Boete PVV Overijssel vanwege niet melden datalek
De Autoriteit Persoonsgegevens (AP) legt de Partij voor de Vrijheid (PVV) Overijssel een boete op van 7.500 euro. De PVV Overijssel krijgt deze boete omdat de partij een datalek niet heeft gemeld bij de AP. Door dit datalek zijn politieke opvattingen van mensen gelekt.
Het datalek ontstond via een e-mail over een achterbanbijeenkomst. Daarin werden 101 geadresseerden aangeduid als 'vrienden van de PVV'. Door een fout van een fractiemedewerker waren de e-mailadressen (en daarmee meestal de namen) van de geadresseerden zichtbaar voor iedereen die de uitnodiging ontving. Hierdoor zijn de politieke opvattingen van de geadresseerden gedeeld.
Klacht
Het datalek kwam bij de AP in beeld nadat een van de geadresseerden bij de AP een klacht indiende over de privacyschending. Vervolgens bleek dat de PVV Overijssel dit datalek niet adequaat had opgepakt door tijdig een melding te doen bij de AP. Dat is een ernstige overtreding, zeker gezien de gevoeligheid van de gelekte informatie.
Extra beschermd
Iemands politieke opvattingen worden in de Algemene verordening gegevensbescherming (AVG) extra beschermd. Het zijn zogenoemde bijzondere persoonsgegevens. Omdat het om gevoelige informatie gaat, die heel privé is en die iemand voor zichzelf mag houden, gelden voor het verwerken van deze gegevens strengere regels.
Risico
Als de vertrouwelijkheid van deze gevoelige informatie wordt geschonden, kan dat voor iemand een groot risico betekenen. Dit kan bijvoorbeeld leiden tot discriminatie. En gevolgen hebben voor iemands bestaande of toekomstige maatschappelijke positie.
Grote verantwoordelijkheid
Een politieke organisatie verwerkt dus per definitie gevoelige informatie. Daarom hebben politieke organisaties een grote verantwoordelijkheid om een hoog beschermingsniveau te hanteren. En adequaat op te treden als er, ondanks getroffen veiligheidsmaatregelen, toch een datalek is.
Meldplicht datalekken
Bij een ernstig datalek geldt een meldplicht. Deze meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en in principe uiterlijk binnen 72 uur) een melding moeten doen bij de AP.
Het is essentieel dat een organisatie een datalek direct bij de AP meldt. De AP kan die organisatie dan helpen de schade voor de getroffen mensen te beperken. Onder meer door aanwijzingen te geven hoe het lek snel te dichten en toekomstige datalekken te voorkomen. Ook kan de AP de organisatie opdragen snel de slachtoffers van het lek te informeren.
Zodra de PVV Overijssel afwist van het datalek, had de partij dit dus binnen 72 uur bij de AP moeten melden. Maar dit is niet gebeurd. De PVV Overijssel geeft wel aan maatregelen te hebben getroffen om een dergelijk datalek in de toekomst te voorkomen.
