Op 12 april 2021 krijg ik een berichtje van een bevriende journalist uit Brussel, Jean Comte. De Fransman vertelt dat hij een Eurowob-verzoek heeft gedaan bij de Raad van de EU, de machtige instelling waar ministers en diplomaten besluiten nemen over Europese regels. Comte had bij de Raad alle stukken opgevraagd die bij een bepaalde vergadering waren  besproken. Een van die stukken was een klacht van mij bij de Europese Ombudsman over een besluit van de Raad naar aanleiding van een Eurowob-verzoek.

‘Ik heb een volledige kopie ontvangen van je klacht en ik vraag me eerlijk gezegd af of dat wel mag volgens de privacyregels, want je naam, adres en e-mailadres staan erin,’ appt Comte. ‘Hebben ze je gevraagd of ze deze persoonlijke gegevens mochten vrijgeven? Want dat zouden ze wel moeten doen.’

Nee. Dat had de Raad niet gedaan. En dus was hier sprake van een datalek.

Sinds 2018 kent de EU een uitgebreide set privacyregels, de Algemene Verordening Gegevensbescherming (AVG). Die geldt voor bedrijven, organisaties en nationale overheidsinstellingen. Voor EU-instellingen is echter een andere verordening van toepassing, die vergelijkbare principes kent, en enkele afwijkingen. 

De genoemde verordening is op 11 oktober 2018 unaniem goedgekeurd door alle lidstaten in de Raad van de EU. Er staat in dat bij een datalek van persoonsgegevens, de verantwoordelijke EU-instelling – in mijn geval de Raad – daarvan binnen 72 uur melding moet maken bij de Europese Toezichthouder voor gegevensbescherming. 

De persoon wiens gegevens zijn gelekt, moet ook worden geïnformeerd wanneer het lek ‘waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden’ van de persoon in kwestie. Die melding moet dan ‘zonder onnodige vertraging’ gebeuren. Gebeurde dat in mijn geval?

Comte meldt op 13 april de transparantieafdeling van het Algemeen Secretariaat van de Raad – die Wobverzoeken behandelt – dat het document dat hij had ontvangen, persoonsgegevens bevatte van een derde. Hij e-mailt: ‘Is dat normaal?’

Een dag later krijg ik een e-mail van de Raad. Geen woord over een datalek. Wel schrijft de Raad dat ze een Wob-verzoek hebben ontvangen voor een document waarin mijn naam, postadres, en e-mailadres staan. Of ik bezwaar heb tegen publicatie van de genoemde persoonsgegevens? De Raad verwijst naar het openbare platform Ask the EU, dat ik gebruik om Wob-verzoeken in te dienen. Op dat platform zijn mijn naam en adresgegevens zichtbaar, zo merkt de Raad op, maar dat zijn wel ándere adresgegevens dan die in het document. Dat klopt: omdat ik weet dat verzoeken via Ask the EU automatisch gepubliceerd worden op die site, gebruik ik daar bewust niet mijn huisadres of privé-e-mail. 

Dat de Raad mij niet proactief informeerde over het datalek, is tegen de Europese regels

Op 15 april krijgt Comte antwoord op zijn e-mail. De Raad laat weten dat de persoon in kwestie (ik dus) zijn persoonsgegevens zelf al had verspreid via het platform Ask the EU. ‘Hieruit hebben wij afgeleid dat de betreffende aanvrager niet wenste dat zijn persoonsgegevens worden beschermd.’ Desalniettemin zegt de Raad met mij te overleggen of ik bezwaar heb tegen publicatie en vraagt Comte om mijn identiteit vooralsnog niet publiek te maken.

De stukken waren intussen ook gepubliceerd in het register van de Raad. Die worden voorlopig weer offline gehaald, laat de Raad aan Comte weten. 

Ondertussen weet ik officieel nog niet dat mijn persoonsgegevens bij Comte – en mogelijk andere derden – zijn terechtgekomen. De e-mail die ik op 14 april 2021 kreeg, wekt de indruk dat het document met mijn gegevens nog niet was vrijgegeven. Dat wist ik alleen omdat die derde een vriend was die me hierover informeerde.

Dat de Raad mij niet proactief informeerde over het datalek, is tegen de Europese regels. Regels die nota bene zijn vastgesteld door diezelfde Raad van de EU, met het Europees Parlement.

Niet geïnformeerd

Daarop besluit ik contact op te nemen met Reyes Otero Zapata, de functionaris voor gegevensbescherming [data protection officer, oftewel DPO, red.] van de Raad. Die erkent op 23 april 2021 in een e-mail dat er inderdaad sprake was van een datalek. ‘Helaas realiseerde de verantwoordelijke afdeling, de Transparantiedienst, zich niet dat dit een datalek was en werd ik over het incident niet geïnformeerd,’ schrijft Zapata. 

Ze laat weten dat de Raad de EU-toezichthouder voor gegevensbescherming, geheel volgens de regels, heeft verwittigd van het lek op 22 april: ‘Wij zijn van mening dat de melding binnen 72 uur is gedaan vanaf het moment dat de verwerkingsverantwoordelijke kennis kreeg van het datalek.’ 

Ik vind de antwoorden niet overtuigend en dien een klacht in bij de toezichthouder

Dat moment was volgens de Raad dus het moment dat ik contact had opgenomen met de DPO, en niet het moment dat Comte op 15 april had laten weten dat er persoonsgegevens stonden in het document dat hij had ontvangen. Zapata vermeldt verder dat ik haar mail moest zien als ‘de melding van het datalek’ – die volgens de regels ‘zonder onnodige vertraging’ moest plaatshebben.

