Persoonsgegevens op straat door datalekken bij Gelderse gemeenten

EDE - Bij minstens zes Gelderse gemeenten lagen vorig jaar gegevens van burgers op straat of waren die onterecht in te zien. Dat blijkt uit onderzoek van het KRO-NCRV onderzoeksprogramma Reporter Radio.

In totaal gaat het om 21 lekken, waarvan er twaalf werden gemeld bij de Autoriteit Persoonsgegevens. Dat is verplicht als het lek leidt tot (een aanzienlijke kans op) ernstige gevolgen voor de bescherming van persoonsgegevens.

Ernstige zaken 

Bij de meeste meldingen gaat het om slordigheden, zoals mails die per ongeluk worden doorgestuurd, of niet geanonimiseerde vergunningaanvragen die online worden gepubliceerd. Maar er zijn ook ernstigere zaken. 

Zo stonden de aanvraagformulieren omgevingsvergunningen met persoonsgegevens in Aalten onterecht online. Het ging om drie betrokkenen. De procedure voor het publiceren van omgevingsvergunningen werd aangepast.

Dertien keer in de fout 

In Apeldoorn was sprake van negen lekken. Persoonsgegevens konden worden ingezien op computers in de openbare ruimte die onterecht toegankelijk waren. Het is niet bekend hoe vaak persoonsgegevens op deze manier kunnen worden ingezien. 

Bij vier andere lekken werden gegevens per ongeluk gedeeld, onder andere via een e-mail aan een zorgaanbieder. De mail bevatte teveel informatie. Ook werden een BSN en een verrekening van neveninkomsten van een wethouder of burgemeester doorgestuurd aan De Stentor. 

Hack in Ede

De adresgegevens van 3059 inwoners van Ede lagen mogelijk op straat, nadat de website van de gemeente Ede werd 'gehackt'. Het ging om namen, adressen, telefoonnummers, e-mailadressen, BSN en bijzondere persoonsgegevens. 

Een gespecialiseerd bureau deed forensisch onderzoek naar de digitale inbraak. De onderzoekers vonden geen aanwijzing dat de database op de gemeentesite van Ede werd geraadpleegd of dat de inhoud ervan is meegenomen. Maar het bureau kan dit ook niet voor 100 procent uitsluiten. 

Het rapport van het onderzoeksbureau wordt niet openbaar gemaakt, omdat het gegevens bevat over hoe de website van de gemeente in elkaar steekt. De gemeente heeft maatregelen genomen om herhaling te voorkomen.

Zie ook: 

Ook werd de gemeente twee keer het slachtoffer van zogenoemde ransomware, dat bestanden versleutelt en onbruikbaar maakt, tenzij losgeld wordt betaald. Een vermiste iPad met raadsstukken en de privémail van de gebruiker werd op afstand gewist.

Scherpenzeel

De gemeente Scherpenzeel werd twee keer het slachtoffer van cryptolockers, dat is eveneens software die bestanden versleutelt en onbruikbaar maakt. De gemeente heeft aangifte bij de politie en melding gemaakt bij de informatiebeveiligingsdienst voor gemeenten (IBD).

De bestanden zijn teruggezet van een back-up. 

Wijchen

Post voor het sociaal wijkteam is bezorgd bij een naburig pand. De brievenbus werd opengebroken en de inhoud versnipperd en op straat verspreid.

In de post waren adresgegevens te vinden, een kopie van een legitimatiebewijs en dus het geslacht, geboortedatum/leeftijd; de bijzondere persoonsgegevens van twee of drie personen.

Zutphen

De naam, adres en woonplaatsgegevens van 60.000 tot 110.000 inwoners van zes Nederlandse gemeenten, waaronder Zutphen, konden worden ingezien. Dat kwam door een datalek bij de Stichting Inlichtingenbureau Informatieknooppunt Gemeenten, dat vorig jaar mei ontdekt werd.

Afdelingen Werk en Inkomen (uitvoering participatiewet) hebben gegevens ontvangen die uitsluitend aan de afdeling belastingen hadden mogen  worden verstrekt.

Belastingdienstgegevens zijn ten onrechte geraadpleegd voor medewerkers die zich bezig houden met de uitvoering van de Participatiewet. Het gaat daarbij om geautoriseerde medewerkers met geheimhoudingsplicht. 

5500 datalekken in een jaar tijd

Vorig jaar werden landelijk gezien ongeveer 5500 meldingen gedaan bij de Autoriteit Persoonsgegevens. De meldplicht datalekken, die op 1 januari 2016 werd ingevoerd, geldt niet alleen voor het openbaar bestuur, zoals gemeenten.

Vorig jaar kwamen wel relatief veel meldingen vanuit het openbare bestuur, net als uit de sector gezondheid en welzijn en de financiële dienstverlening. Dit zijn alle drie sectoren waarin veel persoonsgegevens worden verwerkt.

Reporter Radio besteedt zondag 29 januari vanaf 19.00 uur meer aandacht aan datalekken.

 

Deel dit artikel: