De Autoriteit Persoonsgegevens (AP) heeft per ongeluk de namen van werknemers openbaar gemaakt. Ironisch, want bij deze organisatie moeten bedrijven verplicht datalekken melden. Dat heeft onderzoeker Mischa van Geelen van beveiligingsbedrijf NFIR tegenover NU.nl gezegd.
Hoewel het niet het beleid is van AP om namen van werknemers inzichtelijk te maken, is dit dus wel gebeurd. Die waren te zien in de metadata van PDF-bestanden. “Die informatie was openbaar in te zien en daarom toegankelijk voor iedereen”, aldus Van Geelen.
Bij ongeveer 800 documenten die de AP gepubliceerd heeft waren de persoonsgegevens te achterhalen. Woordvoerder Pauline Gras van de AP zegt dat er maatregelen zijn genomen nadat het lek gemeld werd. Ook is het personeel op de hoogte gesteld van de lek.
Geen meldplicht
Net als andere bedrijven in Nederland geldt er voor de AP een vaste procedure bij een datalek, vertelt Gras. Toch valt dit specifieke lek niet onder de meldplicht. “Een datalek moet worden gemeld als het leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.”