Helft van datalekken bij gemeenten niet gemeld bij toezichthouder
De helft van alle datalekken bij de gemeente is in 2016 niet gemeld bij de Autoriteit Persoonsgegevens. Dit terwijl de meldplicht datalekken die wel verplicht.
Dit blijkt uit onderzoek van van het KRO-NCRV programma Reporter Radio. “Wij overwegen nu wel, aan de hand van deze gegevens, om nog een keer een brief naar die gemeenten te sturen, om nog eens heel scherp uit te leggen hoe de norm nu is, hoe die wordt en dat ze altijd moeten melden, omdat ze serieus risico lopen op boetes als ze dat niet doen”, laat Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, weten in een reactie aan Reporter Radio.
16 op de 1.000 inwoners getroffen
Bij twee derde van de datalekken lekt het BSN van burgers uit. In 90% liggen namen en adresgegevens op straat. Minimaal 16 op de 1.000 inwoners is in 2016 getroffen door een datalek. Opvallend is dat bij 82% van de datalekken betrokken burgers niet zijn geïnformeerd. Dit is verplicht indien een datalek betrokkenen ernstig kan benadelen. Wolfsen noemt het niet melden van datalekken bij betrokkenen een serieus risico: “Als er een Burger Service Nummer (BSN) toegankelijk is, dan is er al vrij snel gevaar voor mensen, want daar kan je identiteitsfraude mee plegen.”
De aard van de gemelde datalekken is divers. Zo meldde de gemeente Apeldoorn dat computers met persoonsgegevens in een openbare ruimte onterecht toegankelijk is geweest. Voorbeelden van andere gemelde datalekken zijn verkeerd verzonden e-mails met privacygevoelige bestanden, het delen van gegevens in samenwerkingsverbanden van gemeenten of situaties waarbij burgers worden gevraagd persoonsgegevens toe sturen via onbeveiligde formulieren op de website van de gemeente. Ook incidenten met ransomware of phishing zijn gemeld.
Baseline Informatie Beveiliging Nederlandse Gemeenten
Cyber security specialist Mary-Jo de Leeuw van Revnext heeft onderzoek gedaan naar het informatieveiligheidsbeleid. “De Baseline Informatie Beveiliging Nederlandse Gemeenten (BIG) wordt door gemeenten heel verschillend ingevuld. Soms een beleid van 60 pagina’s en soms gewoon helemaal niet”, aldus De Leeuw. De maatregelen zijn opgesteld door Taskforce BID. “Er zou een evaluatie komen, maar die is er niet geweest. Gemeenten hebben in 2013 een resolutie ondertekend om invulling te geven aan ‘Verplichtende zelfregulering’. De taken van de Taskforce zijn overgedragen aan Digicommissaris Bas Eenhoorn. Wat zijn taken zijn, is onduidelijk".
Wolfsen: “Een gemeente heeft heel veel gevoelige gegevens, ook over jeugd, en als die toegankelijk zijn voor derden dan is dat zeer ernstig. Zeker in de jeugd psychiatrie hebben gemeenten tegenwoordig belangrijke taken en dus ook belangrijke gegevens over die kinderen. Als dat in handen komt van mensen waar het niet voor bestemd is, dan kan een kind de rest van zijn leven daar last van hebben.”
Meer over
Lees ook
Data Privacy Dag: druk op cybersecurity van organisaties blijft hoog
Het is vandaag Internationale Data Privacy Dag. Volgens Matt Cooke, Director Cybersecurity Strategy EMEA bij Proofpoint, herinnert deze dag ons aan de druk die organisaties voelen rondom AI en cybersecurity. “Aan de ene kant zorgen generatieve AI en agentische AI voor een productiviteitswinst, maar er is ook een keerzijde”
Fortinet: ondanks recordinvesteringen in cybersecurity stijgt het aantal datalekken
Fortinet en onderzoeksbureau Cybersecurity Insiders hebben deze week het 2025 Data Security Report gepubliceerd. Daaruit blijkt dat de ondervraagde organisaties afgelopen periode meer hebben geïnvesteerd in databeveiliging en bescherming tegen insiderrisico’s
Proofpoint: menselijke factor en GenAI grootste overweging voor databescherming
De jaarlijkse Europese Data Privacy Dag, wat plaatsvindt op 28 januari, herinnert iedereen aan hoe cruciaal databescherming en –privacy blijven. Dit is ongeacht hoever het technologie- en cybersecuritylandschap ontwikkeld is. De menselijke factor is en blijft een van de belangrijkste punten van kwetsbaarheid op het gebied van dataverlies bij organ1