Gebruik van cc in e-mails: opgepast voor datalekken

Wat als u een mail naar meerdere klanten tegelijkertijd stuurt? Wist u dat dat  aanleiding kan geven tot datalekken, zelfs met een hoog risico? Wees daarom alert als u e-mails verstuurt naar meerdere mensen tegelijkertijd.  

Een waargebeurd voorbeeld

Een geïnspireerde P&V-agent organiseert een kerstmarkt en nodigt al zijn klanten uit. Hij verstuurt de uitnodigingen per e-mail, maar in de plaats van bcc gebruikt hij cc. Dat betekent dat alle genodigden kunnen zien naar wie de mail verstuurd is en via welke e-mailadres.

Gaat het hier om een datalek? Ja, helaas wel, en de gevolgen kunnen groot zijn.

Het verschil tussen bcc (blind carbon copy)  en cc (carbon copy)   

Bij het gebruik van bcc, ziet de ontvanger enkel zijn eigen e-mailadres, alsof hij de enige ontvanger van het bericht is. Hij ziet dus niet dat de e-mail ook naar anderen werd verstuurd. Als de ontvanger wil reageren, dan zal alleen de verzender de reactie ontvangen.

Bij cc krijgen alle ontvangers de volledige verzendlijst te zien, samen met het betrokken e-mailadres.

Goed om weten: als u in hetzelfde bericht zowel bcc en bc gebruikt:

• kan elke bcc-ontvanger iedereen in cc zien, maar niet de anderen in bcc.
• kan elke cc-ontvanger iedereen in cc kan zien, maar niemand in bcc.

Wat is een datalek nu weer precies?

De Algemene Verordening Gegevensbescherming (AVG) definieert een datalek als volgt:
“… een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.’

Hoe kan het gebruik van cc in een mail een datalek vormen?

In dit concreet geval gaat het om een per ongeluk ongeoorloofde of onbedoelde verstrekking van persoonsgegevens. Zonder toestemming van de geïnteresseerden werden hier persoonsgegevens (e-mailadressen, namen) gedeeld met derden.

Alle geadresseerden weten nu van elkaar dat ze in hetzelfde bestand zitten, kennen elkaars privé-mailadres én weten nu ook van mekaar dat ze allemaal klant zijn bij P&V.

Waarom kunnen de gevolgen ernstig zijn?   

De betrokken klanten kunnen dit aanvoelen als een inbreuk op hun privéleven. Ze kunnen ons dit kwalijk nemen en willen overstappen naar een andere verzekeraar. Of ze kunnen klacht neerleggen bij de Gegevensbeschermingsautoriteit (GBA) die ons nadien een administratieve geldboete oplegt. Ten slotte kan hierover worden gepubliceerd in de pers met reputatieschade aan de onderneming tot gevolg.

Als de verzending gebeurd is, hoe reageren?

• Probeer de verstuurde e-mail in te trekken (recallen).
• Meld het incident vervolgens onmiddellijk bij de helpdesk van P&V via het nummer 0800/35 219 of via e-mail naar support@pv.be met de vermelding ‘data breach’.
• Breng ook je district manager en de compliance correspondent (Ellen Rooms) op de hoogte.
• Verricht zelf geen onderzoek of analyse. Probeer ook de gegevens of informatie met betrekking tot het datalek niet te wissen, te wijzigen of op te slaan.
• Communiceer zelf niet over het datalek en praat er niet over met andere medewerkers.

De volledige data breach-procedure P&V vindt u terug op Tango (onder Juridische informatie).

Nog enkele nuttige tips:

• Gebruik bij voorkeur bcc bij e-mails aan meerdere geadresseerden, zeker als de ontvangers niet met elkaar hoeven te communiceren. Check ook zeker of de inhoud van de mail of de bijlagen geen informatie over anderen bevat.
• Gebruik enkel cc als alle zichtbare ontvangers met elkaar moeten kunnen communiceren per e-mail.
• Controleer in een e-mailketting bij ‘reply all’ of ‘forwarden’ telkens wie er in cc staat. Men begaat namelijk dezelfde inbreuk als de ontvangers in de eerste e-mail al niet in cc mochten staan.