PVV Overijssel krijgt AVG-boete van 7.500 euro opgelegd

Demonstratie met een banner van de PVV

De Autoriteit Persoonsgegevens legt de PVV Overijssel een boete van 7.500 euro op. De politieke fractie krijgt deze boete omdat het een datalek niet tijdig heeft gemeld bij de toezichthouder. Daarmee overtreedt de partij artikel 33 van de Algemene Verordening Gegevensbescherming (AVG).

Dat schrijft de Autoriteit Persoonsgegevens in een persbericht.

Datalek veroorzaakt door menselijke fout

Het datalek ontstond door een menselijke fout. Een fractiemedewerker verstuurde op 10 januari 2019 een e-mail naar 101 geadresseerden over een achterbanbijeenkomst. In plaats van de e-mail via een ‘blind carbon copy’ (BCC) te versturen, waren alle e-mailadressen zichtbaar voor iedereen. “(Een deel van) de ontvangers van voornoemde e-mail zijn hiermee direct te herkennen dan wel kunnen door een enkele zoekfunctie herleid worden”, zo schrijft de toezichthouder in het boetebesluit. Hierdoor zijn de politieke opvattingen van de geadresseerden gedeeld.

Het datalek kwam aan het licht toen een van de geadresseerden een klacht indiende bij de Autoriteit Persoonsgegevens wegens privacyschending. De persoon in kwestie benaderde de PVV Overijssel met de vraag om al zijn gegevens te verwijderen. Een paar dagen later ontving hij alsnog de uitnodiging, maar ditmaal zonder dat de e-mailadressen van de overige genodigden zichtbaar waren. Tevens bood de afdeling haar excuses aan. Dat is volgens de toezichthouder bewijs dat de partij kennis heeft genomen van de inbreuk.

‘Bijzondere persoonsgegevens’ op straat door datalek

Als e-mailadressen van mensen door een fout op straat komen te liggen, is er sprake van een datalek. PVV Overijssel meent dat er in dit geval geen sprake is van een lek, omdat het slachtoffer geen risico loopt. Volgens de Autoriteit Persoonsgegevens klopt deze lezing niet, omdat in dit geval de politieke voorkeur van mensen kenbaar zijn gemaakt. Volgens de AVG valt dit onder ‘bijzondere persoonsgegevens’, waar extra strenge normen voor gelden.

“Gezien het onderwerp en de doelgroep van de e-mail, een uitnodiging voor een achterbanbijeenkomst van een politieke partij, alsmede de inhoud van die bijeenkomst, is het meest waarschijnlijk dat onder de geadresseerden personen zijn die interesse hebben in het gedachtegoed van de PVV. Dergelijke informatie zou gevolgen kunnen hebben voor een bestaande of een toekomstige maatschappelijke positie”, schrijft de toezichthouder in het boetebesluit.

Boete van 7.500 euro is ‘passend en geboden’

Een politieke organisatie verwerkt per definitie gevoelige gegevens. Ze hebben dan ook een grote verantwoordelijkheid om deze gegevens te beschermen en adequaat op te treden als er, ondanks de getroffen beveiligingsmaatregelen, toch een datalek optreedt. Dat laatste heeft de PVV Overijssel nagelaten, zo meent de Autoriteit Persoonsgegevens.

De afdeling had het datalek binnen 72 uur moeten melding bij de toezichthouder, zoals artikel 33 van de AVG voorschrijft. Dat heeft de partij nagelaten. Dat noemt de privacywaakhond een ‘ernstige overtreding’. Daarom is een boete op zijn plaats. Omdat de PVV Overijssel een politiek stichting is zonder winstoogmerk en met beperkte financiële middelen, heet de AP besloten om het basisbedrag van 525.000 euro te verlagen naar 7.500 euro. Dat bedrag is naar eigen zeggen ‘passend en geboden’.

“Het is essentieel dat een organisatie een datalek direct bij de AP meldt”, schrijft de toezichthouder in het persbericht. “De AP kan die organisatie dan helpen de schade voor de getroffen mensen te beperken. Onder meer door aanwijzingen te geven hoe het lek snel te dichten en toekomstige datalekken te voorkomen. Ook kan de AP de organisatie opdragen snel de slachtoffers van het lek te informeren.”

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen