De impact van mails in (B)CC: ‘Vertrouwen in mijn psycholoog is geschonden’

Brecht Castel

Gemeentebesturen en psychologen mailden de voorbije maanden grote groepen mensen om coronamaatregelen aan te kondigen. Soms werd daarbij de privacy geschonden doordat geadresseerden elkaars mailadres konden zien.

Op 27 april stuurt Wilfried Vandaele (N-VA), de burgemeester van De Haan, een mail naar 396 eigenaars van een strandcabine in zijn gemeente. ‘De grote vraag is hoe wij duizenden mensen op ons strand kunnen ontvangen met zo weinig mogelijk risico op besmetting’, staat in de mail.

Hoewel het normaliter verplicht is om je strandcabine elke zomer te plaatsen, wordt het nu in dank aanvaard als mensen hun strandhuisje niet zullen plaatsen. ‘Wij zullen dus zeker niet straffen, integendeel: je hoeft dan voor dit jaar geen standgeld te betalen, en je behoudt je plaats volgend jaar.’

De bijna 400 geadresseerden van die mail staan in carbon copy (CC) en niet in blind carbon copy (BCC). Hierdoor kunnen alle cabine-eigenaars elkaars mailadres zien. Een dag later ontvangen de gecontacteerden een mail met excuses. Die mail werd verstuurd door Dieter Van de Putte, de toenmalige functionaris gegevensbescherming van De Haan. Ditmaal wel met gebruik van BCC.

In de lijst van mailadressen viel mij de naam van een vriendin op.

Marianne, die een mail kreeg van haar psycholoog

‘De burgemeester had zijn menselijke fout snel zelf ontdekt’, zegt Van de Putte. ‘We hebben meteen onze excuses aangeboden en het voorval gemeld aan de gegevensbeschermingsautoriteit (GBA). Niemand hoeft te weten dat iemand een strandcabine heeft in een bepaalde kustgemeente.’

Het eigendom van een strandcabine is voor de meeste mensen wellicht geen gevoelige informatie. Maar ook zorgverleners mailen soms groepen mensen, zonder gebruik van de blinde kopie.

Dat ondervond Marianne* in het begin van de lockdown: ‘In de tweede helft van maart ontving ik drie mails in verband met corona waarin een groep onbekenden en ikzelf in CC of Aan stonden en niet in BCC. Eén mail was van een hobbyvereniging, de twee anderen kwamen van zorgverleners: mijn gynaecoloog en mijn psycholoog.’

‘Vooral de mail van mijn psycholoog was vrij schokkend’, vertelt Marianne. ‘Ze stuurde richtlijnen over de consultaties aan 15 cliënten. In de lijst van mailadressen viel mij de naam van een vriendin op. Ik wist niet dat zij naar dezelfde psycholoog ging als ik en zij weet niet dat ik in therapie ben. Ik vind de situatie vervelend. Mijn vertrouwen in mijn psycholoog is geschaad. Is mijn informatie wel veilig bij haar?’

Juridische fout

De Vlaamse Vereniging van Klinisch Psychologen (VVKP) is duidelijk over dergelijke fouten. ‘In principe is een groep cliënten mailen zonder gebruik van BCC een schending van het beroepsgeheim’, zegt gedelegeerd bestuurder Koen Lowet. ‘Een cliënt die dit overkomt, kan een strafklacht indienen. Uit ervaring weten we echter dat het parket weinig prioriteit geeft aan dat soort klachten.’

‘Als je iemand schade berokkent door te mailen naar een groep mensen zonder gebruik van BCC, dan is een schadevergoeding mogelijk’, zegt privacy-expert Kris Seyen van advocatenkantoor deJuristen. ‘Dat geldt niet alleen voor beroepsbeoefenaars die vallen onder het beroepsgeheim, maar ook voor gewone burgers.’

De fout in De Haan is zeker niet het enige geval, maar exacte cijfers ontbreken.

Aurélie Waeterinckx, woordvoerder van de gegevensbeschermingsautoriteit

‘Twee jaar geleden werd de Europese verordening over persoonsgegevens GDPR (General Data Protection Regulation, nvdr.) van kracht. Sindsdien is een groep mensen mailen in CC zonder hun toestemming duidelijk fout. Voordien kon je het ergerlijk vinden, maar nu is het een juridische inbreuk.’

‘BCC correct gebruiken, is meer dan online etiquette. De GDPR bepaalt dat, als je iemand een boodschap wil sturen, je dat moet doen op een manier die zo weinig mogelijk inbreuk doet op de privacyverwachtingen van de ontvanger. Die regel is dezelfde voor gemeentebesturen, psychologen en gewone burgers.’

Dergelijke inbreuken komen vaker voor volgens de gegevensbeschermingsautoriteit (GBA). ‘De fout in De Haan is zeker niet het enige geval dat recent bij ons binnenkwam, maar exacte cijfers ontbreken’, zegt Aurélie Waeterinckx, woordvoerder van de GBA.

Was er een stijging in het aantal (B)CC-gevallen door het mailverkeer over corona? ‘Dat weten we niet’, aldus Waeterinckx. ‘We hebben onvoldoende accuraat cijfermateriaal om dit te vergelijken met andere periodes.’

Oud probleem

‘(B)CC is een oud probleem dat al twintig jaar bestaat, maar niet weggaat’, zegt Seyen. ‘De BCC- en CC-functie hebben een bepaald doel, maar blijkbaar zijn er nog veel mensen die daar ongeletterd in zijn of onachtzaam.’

Sensibilisering blijft nodig volgens psycholoog Lowet van het VVKP: ‘Alle psychologen krijgen in hun basisopleiding een grondig onderricht in onze deontologie, maar het blijft nodig om erop te wijzen dat ze de privacy van patiënten moeten respecteren bij mailcontact. Zeker als mails, bijvoorbeeld voor een intake, gevoelige informatie bevatten.’

(B)CC is een oud probleem dat al twintig jaar bestaat, maar niet weggaat.

Kris Seyen, privacy-expert van advocatenkantoor deJuristen

‘Wij raden psychologen aan om een applicatie te installeren in hun mailprogramma om beveiligd mailverkeer mogelijk te maken. Een app zoals Zivver waarschuwt de psycholoog als die een mail met gevoelige informatie naar meerdere mensen zou sturen.’

Marianne bouwde als cliënt zelf een veiligheid in: ‘Ik heb een geanonimiseerd mailadres aangemaakt, dat ik nu zal gebruiken voor doktersafspraken en alle mailcontact waarbij ik mijn privacy belangrijk vind.’

Ze gaat geen klacht neerleggen tegen haar huidige psycholoog en aanvaardde haar excuses. Desalniettemin overweegt Marianne een nieuwe therapeut te zoeken. ‘Het gevoel om een psycholoog 100 procent te kunnen vertrouwen is heel belangrijk. Dat is nu weg.’

De eigenaars van strandcabines in De Haan reageerden gemengd op hun privacy-inbreuk volgens ex-functionaris gegevensbescherming Dieter Van de Putte: ‘Sommigen reageerden ‘geen probleem’, bij anderen klonk het ‘dit mag eigenlijk niet’.’ Klachten werden er ook in dit geval niet ingediend.

* Marianne is een gefingeerde naam om privacyredenen.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content