Podcast
Beslissing (154/2025) van de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit (GBA), genomen op 29 september 2025.
De zaak betreft een klacht van Klagere X tegen Verweerder Y wegens een datalek, waarbij e-mailadressen van ontvangers zichtbaar waren in het “cc”-veld tijdens het versturen van een tevredenheidsenquête.
De Geschillenkamer stelt vast dat dit incident kwalificeert als een inbreuk op de vertrouwelijkheid van persoonsgegevens en wijst erop dat de genomen technische en organisatorische maatregelen van de verweerder onvoldoende waren om dit te voorkomen.
Op basis van een prima facie beslissing besluit de Geschillenkamer om de verweerder een waarschuwing te geven voor de toekomst, maar seponeert het deel van de klacht over de meldingsplicht aan de GBA omdat de risico's als beperkt werden ingeschat en de verweerder de betrokkenen proactief heeft geïnformeerd. De verweerder heeft de mogelijkheid om binnen 30 dagen een verzoek tot heroverweging in te dienen voor een volledige behandeling van de zaak.
1. Een e-mailadres is een persoonlijk gegeven
Een e-mailadres wordt volgens de Algemene Verordening Gegevensbescherming (AVG) gezien als een persoonsgegeven. Dit betekent dat het beschermd is en niet zomaar openbaar mag worden gemaakt.
2. 'CC' maakt persoonsgegevens openbaar
Wanneer je e-mailadressen in het 'cc'-veld (Carbon Copy) plaatst, maak je de volledige lijst van ontvangers zichtbaar voor iedereen die de e-mail ontvangt. In de casus uit de bronnen stuurde een bedrijf een e-mail naar ongeveer 450 personen, waarbij al hun e-mailadressen in het 'cc'-veld stonden. Hierdoor kon elke ontvanger de e-mailadressen van de andere 449 personen zien.
3. Het is een inbreuk op de vertrouwelijkheid
Het onbedoeld delen van e-mailadressen wordt juridisch gekwalificeerd als een "inbreuk in verband met persoonsgegevens". Specifiek is er sprake van:
- Een inbreuk op de vertrouwelijkheid.
- Een ongeoorloofde of onbedoelde verstrekking van persoonsgegevens.
Simpel gezegd: door 'cc' te gebruiken, geef je zonder toestemming persoonlijke informatie (de e-mailadressen) door aan een grote groep andere mensen. Dit is een schending van de privacy van de ontvangers.
4. De verzender is verantwoordelijk
Volgens de AVG (artikelen 5, 25 en 32) is de organisatie die de gegevens verwerkt (de "verwerkingsverantwoordelijke") verplicht om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen. Het doel is om te beschermen tegen ongeoorloofde of onrechtmatige verwerking.
- Zelfs als het een menselijke fout is, blijft de organisatie verantwoordelijk. In de casus gaf het bedrijf aan dat het een individuele fout was van een medewerker onder tijdsdruk. De Gegevensbeschermingsautoriteit (GBA) stelde echter dat het feit dat zo'n fout kón gebeuren, betekent dat de maatregelen van het bedrijf onvoldoende waren om dit te voorkomen.
5. De gevolgen van zo'n datalek
Een dergelijk incident kan serieuze gevolgen hebben voor de verzendende organisatie:
- Klachten: In dit geval diende een van de ontvangers een klacht in bij de Gegevensbeschermingsautoriteit.
- Meldingsplicht: De organisatie moest een risicoanalyse uitvoeren om te bepalen of het datalek gemeld moest worden aan de GBA en aan de betrokkenen zelf. In dit geval besloot het bedrijf de betrokkenen proactief te informeren en zich te verontschuldigen.
- Sancties: De GBA kan maatregelen opleggen. In deze zaak kreeg het bedrijf een officiële waarschuwing om in de toekomst betere maatregelen te nemen. Afhankelijk van de ernst kunnen de sancties zwaarder zijn.
- Corrigerende acties: Het bedrijf moest maatregelen nemen om herhaling te voorkomen, zoals het herinneren van personeel aan de regels en het organiseren van bewustmakingssessies.
Hoewel de risico's in deze specifieke zaak als beperkt werden ingeschat (het ging om professionele e-mailadressen van klanten), benadrukt de GBA dat dergelijke datalekken in andere omstandigheden zwaarwegende gevolgen kunnen hebben voor de betrokkenen.
Conclusie
Samengevat, je mag ontvangers niet in 'cc' zetten bij (massa-)e-mails omdat je daarmee hun persoonsgegevens (e-mailadressen) deelt met alle andere ontvangers, wat een datalek en een schending van de privacywetgeving (AVG) is. De verzender is hiervoor verantwoordelijk en kan een waarschuwing of andere sancties krijgen.
Om dit te voorkomen, moet je het 'bcc'-veld (Blind Carbon Copy) gebruiken. De informatie in deze laatste zin is niet afkomstig uit de bronnen. Wanneer je 'bcc' gebruikt, blijft de lijst met ontvangers verborgen voor iedereen.