De Autoriteit Persoonsgegevens ziet erop toe dat bedrijven zorgvuldig omgaan met privacygevoelige data. Maar ook de Autoriteit Persoonsgegevens gaat wel eens in de fout. Nu blijkt dat men per ongeluk de namen van werknemers openbaar heeft gemaakt.

Dat meldt de beveiligingsfirma NFIR. De privacywaakhond heeft als beleid dat namen van werknemers niet inzichtelijk zijn. De namen van personen achter wetsvoorstellen, onderzoeken en verslagen zijn dan ook in principe nooit openbaar. Door een foutje in pdf-documenten echter wel.

Metadata in pdf’s

De namen van werknemers van de Autoriteit Persoonsgegevens bleken na onderzoek van NFIR inzichtelijk in metadata van pdf-documenten. In bijna achthonderd documenten die de privacywaakhond gepubliceerd had, waren die data te zien. Ondertussen zijn de problemen opgelost en zijn de medewerkers op de hoogte gesteld.

“De informatie was openbaar in te zien en daarom toegankelijk voor iedereen,” aldus woordvoerder Pauline Gras van de Autoriteit Persoonsgegevens tegenover Nu.nl. Zij laat weten dat alle documenten “waarvan we weten dat dit speelt” inmiddels aangepast zijn.

Meldingen verplicht

In Nederland zijn bedrijven verplicht om melding te doen in geval van een datalek. Die melding moet gedaan worden bij de Autoriteit Persoonsgegevens. Die regelgeving geldt ook voor de Autoriteit zelf, al wordt die in dit specifieke geval niet toegepast.

Aan Nu.nl laat Gras weten dat “een datalek moet worden gemeld als het leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens”. Daar zou nu geen sprake van zijn en dus hoeft de Autoriteit geen procedure te starten bij zichzelf.