fouten te voorkomen.
Door deze maatregelen te nemen, verklein je de kans op een datalek aanzienlijk. Maar als het toch gebeurt, weet je nu wat te doen.
Conclusie: wees alert en handel snel
Een verkeerd verstuurde e-mail kan zeker een datalek zijn, en soms is er een datalek-melden-verplichting. De kernvraag is of er een risico is op schade voor de betrokkenen. Als het gaat om gevoelige gegevens of veel mensen, is de kans groot dat je moet melden.
Onthoud de 72-uursregel en handel snel. Het beste is om fouten te voorkomen, maar als het gebeurt, blijf rustig en volg de stappen.
Op die manier beperk je de schade en voldoe je aan de wet. Privacy is belangrijk, en een goede aanpak van datalekken draagt bij aan het vertrouwen van je klanten en medewerkers.
Dus de volgende keer dat je een e-mail verstuurt, neem een extra seconde om te controleren. Het kan je een hoop gedoe besparen.