Het aantal meldingen van datalekken door gemeenten is fors toegenomen, dat blijkt uit nieuwe cijfers van de Autoriteit Persoonsgegevens. Het gaat om privacygevoelige informatie van burgers.
Voor het eerste kwartaal van dit jaar gaat het om 331 incidenten, tegen 533 in het gehele jaar 2016. Bij ruim veertig procent van die gevallen gaat het om persoonsgegevens die zijn verstuurd of afgegeven aan de verkeerde ontvanger.
Aantal meldingen
| Eerste kwartaal 2017 | 331 incidenten | |
| 41% | persoonsgegevens verstuurd of afgegeven aan de verkeerde ontvanger | |
| 13% | gegevens die per ongeluk zijn gepubliceerd | |
| 10% | gegevens op kwijtgeraakte USB-sticks, smartphones of laptops | |
| 6% | brief verkeerd bezorgd of geopend retour ontvangen | |
| 5% | malware en hacking van computers | |
| 2% | persoonsgegevens van verkeerde klant/burger in klantportaal, bij oud papier of op afgedankt apparaat | |
| 23% | door de melders aangevinkt als 'overig' |
Zangeres Noortje Kruijk deed in Gouda een beroep op de Wet Openbaarheid van Bestuur (WOB) om horecavergunningen in de stad op tafel te krijgen. "Toen kregen we een pakket met gegevens waar we niet om hadden gevraagd. Paspoorten, BSN-nummers, huisadressen, alles."
De gegevens die Kruijk ontving, waren niet alleen van horeca-ondernemingen, maar ook van verenigingen en stichtingen in de stad. Ze meldde de fout bij de gemeente, maar zonder resultaat.
"In november kreeg ik weer een pakket met gevoelige persoonlijke gegevens over hypotheekleningen. Die gaan ons echt niets aan."
Horeca-ondernemer Jeroen Carol Visser is een van de gedupeerden. "Het is een ernstige fout. Mensen kunnen misbruik maken van de informatie en bijvoorbeeld bankgegevens wijzigen. Heel kwalijk, het had nooit mogen gebeuren, maar het is wel gebeurd."
"Het is toch te zot voor woorden dat een ambtenaar die verantwoordelijk is voor de veiligheid van gegevens, ongestraft gegevens blijft versturen", zegt Kruijk.
"Gouda heeft het per abuis verstrekken van de persoonsgegevens direct gemeld bij de Autoriteit Persoonsgegevens en heeft in december de betreffende horecaondernemers over het gebeuren geïnformeerd en excuses aangeboden", laat een woordvoerder weten.
Ook persoonsgegevens in Rotterdam zijn niet veilig, blijkt na onderzoek van de Rekenkamer. De Rekenkamer stuurde bedrijfsrechercheurs op gemeentekantoren af om beveiligingsgaten op te sporen.
Paul Hofstra van de Rekenkamer Rotterdam: "Er is gepoogd om fysiek binnen te komen in verschillende panden en dat is gelukt. Vervolgens kregen we met apparatuur toegang tot het intranet van Rotterdam."
Hofstra vreest dat als het in een gemeente met de omvang van Rotterdam al niet goed is geregeld, het in de rest van het land niet veel beter zal zijn. "BSN-gegevens zijn de eerste opstap naar identiteitsfraude. Met eventueel een e-mail of bankrekening erbij maak je snel een nieuwe ID aan waar je vreselijke dingen mee kunt uithalen."
Verkeerde handen
Zo waren er in Capelle aan den IJssel persoonsgegevens en handtekeningen van burgers die een vergunning hadden aangevraagd op de gemeentelijke website te lezen. En in Amersfoort belandden data van 1900 zorgaanvragers in verkeerde handen.
Volgens Hoffmann Bedrijfsrecherche, dat dataveiligheid onderzoekt in verschillende gemeenten, gebeurt het regelmatig. "Bijvoorbeeld USB-sticks en telefoons van ambtenaren die met niet-versleutelde gegevens verloren raken waardoor de gegevens bij derden terecht komen", zegt Job Stierman van het bedrijfsrecherche-bedrijf.
"In een grote gemeente met meer dan tienduizend ambtenaren is er elke dag ééntje die zijn telefoon verliest."
