Nieuws

Aantal datalekken bij de gemeente stijgt fors

Het aantal datalekken bij de gemeente Amsterdam is in 2018 fors toegenomen. Stichting Privacy First is kritisch. ‘Natuurlijk: je hebt enorm veel ambtenaren, een foutje is zo gemaakt. Maar ieder datalek is er één te veel.’

Beeld anp

Die stijging blijkt uit documenten opgevraagd met een WOB-verzoek door Het Parool.

Sinds 1 januari 2016 zijn bedrijven en gemeenten verplicht om datalekken, waarbij persoonsgegevens in handen komen van onbevoegde personen, bij te houden en te melden bij de Autoriteit Persoonsgegevens (AP). Denk daarbij aan documenten met daarin bijvoorbeeld BSN-nummers of medische en juridische informatie.

Bij de gemeente Amsterdam kwam dat in drie jaar, van 2016 tot en met 2018, gemiddeld eens in de acht dagen voor. In totaal komt dat neer op 140 datalekken. Zo klikte een ambtenaar op een phishing-e-mail en werden tientallen ambtelijke smartphones gestolen of raakten zoek. Ook verloor een medewerker zijn tas, met daarin vier dossiers met gevoelige informatie over kinderen.

Van de 140 datalekken waren volgens de gemeente 61 gevallen ernstig genoeg om te melden aan de AP. Dat hoeft niet altijd: er wordt onder meer gekeken naar de impact op betrokkenen, de schaal van het lek en om wat voor gegevens het gaat. Of datalekken in Amsterdam vaker voorkomen dan in andere grote gemeenten kan een woordvoerder van de AP niet zeggen. “We doen alleen uitspraken over specifieke gevallen als we daar onderzoek naar hebben gedaan.”

Opvallend is de enorme toename van datalekken in 2018, met name vanaf juni. Twee derde van de datalekken vond in dat jaar plaats en met 21 gevallen spande november de kroon. 

Aan de haal

“Ieder datalek is kwalijk,” zegt Martijn van der Veen van stichting Privacy First. “Het kan namelijk altijd schadelijke gevolgen hebben. Natuurlijk: je hebt enorm veel ambtenaren bij de gemeente Amsterdam, een foutje is zo gemaakt. Maar ieder datalek is er één te veel. Zeker in zo’n geval waarbij dossiers van vier kinderen zoekraken: dat leidt tot directe schade voor het gezin. Je weet niet wie ermee aan de haal gaat.”

Ook de gemeente Amsterdam vindt ieder datalek er een te veel, zo laat een woordvoerder weten. De stijging in 2018 is volgens de zegsvrouw onder meer te verklaren doordat alle meldingen nu worden gedaan door de Functionaris Gegevensbescherming, die sinds de invoering van de AVG verplicht is. “Daarnaast is de verhoogde bewustwording in de organisatie sinds de AVG ook een factor. De meldingen hebben overigens niet geleid tot sancties of acties vanuit de AP.”

In dezelfde drie jaar vonden overigens nog veel meer beveiligingsincidenten plaats, zoals fouten in software, misbruik van bevoegdheden of ICT-storingen. Met 1304 gevallen gebeurde dat gemiddeld meer dan eens (1,2) per dag. Volgens de gemeente ‘dekt het niet de lading om deze qua ernst op een hoop te gooien’. “Het gaat om verschillende soorten incidenten.”

Van der Veen van Privacy First vindt dat beschermingsmaatregelen na ieder lek of incident tegen het licht moeten worden gehouden. “Bijvoorbeeld bij persoonlijke dossiers: mag een ambtenaar die meenemen? En zo ja, mag dat in een open tas? Instanties moeten zich afvragen of de huidige maatregelen voldoen.”

Deze publicatie is tot stand gekomen met steun van het Fonds Bijzondere Journalistieke Projecten.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden