Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Af en toe krijgen wij als PC-monteurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail is natuurlijk onbeveiligd. Wat moeten wij daar mee?
Antwoord: Inderdaad ben je onder de AVG verplicht zorgvuldig met persoonsgegevens om te gaan die je binnenkrijgt, en het doet er niet toe of je gevraagd hebt om die gegevens. Maar het is niet zo dat je per direct een boete krijgt wanneer iemand je ongevraagd zijn medisch dossier mailt, of zelfs maar dat die persoon een schadeclaim kan indienen. Zolang je maar adequaat je mail monitort op dergelijke gegevens, en ze wist zodra duidelijk is dat ze irrelevant zijn.
Wanneer de gegevens van een collega komen, wordt het een iets ander verhaal. Die collega is verantwoordelijke voor die gegevens, en mag ze niet zomaar aan een derde verstrekken. Dat mag in dit soort situaties eigenlijk alleen als jij als verwerker (voorheen: bewerker) bent aangesteld en er een verwerkersovereenkomst tussen jou en hem is gesloten, waarin staat dat jij in de uitvoering van je PC-reparaties persoonsgegevens kan ontvangen, dat je daarmee zorgvuldig om zult gaan et cetera. Die zal er dus sowieso moeten komen.
Nog steeds ben je dan niet schadeplichtig als je die mails binnenkrijgt en er adequaat op reageert. Maar hij is dat wel: hij verstrekt persoonsgegevens aan derden zonder afdoende maatregelen te hebben genomen. Dus de bal ligt bij hem om hier wat aan te doen. Hooguit ontstaat voor jou een probleem als dit stelselmatig gebeurt en je nooit eens een escalatie opstart om hier een einde aan te maken (of een verwerkersovereenkomst te sluiten).
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.