Op 7 maart jl. verzocht ik de Autoriteit persoonsgegevens (“Ap”) mij een kopie te verstrekken van de brief die de toezichthouder eind februari had verstuurd naar een aantal koepelorganisaties, zijnde: de Pensioenfederatie, het Verbond van Verzekeraars en de Nederlandse Vereniging van Banken, met daarin een specifieke regeling voor de datalekken die zich zouden kunnen voordoen bij een verkeerd bezorgde brief, die geopend is teruggestuurd naar de verantwoordelijke. En, zoals dat gaat, daarbij deed ik gemakshalve een beroep op de Wet openbaarheid van bestuur (“Wob”).
Op 24 april jl. heeft Ap mijn verzoek toegewezen en de drie gevraagde brieven aan mij verstrekt. De brieven zijn daarmee openbaar en daarom zijn daaruit, met het oog op de bescherming van de persoonlijke levenssfeer, de namen van de desbetreffende Ap-medewerkers verwijderd. De namen van de geadresseerden bij de drie organisaties zijn blijven staan. Ik ga er maar vanuit dat zij daartegen geen bezwaar maken.
Hoe dan ook. In de drie gelijkluidende brieven staat onder welke voorwaarden zoekgeraakte post niet binnen 72 uur maar pas na een maand (“uiterlijk op de overeenkomstige dag van de eerstvolgende kalendermaand na de dag van ontdekking“) behoeft te worden gemeld.
Uit het besluit maak ik op dat de verschillende brieven overeenkomstig de artikelen 2 en 5.4 van de Beleidsregels openbaarmaking (Stcrt. 2016, nr. 1380) ook op de website van Ap zouden moeten staan. Ik heb ze daar nog niet aangetroffen. Daarom in elk geval ook zo:
Het is overigens nog maar de vraag of de Wet bescherming persoonsgegevens altijd van toepassing is op zoekgeraakte brieven. Daarover schreef ik met Paul de Groot van PostNL een tekst die als het goed is nog deze maand wordt gepubliceerd in het tijdschrift Privacy & Informatie en dan ook op dit blog zal zijn te vinden.