Sinds enige tijd zit er een nieuw, klein winkeltje bij ons in de buurt. Ik laat omwille van privacy achterwege wat voor winkel het is en waar het exact zit. Maar na een eerste bezoek vlak na de opening besluit ik mijn mailadres bij ze achter te laten, om lid te worden van hun nieuwsbrief. Dat gebeurde door bij het afrekenen een mailadres in te vullen (zelf) op een iPad en aan te vinken dat je lid wilt worden van de nieuwsbrief. Niets aan de hand. Het ging wel allemaal wat stroef, want ze waren net open, nog niet alles werkt perfect en de lokale winkelier heeft genoeg andere dingen aan zijn hoofd dan de techniek op orde krijgen, zo leek het me. Zijn dochters staan achter de kassa en helpen mee.

Ik krijg vandaag de eerste nieuwsbrief en wat me direct opvalt, alle leden van de nieuwsbrief staan met naam en mailadres in het “Aan:"-veld van de mail.

Alarmbel. Dat is niet goed.

Het is een datalek volgens de AVG, omdat persoonsgegevens (namen en mailadressen) onrechtmatig zijn gedeeld. Hier kan een boete op staan van de Autoriteit Persoonsgegevens.

Ik mail de winkel terug:

Hi Dank voor je mail, maar wat jullie nu hebben gedaan is een datalek volgens de AVG. De mailadressen van alle ontvangers zijn zichtbaar in het aan-veld, inclusief mijn mailadres. Dit is het onrechtmatig delen van mailadressen en wordt gezien als een zwaar datalek volgens de Autoriteit Persoonsgegevens. In theorie zijn jullie in overtreding nu. Ik kan je adviseren contact op te nemen met de Autoriteit Persoonsgegevens of een eigen jurist, hoe hier mee om te gaan.

Dit is toch een nette mail lijkt me. Ik leg uit waar het probleem zit, waarom het een probleem is en wat ze kunnen doen. Ik krijg binnen een paar minuten het volgende antwoord

Hi! Bedankt voor uw snelle reactie, wij hebben de bcc wel aangezet. Jammer genoeg is er dan iets fout gegaan. Onze excuses daarvoor en volgende keer zullen we ons uiterste best doen dat dit niet meer gebeurt. Om verdere ongemakken te voorkomen, zullen wij u bovendien van onze mailinglijst verwijderen. Prettige dag.

Euh… huh?
OK, excuses dat het is misgegaan. Prima. Dat is het minste dat je kunt doen. Maar uit de rest van het antwoord lijkt niet dat ze helemaal snappen wat er is gebeurd. Ze hebben BCC aangezet, dat kan. Maar dan moet je daar wel de mailadressen in zetten. Aan hun eigen mailadres is te zien dat ze GMail gebruiken in plaats van mail op eigen domein. In GMail is toch wel duidelijk te zien waar het Aan-veld staat en waar de BCC. Ze doen hun uiterste best om het de volgende keer te voorkomen. Maar het kwaad is al geschied. De mailadressen zijn al gelekt. Dat is niet meer terug te draaien door ze vanaf nu niet meer open en bloot te delen. En dan de klap op de vuurpijl, ik ben van de mailinglist verwijderd. Daar vroeg ik helemaal niet om. En wiens ongemakken willen ze voorkomen in de toekomst? Die van mij, dat mijn mailadres niet onrechtmatig wordt gedeeld (is al gebeurd) of hun eigen ongemak dat ze niet op een strafbaar feit worden gewezen?

Wat nu te doen? Het is een kleine winkel van een zelfstandige ondernemer. Het gaat om plm 180 mailadressen dus best een flink aantal. Als ik het stappenplan bekijk bij Autoriteit Persoonsgegevens, zou het wel kunnen, maar ja, wat heeft dat voor gevolgen voor die winkelier? Ik wil niet op mijn geweten hebben dat die winkelier een forse boete krijgt, 3 maanden na opening van de winkel. Ik ben juist blij met meer lokale en onafhankelijke winkeliers. Misschien nog eens een mail er achteraan sturen ter verduidelijking? Met een link naar het stappenplan en een tip wat te doen, zoals in elk geval iedereen een bericht sturen dat er een fout is gemaakt. En dat ik graag wel op de mailinglijst blijf. Wat vinden jullie?