Niet hun bedoeling

Zapata reageert ook op mijn verontwaardiging over het feit dat ik niet over het datalek was geïnformeerd, maar wel werd gevraagd of ik bezwaar had tegen het openbaar maken van mijn persoonsgegevens, alsof het besluit daarover nog genomen moest worden. Zapata: ‘Ik kan u verzekeren dat het niet hun bedoeling [van de Transparantiedienst, red.] was om de inbreuk in verband met persoonsgegevens te verbergen.’

Daarop stuur ik nog wat vragen, maar de antwoorden van Zapata zijn niet allemaal overtuigend. Ik dien op 13 mei 2021 een klacht in bij de Europese Toezichthouder voor gegevensbescherming.

De toezichthouder heeft negen maanden nodig om mijn klacht te onderzoeken. Dat had misschien sneller gekund. Op 17 juli 2021 heeft de Raad in een brief vragen beantwoord van de EDPS. Daar mag ik als klager op reageren. De EDPS stuurt me die brief, met een verzoek te reageren, echter pas op 6 oktober 2021 door.

Ik vraag de EDPS meermaals waarom daar zoveel tijd tussen zat en krijg uiteindelijk pas op 11 februari 2022 antwoord – vergezeld van een verontschuldiging. De EDPS verklaart de vertraging door de combinatie van een ‘administratieve vergissing’ en ‘de zware werklast van het EDPS-personeel’.

Berisping

Kort daarna informeert de toezichthouder mij en de Raad van de uitkomst van zijn onderzoek. De EDPS oordeelt dat de Raad zowel artikel 34 als artikel 35 van de toepasselijke verordening heeft geschonden, door respectievelijk de EDPS en mij niet op tijd te informeren over het datalek. Voor die overtredingen geeft de EDPS de Raad een berisping.

EU-instellingen moeten de toezichthouder binnen 72 uur informeren van een datalek. Die klok gaat lopen vanaf het moment dat de EU-instelling ‘kennis heeft genomen’ van het datalek.

De toezichthouder veegt de verdediging van de Raad van tafel

De Raad stelde dat Comte in zijn e-mail van 13 april 2021 niet expliciet vertelde dat er een datalek was, maar slechts vroeg of de openbaring van de persoonsgegevens ‘normaal’ was. Volgens de Raad had ze daarom pas ‘kennis genomen’ van het datalek op het moment dat ik de functionaris voor gegevensbescherming informeerde.

De toezichthouder veegt die verdediging van tafel. Volgens hem ging de 72-uur-teller van start op het moment dat Comte contact opnam met de Raad. Het is ‘onbetwist’ dat de Raad vanaf dat moment op de hoogte was gesteld van het datalek. Het is de verantwoordelijkheid van de verwerker van de gegevens om een datalek te herkennen, ook als de melder van een datalek niet die expliciete bewoordingen gebruikt. De Raad had moeten weten dat het hier om een datalek ging, en de toezichthouder hierover moeten informeren.

De toezichthouder prijst de Raad voor het snel verwijderen van het document met persoonsgegevens uit het publieke register, maar zegt dat de Raad expliciet aan Comte had moeten vragen om het document met persoonsgegevens zelf ook te vernietigen.

Floor Terra is privacydeskundige bij Privacy Company en was eerder inspecteur bij de Autoriteit Persoonsgegevens. Voor de oorspronkelijke fout van de Raad kan hij begrip opbrengen. ‘Ik kan me voorstellen dat zelfs in een organisatie die het goed probeert te doen, je in Wob-procedures af en toe dingen over het hoofd ziet,’ zegt hij.

De oorsprong van het ‘foutje’ ligt in het feit dat de Raad ervan uitging dat de persoonsgegevens in het document openbaar gemaakt mochten worden, omdat andere persoonsgegevens al elders publiek waren. Terra: ‘Het vervelende is dat ze over het hoofd hebben gezien dat het niet per se dezelfde persoonsgegevens hoeven te zijn.’

‘De oorzaak lijkt een oprechte fout, maar de reactie lijkt alsof ze die fout proberen te begraven’

Hij vervolgt: ‘Is het logisch dat mensen zoiets over het hoofd kunnen zien? Ja. Dan zou je de processen zo moeten aanscherpen dat je daar niet zomaar van uit mag gaan. Dit zijn hele venijnige foutjes, je kunt erop wachten dat dit soort foutjes gemaakt worden. Het is alleen niet netjes.’

Wegmoffelen

Terra heeft meer kritiek op hoe de Raad vervolgens niet het datalek heeft gemeld, maar in plaats daarvan toestemming om publicatie vroeg, alsof het document nog niet was gepubliceerd. ‘Daar zit het pijnlijke. De oorzaak lijkt een oprechte fout, maar de reactie lijkt alsof ze die fout proberen te begraven.’ Of het een opzettelijke poging was om het datalek te verhullen – wat de Raad ontkent – is moeilijk te bewijzen, zegt Terra. ‘Het was waarschijnlijk geen opzet, maar het wegmoffelen is wel ongemakkelijk. Het wekt een andere indruk dan het had moeten wekken.’

Na mijn klacht heeft de Raad de interne instructies voor het zwartlakken van persoonsgegevens bij Wob-verzoeken bijgewerkt, om vergelijkbare datalekken in de toekomst te voorkomen. Ook zou het personeel extra training krijgen om meer bewustwording te creëren voor datalekken. De toezichthouder laat desgevraagd weten tevreden te zijn met de maatregelen die de Raad aankondigde.

Het is de eerste keer dat de toezichthouder de Raad van de EU een berisping geeft voor het overtreden van de regels voor gegevensbescherming. Een (administratieve) geldboete kan de toezichthouder alleen opleggen wanneer een EU-instelling weigert mee te werken, wat hier niet het geval was.