Laatst ontving ik een email van een relatie. De inhoud hiervan bestond uit een enkele zin waaruit ik opmaakte dat ik de bijlage moest openen. Het document bleek een cv van een sollicitant bij de werkgever van mijn contactpersoon. Oeps, de informatie was niet voor mij bestemd. Dit werd bevestigd toen ik iets later een bericht binnen kreeg met een verzoek om de eerdere email in te trekken. Een handigheidje van de maildienst, maar een vergeefse poging, zo bleek. De technologie die berichten moet intrekken was toch niet zo goed als de marketing oorspronkelijk had doen geloven. Daarnaast had ik door het openen van de bijlage de informatie al gezien, dus helaas…Een datalek? Het antwoord dat ik kreeg op deze vraag van mijn relatie was: “Nee, ik heb het bericht ingetrokken. Dus niets aan de hand!”. Wat zo veel betekende dat het incident nooit heeft plaatsgevonden.
Dit is een eenvoudig praktijkvoorbeeld dat goed laat zien hoe eenvoudig er iets mis kan gaan met betrekking tot iemands privacy. Bij het inzenden van een cv moet je er als sollicitant natuurlijk vanuit kunnen gaan dat het bedrijf waar je solliciteert adequate maatregelen heeft genomen om jouw ingezonden gegevens te beschermen. Dat is niet alleen een reële verwachting van een sollicitant, maar je bent dit als organisatie onder de GDPR zelfs verplicht om te doen. Training had er in dit voorbeeld voor kunnen zorgen dat mijn contactpersoon zich bewuster was geweest hoe om te gaan met privacygegevens of hoe te acteren ingeval er zich een incident voordoet. Op technisch gebied was het invoeren van Data Loss Prevention (DLP) beleidsregels op de mailserver op basis van dataclassificering een preventieve maatregel geweest tegen de distributies van gevoelige informatie buiten de organisatie. Maar goed, achteraf kijk je een koe in de…
Nu het incident zich heeft voorgedaan moet deze op zijn minst intern worden vastgelegd en ter beoordeling worden aangeboden aan de dataprivacy professional van de organisatie. In dit geval de Data Protection Officer. Deze zal de impact van het incident op de betrokkene bepalen de nodige acties (laten) uitvoeren en, indien nodig, de autoriteit persoonsgegevens op hoogte brengen. En laten we de betrokkene zelf niet vergeten. Zou jijzelf ook niet willen weten wat er allemaal met jouw sollicitatiegegevens (is) gebeurt?