De Autoriteit Persoonsgegevens (AP) legt de Partij voor de Vrijheid (PVV) Overijssel een boete op van 7.500 euro, vanwege het niet melden van een datalek. Doordat per ongeluk e-mail-adressen in het CC- in plaats van het BCC-veld zijn geplaatst, zijn politieke opvattingen van mensen gelekt.

Het datalek ontstond via een e-mail over een achterbanbijeenkomst. Daarin werden 101 geadresseerden aangeduid als ‘vrienden van de PVV’. Door een fout van een fractiemedewerker waren de e-mailadressen (en daarmee meestal de namen) van de geadresseerden zichtbaar voor iedereen die de uitnodiging ontving. Hierdoor zijn de politieke opvattingen van de geadresseerden gedeeld.

Klacht
Het datalek kwam bij de AP in beeld nadat een van de geadresseerden bij de AP een klacht indiende over de privacyschending. Vervolgens bleek dat de PVV Overijssel dit datalek niet adequaat had opgepakt door tijdig een melding te doen bij de AP. Dat is een ernstige overtreding, zeker gezien de gevoeligheid van de gelekte informatie.

Extra beschermd
Iemands politieke opvattingen worden in de Algemene verordening gegevensbescherming (AVG) extra beschermd. Het zijn zogenoemde bijzondere persoonsgegevens. Omdat het om gevoelige informatie gaat, die heel privé is en die iemand voor zichzelf mag houden, gelden voor het verwerken van deze gegevens strengere regels.
Als de vertrouwelijkheid van deze gevoelige informatie wordt geschonden, kan dat voor iemand een groot risico betekenen. Dit kan bijvoorbeeld leiden tot discriminatie en zo gevolgen hebben voor iemands bestaande of toekomstige maatschappelijke positie.

Grote verantwoordelijkheid
Een politieke organisatie verwerkt dus per definitie gevoelige informatie. Daarom hebben politieke organisaties een grote verantwoordelijkheid om een hoog beschermingsniveau te hanteren, stelt de AP. Ze dienen dus adequaat op te treden als er, ondanks getroffen veiligheidsmaatregelen, toch een datalek is.
Bij een ernstig datalek geldt een meldplicht. Deze meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en in principe uiterlijk binnen 72 uur) een melding moeten doen bij de AP.

Essentieel
Het is volgens de AP essentieel dat een organisatie een datalek direct meldt. De AP kan die organisatie dan helpen de schade voor de getroffen mensen te beperken. Onder meer door aanwijzingen te geven hoe het lek snel te dichten is en hoe toekomstige datalekken kunnen worden voorkomen. Ook kan de AP de organisatie opdragen snel de slachtoffers van het lek te informeren.
Zodra de PVV Overijssel afwist van het datalek, had de partij dit dus binnen 72 uur bij de AP moeten melden. Maar dit is niet gebeurd. De PVV Overijssel geeft wel aan maatregelen te hebben getroffen om een dergelijk datalek in de toekomst te voorkomen.