Een Britse onderzoekscommissie die onderzoek doet naar seksueel misbruik van kinderen in Groot-Brittannië is wegens een gevoelig datalek dat door een e-mailblunder ontstond veroordeeld tot een boete van omgerekend 224.000 euro.

De Independent Inquiry into Child Sexual Abuse (IICSA) werd in 2014 door de Britse overheid opgericht om de omvang van kindermisbruik binnen instellingen te onderzoeken. De commissie biedt een forum voor slachtoffers die als kind seksueel zijn misbruikt. Vorig jaar verstuurde een medewerker van de IICSA naar 90 forumdeelnemers een e-mail waarin werd gemeld dat er een openbare hoorzitting over het misbruik zou plaatsvinden. De medewerker ontdekte een fout in de e-mail en verstuurde vervolgens een correctie.

Bij het versturen van het tweede bericht waren de e-mailadressen in het "to" veld geplaatst in plaats van het "bcc" veld. Daardoor konden de ontvangers de e-mailadressen van elkaar zien en elkaar als mogelijk slachtoffer van seksueel misbruik identificeren, aldus de Britse privacytoezichthouder ICO. 52 e-mailadressen hadden de volledige naam van de ontvanger of een naamlabel en 23 een gedeeltelijke naam. De onderzoekscommissie werd door één van de ontvangers over het datalek ingelicht. Deze persoon voegde twee extra e-mailadressen aan het to-veld toe en deed vervolgens Reply All.

De commissie verstuurde vervolgens drie e-mails met het verzoek om de e-mail te verwijderen en die niet verder te verspreiden. Eén van deze e-mails zorgde voor 39 Reply All-mails, waardoor het datalek werd vergroot, zo stelt de privacytoezichthouder. De ICO en IICSA ontvingen in totaal 22 klachten over het datalek. Aangezien het incident vorig jaar plaatsvond geldt de privacywetgeving van 1998. Daardoor had de ICO een maximale boete van 500.000 pond kunnen opleggen.