Het Koninklijk Nederlands Watersport Verbond (KNWV) heeft gereageerd op de melding van een groot datalek bij de Autoriteit Persoonsgegevens. Volgens het Watersportverbond is er geen sprake van een lek omdat de gekopieerde database met gegevens van 66.000 watersporters “achter een login” staat. Maar privacyexperts en de letter van de wet vertellen een genuanceerder verhaal: de AVG spreekt niet alleen over openbare gegevens, maar ook over “ongeoorloofde verstrekking”, en dat is precies waar de CWO het Verbond van beschuldigt. De Autoriteit Persoonsgegevens zal moeten oordelen wie hier gelijk heeft.

De reactie van het Watersportverbond kwam een dag na de publicatie van het nieuws over de melding bij de Autoriteit Persoonsgegevens. “Er zijn geen gegevens openbaar geworden of vrij toegankelijk geweest voor onbevoegde derden,” aldus het Verbond in een verklaring. De organisatie wijst erop dat de betreffende informatie zich bevindt binnen een beveiligde digitale omgeving met toegangscontrole en dat ook de CWO zelf in haar communicatie vermeldt dat de gegevens achter een inlog staan. “Daarmee vervalt feitelijk direct de kwalificatie van een datalek,” concludeert het KNWV.

Opvallend is dat het Watersportverbond nu zelf vragen stelt bij de manier waarop de situatie aan het licht kwam. Volgens het Verbond heeft een CWO-medewerker toegang verkregen tot een omgeving van het Watersportverbond waarvoor geen toestemming was verleend. “Wij onderzoeken de omstandigheden rondom deze toegang zorgvuldig,” aldus het Verbond, dat aangeeft hierover “waar nodig” in gesprek te gaan met de betrokken partijen.

Twee lezingen van de feiten

De CWO stelde eerder in haar verklaring dat de ontdekking werd gedaan nadat een medewerker door het KNWV was uitgenodigd om in te loggen in het betreffende systeem. Bij vergelijking bleek dat zowel de online omgeving als de data nagenoeg één-op-één overeenkomen met de officiële CWO-database, inclusief de unieke lidnummers die uitsluitend door de CWO worden toegekend. Een extern ICT-expert concludeerde dat sprake is van een datalek volgens de Algemene Verordening Gegevensbescherming (AVG).

Het Watersportverbond spreekt van “een vermeend groot datalek” en benadrukt dat het gaat om een “interne, beveiligde database waarvoor uitgebreide maatregelen zijn genomen om gegevens te anonimiseren.” Het Verbond roept alle betrokken organisaties op tot terughoudende en feitelijke communicatie om “onnodige onrust binnen de sector” te voorkomen.

Directeur Arno van Gerven van het Watersportverbond distantieert zich van de stevige reacties in de media van collega-directeur Geert Dijks van HISWA-RECRON, de brancheorganisatie die samen met de CWO de juridische stappen heeft gezet.

Deze versturen we 3-4x per jaar.