Column


#datalek #Amersfoort

‘Een dodelijke datalekcocktail'

Wat is hot en trending op Twitter? In deze rubriek brengt SecurityVandaag iedere week in kaart wat het ‘beveiligingssentiment’ in deze digitale kletshoek is. Dit keer: #datalek #Amersfoort.

De reacties op Twitter waren niet mals nadat bekend werd dat een medewerker van de gemeente per ongeluk privacygevoelige gegevens had gelekt. Een op de vijf berichten had een negatieve ondertoon. Een beerput, vond @EdwinCGroen. Een dodelijke datalekcocktail, zo oordeelde @BPA_prive.

Bijzondere persoonsgegevens
Wat waren precies de ingrediënten voor die dodelijke datalekcocktail? Volgens een Raadsinformatiebrief van de Burgemeester en Wethouders van de gemeente Amersfoort ging het op 28 januari van dit jaar mis toen een medewerker van de afdeling Sociale Wijkteams een e-mail met bijlage naar de verkeerde persoon stuurde waardoor de zorggegevens van 1900 Amersfoorters in verkeerde handen vielen. Het zou hier gaan om privacygevoelige gegevens – mogelijk zelfs ‘bijzondere persoonsgegevens’ – zoals adresgegevens, burgerservicenummers, namen van zorgaanbieders en omschrijvingen van de geleverde zorg. “Mailen van zulke data is al helemaal fout, ook als het naar de goede adressen gaat”, vond @vosfred.

Zwijgende ambtenaren
Het datalek werd echter nog veel ernstiger, constateerde @EdwinCGroen. Niet alleen de verzender en de ontvanger van de data, maar ‘ook de gemeentesecretaris en de advocaat zwegen wekenlang’. Volgens De Stad Amersfoort kwam tijdens het spoeddebat over deze kwestie naar voren dat drie gemeentelijke afdelingen op de hoogte waren van het feit dat er privacygevoelige informatie naar een verkeerd e-mailadres was gestuurd, maar dat niemand de wethouder heeft ingelicht.

De zaak kwam pas aan het rollen toen de Autoriteit Persoonsgegevens op 7 april door ‘een derde’ op de hoogte werd gesteld van het lek. Het college informeerde de gemeenteraad vervolgens op 8 april terwijl de getroffen burgers tot 15 april moesten wachten op een nadere toelichting. “Wat als de ontvanger van de gegevens deze meteen had verwijderd? Had de gemeente Amersfoort het lek dan niet bekendgemaakt”, zo vroeg de @groenezakendame zich af. Het zwijgen kan verstrekkende gevolgen hebben. “De zwijgende ambtenaren in Amersfoort kunnen de gemeente vanwege het datalek 2,4 miljoen euro kosten. Dit heeft @3Advocaten berekend”, aldus @TedvanderMeer.

Meerdere overtredingen
Hoe komt @3Advocaten aan dit fenomenaal hoge bedrag, dat nog een stuk hoger ligt dan de maximale boete van 820.000 euro voor het overtreden van de meldplicht datalekken? Een verklaring draagt het advocatenkantoor – dat gedupeerden ook via Twitter opriep om zich te melden – aan in een nieuwsbericht op de eigen website waarin wordt gesteld dat de gemeente Amersfoort meerdere overtredingen heeft begaan. De gemeente Amersfoort zou niet alleen de meldplicht hebben overtreden door het lek veel te laat te melden, maar ook de Wet bescherming persoonsgegevens. Deze wet stelt de ‘verantwoordelijke’ verplicht om ‘passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking’. Volgens de 3 Advocaten lijkt het er sterk op dat de bijlage waar het om draait niet was versleuteld en de gemeente zich dus niet heeft gehouden aan de verplichting.

Politieke gevolgen
“Fijn, laten we Amersfoort een hoge boete opleggen, kunnen nog meer mensen (door bezuinigingen) de dupe worden van dit datalek”, zo blikte @BeepLies vooruit op de mogelijke gevolgen. Daarnaast kan het datalek ook politieke gevolgen hebben. @AlexEngbers maakte al melding van een motie van wantrouwen tegen wethouder Imming en tegen wethouder Tigelaar, en @hanscees zag een wethouder zelfs al wankelen.


Lees meer over