Persoonsgegevens van duizenden Utrechters stonden onbeveiligd op intranet

De persoonsgegevens van duizenden Utrechters zijn eerder dit jaar onbeveiligd opgeslagen geweest op het intranet van de gemeente Utrecht. De gegevens waren hierdoor inzichtelijk voor onbevoegden.

Dit meldt de Telegraaf op basis van stukken die zijn opgevraagd via de Wet Openbaarheid Bestuur (Wob). Het gaat om 316 pagina’s met namen en burgerservicenummers van inwoners van Utrecht. Minimaal 5.000 en maximaal 140.000 personen zijn door het datalek getroffen. Er zijn geen bewijzen dat de gegevens zijn misbruikt door onbevoegden, maar dit kan ook niet worden uitgesloten. Het is niet duidelijk hoe lang de gegevens inzichtelijk waren.

Gemeld bij de Autoriteit Persoonsgegevens

Het lek werd op 3 maart door een ambtenaar ontdekt. Dergelijke lekken moeten altijd binnen 72 uur bij de Autoriteit Persoonsgegevens (AP) worden gemeld. De gemeente Utrecht heeft de AP inderdaad geïnformeerd over het lek, maar heeft hierbij wel het maximale termijn van 72 uur geschonden. Het is onduidelijk op welke onderdeel van het intranet de informatie toegankelijk is geweest. Wel is duidelijk dat dit deel na het ontdekken van het lek is afgesloten.

De gemeente Utrecht stelt in de opgevraagde stukken in het eerste kwartaal van 2016 geconfronteerd te zijn met negen datalekken, waarvan er twee moesten worden gemeld bij de Autoriteit Persoonsgegevens. In de Voorjaarsnota geeft de gemeente Utrecht daarnaast aan haar processen en systemen nog onvoldoende onder controle te hebben om datalekken te voorkomen of te minimaliseren. Vanaf 2017 investeert de gemeente jaarlijks structureel 550.000 euro aan de beveiliging van haar systemen.