Niet beveiligd verzonden mailberichten blijven op veel servers staan en zijn eigenlijk een ‘briefkaart’. Iedereen die toegang heeft tot deze servers kan de inhoud lezen, ook al is het bericht tijdens verzending versleuteld. De Autoriteit Persoonsgegevens ging zelf in de fout in 2019.
Een ander probleem kan zijn dat als een verzender via e-mail een grote doelgroep wil bereiken. Hiervoor kun je alle e-mailadressen ‘onzichtbaar’ maken voor andere de geadresseerden. Dit gaat via de zogenaamde ‘BCC’ optie.
Eind 2022 ging dit mis bij een verwerkingsverantwoordelijke in Roemenië. Een waterleidingbedrijf wilde zijn klanten informeren via een mailbericht er zette de adressen per ongeluk in de ‘gewone’ ‘aan’ invulvelden. Gevolg: en boete van € 3.000, - (14,757.60 RON). Helaas is niet geheel duidelijk om wat voor bericht het hier precies gaat, maar waarschijnlijk bevatte dit bericht geen gevoelige gegevens.
In België ging zoiets ook mis, een e-mail werd verstuurd naar slechts 16 personen. Het ging hier om een nieuwsbrief. De Belgische toezichthouder overwoog dat het hier om een gering aantal personen ging, en alhoewel er geen artikel 6 grondslag was, was er volgens de autoriteit geen reden om dit incident te melden.
In Nederland heeft grappig genoeg de Autoriteit Persoonsgegevens (AP) zelf een fout gemaakt in 2019. Een woordvoerder zette in een e-mail naar journalisten, redacties en relaties 38 geadresseerden in het cc-veld. Daardoor kon iedere ontvanger zien wie het mailtje nog meer had gekregen. Op zich niet spannend zou je zeggen. Maar de AP heeft in mei 2019 dit incident toch aan zichzelf gemeld. De woordvoerder gaf hierover aan: 'Hoewel het risico voor de betrokkenen gering is, hebben we als AP er wel voor gekozen om het datalek te melden bij de AP. Wat hierbij een rol heeft gespeeld is dat een deel van de e-mailadressen tot de persoon herleidbaar is. En dat we als AP zo transparant mogelijk willen zijn als het gaat om onze eigen beveiligingsincidenten.'.
Dus: toch even goed opletten met het verzenden van ‘bulk mailtjes’.
