Datalek gemeld bij Autoriteit Persoonsgegevens

De gemeente Hellevoetsluis heeft op donderdag 25 juli een datalek gemeld bij de Autoriteit Persoonsgegevens. Een journalist van RTL Nieuws maakte de gemeente er op attent dat er via Google privacygevoelige informatie, waaronder persoonsgegevens, vindbaar waren op een website van de gemeente. De gemeente heeft op basis van die informatie nog dezelfde middag de betreffende site offline gehaald en een melding gedaan bij de Autoriteit Persoonsgegevens.

Wat is er aan de hand?

Het datalek bevond zich in een gemeentelijk systeem dat gebruikt wordt om adviezen uit te brengen aan het college van B&W en de gemeenteraad. Het systeem is al sinds 2001 in gebruik. Alle openbare besluiten van het college en de openbare stukken die daarbij horen, worden na het besluit openbaar gemaakt, en waren raadpleegbaar via een url op de gemeentelijke website. Privacygevoelige informatie en documenten mogen daar uiteraard niet op staan. Het kan desondanks voorkomen dat een menselijke fout wordt gemaakt in het openbaar maken van een advies of bijlage. Uit de melding van de betreffende journalist bleek dat er meerdere gevallen waren.

Wat heeft de gemeente gedaan na de melding?

Kort na de melding heeft de verantwoordelijke wethouder, in overleg met de functionarissen die zich bezighouden met de bescherming van persoonsgegevens en informatie, direct besloten om de betreffende site volledig offline te halen. Ook is een melding gedaan bij de Autoriteit Persoonsgegevens.

Daarnaast is een verzoek bij Google gedaan om de cache (zoekresultaten) te wissen voor wat betreft de site waar het probleem zich op voordeed. Een zelfde verzoek is ook bij andere zoekmachines gedaan. Deze maatregelen zorgen ervoor dat de persoonsgegevens niet meer publiekelijk beschikbaar zijn, waardoor eventuele risico’s worden beperkt. De journalist van RTL heeft naar de gemeente toe bevestigd dat hij de door hem ingeziene gegevens verwijderd heeft.  

Wat is de omvang van het probleem?

Het is niet duidelijk om hoeveel gevallen het gaat waarbij persoonsgegevens openbaar toegankelijk waren. Het betreffende systeem gaat terug tot 2001, waar duizenden adviezen en documenten in staan. Het is ondoenlijk om meteen ieder afzonderlijk document te screenen op privacygevoelige informatie. Om te voorkomen dat privacygevoelige gegevens nog steeds online zouden staan, is direct besloten het systeem offline te halen. Wel wordt momenteel onderzocht in hoeverre de gemeente kan achterhalen om welke personen en informatie het exact gaat.


Mogelijke gevolgen voor betrokkenen

Hoewel nog niet duidelijk is om hoeveel gevallen het gaat, vinden we het belangrijk om de mogelijke gevolgen onder de aandacht te brengen. Het kan zijn dat onbevoegden kennis hebben genomen van de privacygevoelige informatie. Dat kan dus betekenen dat mensen vertrouwelijke informatie hebben gezien die niet voor hen bestemd is en waar de betrokkene op één of andere manier nadeel door ondervindt. Bijvoorbeeld doordat hij of zij helemaal niet wil dat anderen die informatie weten. Daarnaast zijn er aan privacygevoelige informatie uiteraard risico’s verbonden. Het kan bijvoorbeeld zijn dat anderen proberen die informatie op een onrechtmatige manier te gebruiken, voor Identiteitsdiefstal of identiteitsfraude.  

Wat gaat de gemeente verder doen?

Als nog achterhaald kan worden om welke personen en gegevens het precies gaat, zal de gemeente deze personen persoonlijk informeren. Het betreffende systeem komt in elk geval niet meer online voor het probleem met de privacygevoelige informatie is opgelost.

Wat kunt u zelf doen?

Omdat op dit moment nog niet duidelijk is welke informatie precies openbaar heeft gestaan en om welke betrokkenen het gaat, is het belangrijk om extra alert te zijn. In feite zijn dit adviezen die altijd gelden, maar waarvan het goed is om er  nu nog scherper op te letten. Geef geen persoonlijke informatie door aan anderen, ook niet als het vertrouwd lijkt. Houd uw post en bankrekeningen goed in de gaten. Krijgt u vreemde telefoontjes, betaalverzoeken, post en twijfelt u of het klopt? Bel uw bank en schakel eventueel de politie in.

Vragen

De al ondernomen acties zorgen ervoor dat de persoonsgegevens niet meer publiekelijk beschikbaar zijn, waardoor eventuele risico’s worden beperkt. Als u vragen heeft over uw persoonlijke gegevens in relatie tot dit datalek, dan kunt u uiteraard contact opnemen met de gemeente Hellevoetsluis, op telefoonnummer 14 0181.

Uitgelicht