De Autoriteit Persoonsgegevens, waarbij bedrijven datalekken verplicht moeten melden, heeft zelf per ongeluk de namen van werknemers openbaar gemaakt.

Dat vertelt onderzoeker Mischa van Geelen van beveiligingsbedrijf NFIR aan NU.nl.

"Het is niet ons beleid om namen van medewerkers inzichtelijk te maken", aldus woordvoerder Pauline Gras van Autoriteit Persoonsgegevens. Daarom worden schrijvers van onderzoeken, wetsadviezen en verslagen nooit openbaar gemaakt.

De namen waren echter te zien in de metadata van pdf-bestanden, waardoor ze alsnog inzichtelijk waren. "Die informatie was openbaar in te zien en daarom toegankelijk voor iedereen", vertelt van Geelen.

De persoonsgegevens waren te achterhalen bij ongeveer 800 documenten die door de Autoriteit Persoonsgegevens waren gepubliceerd.

Volgens Gras nam de Autoriteit Persoonsgegevens maatregelen nadat er melding was gedaan van het lek: "Alle pdf’s waarvan we weten dat dit speelt, hebben wij inmiddels aangepast". Daarnaast is personeel van het lek op de hoogte gesteld.

Meldplicht

Bedrijven zijn in Nederland wettelijk verplicht om melding te doen van een datalek bij de Autoriteit Persoonsgegevens. Ditmaal is de organisatie zelf door zo'n lek getroffen. "Bij datalekken geldt een vaste procedure die voor alle organisaties geldt, ook voor ons", zegt Gras. 

Dit specifieke datalek valt volgens Gras echter niet onder de meldplicht. "Een datalek moet worden gemeld als het leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt."