Een flater van de Orde van Advocaten Midden-Nederland: in een e-mail van maandag met een rappel aan advocatenkantoren om hun financiële kengetallen aan te leveren, waren de mailadressen van bijna 300 advocatenkantoren voor alle ontvangers te zien. Volgens de AVG kan dit gelden als een datalek.
De mail betreft een herinneringsbrief, verzonden door een van de stafjuristen van de Midden-Nederlandse orde. Hierin wordt namens de deken verzocht om alsnog binnen veertien dagen alle benodigde financiële kengetallen over de jaren 2020 en 2019 in te vullen. Het aanleveren van deze gegevens is sinds kort verplicht voor alle advocatenkantoren; de gegevens hadden op 31 augustus ingevuld moeten zijn. Voor alle geadresseerden was echter te zien welke andere honderden kantoren de herinnering hadden gekregen: circa 275 mailadressen waren niet in bcc, maar per ongeluk in cc gezet.
Twee advocaten die de mail doorstuurden aan de Advocatie-redactie, zijn hier bepaald niet blij mee. “Orde schrijft iedereen aan, maar ook zo dat iedereen het kan zien. Schande,” schrijft iemand. In zijn doorgestuurde mail is de geagiteerde reactie van een Utrechtse strafrechtadvocaat zichtbaar: “Mij dunkt dat het nogal onzorgvuldig is dat u dit bericht naar 275 andere kantoren stuurt. Temeer daar mijn kantoor aan haar verplichtingen heeft voldaan. Ik heb zo’n vermoeden dat dit voor meer uit deze lijst heeft te gelden.”
Het tonen van honderden e-mailadressen in cc komt neer op het – zonder toestemming – delen van persoonsgegevens, en kan daarmee volgens de AVG-regels kwalificeren als een datalek, aldus algemene informatie op de website van de Autoriteit Persoonsgegevens (AP). De toezichthouder doet geen uitspraken over individuele meldingen. De AP is bevoegd om sancties op te leggen, afhankelijk van de zwaarte van de overtredingen, van waarschuwingen tot hoge boetes. Vorig jaar ondernam de toezichthouder in ruim 1.700 gevallen actie.
‘Geen meldingsplichtig datalek’
Volgens een stafjurist van de Orde in Midden-Nederland is er in dit geval echter geen sprake van een ‘meldingsplichtig datalek’, en hoeft de AP dus niet op de hoogte te worden gebracht. “Aangaande dit datalek heeft de Raad van de Orde Midden-Nederland advies gevraagd aan een advocaat, gespecialiseerd in privacywetgeving. Deze advocaat kwam tot de conclusie dat er geen sprake is van een meldingsplichtig datalek. Uiteraard zijn de noodzakelijke maatregelen genomen om dit in de toekomst te voorkomen en is het datalek geregistreerd in ons datalekregister.”
Verder is er dinsdagmorgen een excuusbericht namens de deken uitgegaan aan alle geadresseerden, deze keer keurig in bcc gezet. “Gisteren heb ik u een e-mail gestuurd met een rappel voor de opgave financiële kengetallen 2020/2019. Deze e-mail is helaas niet in de bcc verzonden, waardoor alle e-mailadressen van de geadresseerden zichtbaar waren,” schrijft de betreffende stafjurist. “Het spijt mij vreselijk dat deze fout is gemaakt en ik bied daar mijn verontschuldigingen voor aan. Wij zullen alle noodzakelijke maatregelen nemen om dit in de toekomst te voorkomen.”
