Autoriteit Persoonsgegevens wil optreden tegen datalekken gemeenten

Voorzitter van de Autoriteit Persoonsgegevens (AP) Aleid Wolfsen wil strenger optreden tegen gemeenten die datalekken niet melden. Dat zegt hij naar aanleiding van een onderzoek naar datalekken van het KRO-NCRV-programma Reporter Radio. Uit het onderzoek blijkt dat gemeenten het afgelopen jaar de helft van de datalekken niet hebben gemeld bij de AP. Dat is sinds 1 januari 2016 in veel gevallen wel verplicht. Wolfsen legt niet uit wat dat strengere optreden inhoudt.

Het onderzoek van Reporter Radio richtte zich op 66 gemeenten die volgens het programma een dwarsdoorsnede vormen van alle Nederlandse gemeenten. Volgens Reporter Radio lijken niet-gemelde lekken veel op datalekken die wel gemeld zijn.

Wolfsen overweegt de gemeenten een brief te sturen om de regels over het melden van datalekken nog eens uit te leggen. Hij zegt wel dat zaken door de AP bekeken moeten worden voordat kan worden vastgesteld dat de gemeenten de lekken hadden moeten melden.

Meer meldingen

Meer dan de helft van de 66 gemeenten heeft volgens Reporter Radio te maken gehad met datalekken. In 90 procent van de gevallen zijn hierbij de namen en adresgegevens van burgers gelekt. Bij twee derde zijn ook BSN-gegevens gelekt.

Volgens Wolfsen loopt het aantal meldingen wel op. "Van alle gemeenten hebben we nu tussen de 600 en 650 meldingen, dat waren er tot september vorig jaar nog 300." Hij wijst op de toename van gevoelige gegevens bij gemeenten, onder meer over jeugdzorg.

Oorzaken van de lekken zijn bijvoorbeeld verkeerd verzonden e-mails, onbeveiligde formulieren of samenwerkingsverbanden tussen gemeenten waarbij gegevens van de ene gemeente toegankelijk zijn voor ambtenaren van de andere. Ook ransomware, phishing en andere pogingen tot hacken worden genoemd als oorzaken van de lekken.