Is een mailadres een persoonsgegeven volgens de AVG? Nico van Bergen Bravenboer, Coördinator Informatiebeveiliging en kwaliteit bij GERRIT is dé specialist op het gebied van Privacy en Security. Hij legt je uit hoe het zit en hoe je veel voorkomende fouten kunt voorkomen.
Het gebruik van e-mail als communicatiemiddel is niet meer weg te denken, ook in de zorg wordt e-mail steeds meer gebruikt om te communiceren tussen partijen en personen.
Met het toenemende gebruik van e-mail worden de risico’s op fouten steeds groter en moeten we op het gebied van Privacy en Security alert blijven om ervoor te zorgen dat informatie veilig verzonden en ontvangen wordt.
Wat zijn persoonsgegevens?
In de AVG (Algemene Verordening Gegevensbescherming) worden regels gesteld aan organisaties onder welke voorwaarden zij (persoons)gegevens mogen verwerken, hoe zij moeten omgaan met (persoons)gegevens en welke rechten de persoon (betrokkene) heeft.
De definitie van persoonsgegevens volgens de AVG is;
„persoonsgegevens”:alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Uit bovenstaande is op te maken dat ook een mailadres van een medewerker, privé en zakelijk, een persoonsgegeven is volgens de AVG. Daarmee valt het verwerken en gebruiken van mailadressen dus ook onder de regels van de AVG.
Veel voorkomende fout
Het gebruik van e-mailadressen kan leiden tot fouten, vooral als het gaat om het gebruik van privé-mailadressen gebeurt het nogal eens dat zogenaamde bulkmail – dit is mail naar meerdere adressen – zodanig wordt verzonden dat alle ontvangers de e-mailadressen van elkaar kunnen zien. Daardoor ontstaat er een incident dat kan leiden tot een datalek, immers het verspreiden van het privé e-mailadres aan andere personen was niet afgesproken met de persoon (betrokkene) zelf. Ditzelfde kan natuurlijk ook gelden voor zakelijke e-mailadressen buiten de eigen organisatie, ook daarvoor geldt dat verspreiding van adressen niet als zodanig is afgesproken met de betrokkene.
Hoe om te gaan met mailadressen?
Mailadressen zijn nodig om via e-mail berichten uit te wisselen tussen organisaties en gebruikers. Deze worden vaak geregistreerd in een personeelssysteem (privé e-mailadres) of een adresboek van de organisatie (zakelijk e-mailadres). Het gebruik van deze mailadressen is veelal aan regels gebonden die door de organisatie zelf zijn vastgesteld.
Als er mails verzonden moeten worden naar meerdere ontvangers gebruik dan de optie ‘BCC’ (Blind Carbon Copy) in plaats van ‘Aan’ of ‘CC’ (Carbon Copy). De meeste mailclients kennen deze optie van BCC die er voor zorgt dat de ontvanger alleen zijn eigen mailadres ziet.
Het gebruik van BCC is natuurlijk niet nodig als je binnen een werkgroep berichten verstuurt of binnen de eigen organisatie. In deze gevallen weet men van elkaar de contactgegevens en is het verspreiden van de e-mailadressen onderdeel van de afspraak.
Meer weten?
Wil je Privacy en Security binnen jouw organisatie verbeteren of meer weten over het verwerken van persoonsgegevens? GERRIT biedt Privacy en Security diensten en ondersteunt je graag. Neem contact met ons op via telefoonnummer 085-7604076 voor meer informatie.