Datalek provincie: meer dan 10.000 privacygevoelige gegevens onbeschermd

Bij een datalek in de provincie hebben medewerkers van gemeenten en omgevingsdiensten te ruime toegang gehad tot meer dan tienduizend privacygevoelige gegevens van burgers en bedrijven. Dat blijkt uit onderzoek van Omroep Gelderland in samenwerking met onderzoeksjournalistiek programma Reporter Radio van KRO-NCRV.

door Jenda Terpstra

Het gaat om een registratiesysteem 'samen', dat provincie Gelderland en Noord-Brabant gebruiken voor de samenwerking met gemeenten en omgevingsdiensten. Burgers en bedrijven kunnen daarin meldingen doen of klachten doorgeven over bijvoorbeeld geluidsoverlast of stank van industriebedrijven of boerderijen. 

In het systeem staan algemene persoonsgegevens van burgers, maar ook privacygevoelige gegevens van bedrijven. Alle omgevingsdiensten en gemeenten die in dit systeem samenwerken kunnen hierbij. 

Maar in oktober vorig jaar bleek dat medewerkers van de verschillende organisaties wel 'heel diep' in het systeem konden. Zij hadden ook toegang tot informatie over burgers en bedrijven waar zij in feite niets mee te maken hadden. Die gegevens konden zij als medewerker anoniem inzien. En dat mag niet: dat is een inbreuk op de vertrouwelijkheid.

Lek gedicht 

De provincie meldde het lek binnen 72 uur bij de Autoriteit Persoonsgegevens, zoals is voorgeschreven, en scherpte het autorisatiebeleid aan, zo meldt een woordvoerder. Accounts die lange tijd niet zijn gebruikt zijn opgeheven. En de manier van inloggen is aangepast. 

Medewerkers hebben nu een persoonlijk account. Daardoor is terug te zien wie in welke gegeven heeft gekeken, zegt Jan Duker, verantwoordelijk functionaris gegevensbescherming bij de provincie Gelderland. Zoekacties worden nu strakker en vaker in de gaten gehouden. 

Duker geeft toe dat de poort van het systeem te ver open stond. Maar van een lek is volgens hem geen sprake. Want van de mogelijkheid om in meer dossiers te kijken dan nodig, is volgens hem geen misbruik gemaakt.  

Gelderland doet het relatief goed

Het datalek in het registratiesysteem is één van de twee lekken die vorig jaar in de provincie werden ontdekt. In de afgelopen drie jaar telde de provincie zes lekken: twee per jaar. Meestal ging het om e-mails die verkeerd waren geadresseerd.

Daarmee doet Gelderland het landelijk gezien relatief goed, zo blijkt uit het onderzoek van Omroep Gelderland en Reporter Radio. De onderzoeksredacties vroegen gegevens op bij alle Nederlandse provincies over datalekken tussen 2016 en 2018.

Daaruit blijkt dat alle Nederlandse provincies samen vorig jaar 91 datalekken hadden. Dit is een stuk meer dan in 2017 - toen ging het om 52 datalekken. In 2016 waren dit er 38.

Lees meer over dit onderzoek bij Reporter Radio

Andere provincies 

De meeste datalekken vonden plaats in de provincie Friesland: 16 in totaal. Deze werden allemaal niet gemeld aan de Autoriteit Persoonsgegevens. De provincie Noord-Brabant constateerde vorig jaar 14 datalekken en meldde ook geen enkel lek. Op de derde plek staat de provincie Drenthe met 13 datalekken.

Gelderland doet het dus redelijk goed. Dat constateert ook voorzitter van de Rekenkamer Oost-Nederland Michael Mekel. Vorige maand publiceerde de Rekenkamer een onderzoek over informatieveiligheid in de provincie. 

'Informatie in Gelderland is in veilige handen', zegt Mekel. 'Natuurlijk zijn er verbeterpunten, maar 100 procent veiligheid bestaat niet. Het zou gek zijn als er helemaal geen lekken zijn.' 

Autoriteit Persoonsgegevens

Datalekken komen heel veel voor, aldus de Autoriteit Persoonsgegevens die de meldingen verzamelt. Vorig jaar werden er bijna 21.000 datalekken gemeld. De meeste waren afkomstig uit de gezondheidszorg, financiële dienstverlening en openbaar bestuur.

Bij een datalek gaat het om vrijkomen van persoonsgegevens, of het hebben van onterechte toegang tot gegevens bij een organisatie. Het kan gaan om een verloren USB-stick, een hacker die databestanden steelt, een e-mail die verkeerd wordt verstuurd, of een digitale poort die te ver open staat voor de verkeerde medewerkers of buitenstaanders. 

Organisaties die privacygevoelige informatie verwerken en opslaan en die merken dat er een lek is, zijn verplicht dit te melden bij de Autoriteit Persoonsgegevens. 

Voor dit verhaal werkte Omroep Gelderland samen met Reporter Radio, dagblad De Limburger en de Leeuwarder Courant. Via een wob-verzoek vroeg Reporter Radio alle datalekken op bij provincies in Nederland tussen 2016 en 2018. Dit verhaal is het resultaat van de verkregen datasheet van provincie Gelderland. 

💬 WhatsApp ons!
Heb jij een tip of opmerking? Stuur ons een bericht op 06 - 220 543 52 of stuur een mail: omroep@gld.nl!
Meer over dit onderwerp:
Nieuws
Deel dit artikel: