Nieuwsuur

Meer meldingen van datalekken door gemeenten

Bruno Cordioli

Het aantal meldingen van datalekken door gemeenten is fors toegenomen, dat blijkt uit nieuwe cijfers van de Autoriteit Persoonsgegevens. Het gaat om privacygevoelige informatie van burgers.

Voor het eerste kwartaal van dit jaar gaat het om 331 incidenten, tegen 533 in het gehele jaar 2016. Bij ruim veertig procent van die gevallen gaat het om persoonsgegevens die zijn verstuurd of afgegeven aan de verkeerde ontvanger.

Aantal meldingen

Eerste kwartaal 2017331 incidenten
41% 
persoonsgegevens verstuurd of afgegeven aan de verkeerde ontvanger
13% 
gegevens die per ongeluk zijn gepubliceerd
10%  
gegevens op kwijtgeraakte USB-sticks, smartphones of laptops
6% 
brief verkeerd bezorgd of geopend retour ontvangen
5% 
malware en hacking van computers
2%  persoonsgegevens van verkeerde klant/burger in klantportaal, bij oud papier of op afgedankt apparaat   
23%door de melders aangevinkt als 'overig'

Zangeres Noortje Kruijk deed in Gouda een beroep op de Wet Openbaarheid van Bestuur (WOB) om horecavergunningen in de stad op tafel te krijgen. "Toen kregen we een pakket met gegevens waar we niet om hadden gevraagd. Paspoorten, BSN-nummers, huisadressen, alles."

De gegevens die Kruijk ontving, waren niet alleen van horeca-ondernemingen, maar ook van verenigingen en stichtingen in de stad. Ze meldde de fout bij de gemeente, maar zonder resultaat.

"In november kreeg ik weer een pakket met gevoelige persoonlijke gegevens over hypotheekleningen. Die gaan ons echt niets aan."

'Ambtenaren die dit doen, moeten over de knie'
Noortje Kruijk: "Toen kregen we een pakket met gegevens waar we niet om hadden gevraagd. Paspoorten, BSN-nummers, huisadressen, alles."

Horeca-ondernemer Jeroen Carol Visser is een van de gedupeerden. "Het is een ernstige fout. Mensen kunnen misbruik maken van de informatie en bijvoorbeeld bankgegevens wijzigen. Heel kwalijk, het had nooit mogen gebeuren, maar het is wel gebeurd."

"Het is toch te zot voor woorden dat een ambtenaar die verantwoordelijk is voor de veiligheid van gegevens, ongestraft gegevens blijft versturen", zegt Kruijk.

"Gouda heeft het per abuis verstrekken van de persoonsgegevens direct gemeld bij de Autoriteit Persoonsgegevens en heeft in december de betreffende horecaondernemers over het gebeuren geïnformeerd en excuses aangeboden", laat een woordvoerder weten.

Dat het aantal meldingen stijgt, betekent niet automatisch dat het aantal incidenten stijgt. Sinds 1 januari 2016 geldt de meldplicht datalekken, waardoor er meer fouten aan het licht komen. In ruim een derde van de datalekken gaat het om financiële gegevens. Nog vaker gaat het om burgerservicenummers.

De Autoriteit Persoonsgegevens kan organisaties die de Wet Bescherming Persoonsgegevens overtreden een boete geven van maximaal 820.000 euro. Voor een telecombedrijf dat een datalek niet meldt, is de maximale boete 900.000 euro. De hoogte van de boete wordt bepaald aan de hand van verschillende criteria.

Ook persoonsgegevens in Rotterdam zijn niet veilig, blijkt na onderzoek van de Rekenkamer. De Rekenkamer stuurde bedrijfsrechercheurs op gemeentekantoren af om beveiligingsgaten op te sporen.

Paul Hofstra van de Rekenkamer Rotterdam: "Er is gepoogd om fysiek binnen te komen in verschillende panden en dat is gelukt. Vervolgens kregen we met apparatuur toegang tot het intranet van Rotterdam."

Hofstra vreest dat als het in een gemeente met de omvang van Rotterdam al niet goed is geregeld, het in de rest van het land niet veel beter zal zijn. "BSN-gegevens zijn de eerste opstap naar identiteitsfraude. Met eventueel een e-mail of bankrekening erbij maak je snel een nieuwe ID aan waar je vreselijke dingen mee kunt uithalen."

Verkeerde handen

Zo waren er in Capelle aan den IJssel persoonsgegevens en handtekeningen van burgers die een vergunning hadden aangevraagd op de gemeentelijke website te lezen. En in Amersfoort belandden data van 1900 zorgaanvragers in verkeerde handen.

Volgens Hoffmann Bedrijfsrecherche, dat dataveiligheid onderzoekt in verschillende gemeenten, gebeurt het regelmatig. "Bijvoorbeeld USB-sticks en telefoons van ambtenaren die met niet-versleutelde gegevens verloren raken waardoor de gegevens bij derden terecht komen", zegt Job Stierman van het bedrijfsrecherche-bedrijf.

"In een grote gemeente met meer dan tienduizend ambtenaren is er elke dag ééntje die zijn telefoon verliest."

Veel lekken van privacygevoelige informatie van burgers
Het aantal datalekken door gemeenten is fors toegenomen, blijkt uit nieuwe cijfers van de Autoriteit Persoonsgegevens.