Onderzoek

Autoriteit Persoonsgegevens wil strenger optreden tegen datalekken

foto: Marieke Vendrikfoto: Marieke Vendrik
  1. Nieuwschevron right
  2. Autoriteit Persoonsgegevens wil strenger optreden tegen datalekken

[KRO-NCRV] De helft van alle datalekken bij gemeenten is vorig jaar niet gemeld bij de Autoriteit Persoonsgegevens (AP). Dat blijkt uit onderzoek van Reporter Radio. Sinds 1 januari 2016 zijn overheidsinstanties en bedrijven verplicht om ernstige datalekken te melden bij de AP. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens vindt dat gemeenten de meldplicht serieuzer moeten nemen. “ Wij overwegen nu wel, aan de hand van deze gegevens, om nog een keer een brief naar die gemeenten te sturen, om nog eens heel scherp uit te leggen hoe de norm nu is, hoe die wordt en dat ze altijd moeten melden, omdat ze serieus risico lopen op boetes als ze dat niet doen.”

Burgers niet ingelicht

Uit het onderzoek van Reporter Radio blijkt dat bij twee derde van de datalekken het Burger Service Nummer (BSN) is gelekt en in 90% naam en adres gegevens. Het aantal getroffen burgers is minimaal 16 per 1000 inwoners. Opmerkelijk is dat bij 82% van de datalekken, betrokken burgers niet ingelicht zijn. Wolfsen noemt dit een serieus risico. “Als er een BSN-nummer toegankelijk is, dan is er al vrij snel gevaar voor mensen, want daar kan je identiteitsfraude mee plegen.”

Privacygevoelige informatie

De aard van de gemelde datalekken is heel divers. Zo meldde Apeldoorn dat computers met persoonsgegevens in openbare ruimte onterecht toegankelijk waren geweest. Veel gemeenten noemen verkeerd verzonden e-mails, soms met privacygevoelige bestanden met duizenden klantgegevens. Bij samenwerkingsverbanden tussen gemeenten, bv op het gebied van zorg, kan het fout gaan als gegevens van de ene gemeente toegankelijk zijn voor ambtenaren van de andere gemeente. Sommige gemeenten vragen burgers persoonsgegevens door te geven via onbeveiligde formulieren op de site van de gemeente. Andere gemeenten hebben last gehad van Ransomeware of phising of andere vormen van hacken.

Geen beleid

Mary-Jo de Leeuw, cyber security specialist van Revnext, onderzocht het informatieveiligheidsbeleid. “De Baseline Informatie Beveiliging Nederlandse Gemeenten (BIG) wordt door gemeenten heel verschillend ingevuld. Soms een beleid van 60 pagina’s en soms gewoon helemaal niet”. Mary-Jo de Leeuw over de Taskforce BID die de maatregelen opgesteld heeft: “Er zou een evaluatie komen, maar die is er niet geweest. Gemeenten hebben in 2013 een resolutie ondertekend om invulling te geven aan ‘Verplichtende zelfregulering’. De taken van de Taskforce zijn overgedragen aan Digicommissaris Bas Eenhoorn. Wat zijn taken zijn, is onduidelijk".

Zeer ernstig

Gemeenten moeten de maatregelen omzetten in beleid, daar slagen ze dus onvoldoende in. En dat terwijl gemeenten het afgelopen jaar veel meer gevoelige persoonsgegevens hebben moeten verwerken, bv uit de jeugdzorg. Aleid Wolfsen over het : “Een gemeente heeft heel veel gevoelige gegevens, ook over jeugd, en als die toegankelijk zijn voor derden dan is dat zeer ernstig. Zeker in de jeugd psychiatrie hebben gemeenten tegenwoordig belangrijke taken en dus ook belangrijke gegevens over die kinderen. Als dat in handen komt van mensen waar het niet voor bestemd is, dan kan een kind de rest van zijn leven daar last van hebben.”

De onderzoekresultaten: lekken gemeld en lekken niet gemeld.
Luister hier de uitzending terug:

Autoriteit Persoonsgegevens wil strenger optreden tegen datalekken

Ster advertentie
Ster advertentie