Volgens AP is er in het eigen geval met de cc-knop sprake van een datalek. De interne procedures zijn gevolgd, maar of het incident officieel gemeld moet worden bij de AP is nog in overweging. De woordvoerder licht toe: ‘We hebben uiteraard een procedure voor beveiligingsincidenten. Het incident moet eerst zo spoedig mogelijk intern gemeld worden – afdelingshoofd, directeur, beveiligingsambtenaar, functionaris gegevensbescherming – zodat is te beoordelen of er sprake is van een datalek dat ook gemeld moet worden bij de AP.’

Bij het publiceren van dit artikel is daar nog geen besluit over genomen, legt de woordvoerder uit. In die motivatie speelt bijvoorbeeld de omvang van het aantal gelekte mailadressen mee en is ook de inhoud van de gegevens van belang, licht ze toe, verwijzend naar de richtlijnen van de meldplicht datalekken waarin het onbedoeld of ongegrond delen van namen van geadresseerden in cc wordt beoordeeld als een datalek.

De woordvoerder: ‘De volgende vraag is of een datalek ook bij de AP gemeld moet worden. Dat is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Het datalek moet worden gemeld als het leidt tot een risico voor de rechten en vrijheden van betrokkenen. Als er geen gevoelige gegevens zijn onthuld en als er slechts een klein aantal e-mailadressen is onthuld, hoeft een datalek niet altijd gemeld te worden.’

Lees verder op Computable.nl