De ambtenaar legt je strafblad op de printer in het stadhuis

Gemeenten zijn geen goede databeveiligers. En nu krijgen ze net een hele berg aan privacygevoelige data.

Kijk daar, op de computer van een collega-ambtenaar hangt een stickertje met wachtwoorden van het beveiligde systeem waarin hij medische gegevens van inwoners kan inzien. Toch even kijken of er informatie over die ene bekende Nederlander in staat, of over de juf van zijn dochter.

Het hóéft niet, maar zo kán het straks gaan. Er worden nu al honderdduizenden zorgdossiers naar gemeenten gestuurd vanwege de nieuwe zorgtaken die zij vanaf 2015 moeten uitvoeren. En dat terwijl gemeenten een slechte reputatie hebben op het gebied van informatiebeveiliging.

1 Wat weet de gemeente straks van mij?

Het antwoord bestaat uit twee delen. De gemeente wordt vanaf 1 januari 2015 verantwoordelijk voor de zorg aan burgers. Denk aan ouders met een probleemkind, een chronisch gehandicapte die een aangepast bed nodig heeft of een bejaarde die thuiszorg wil. Ze doen dit in wijkteams, die ‘dichtbij de burger’ zorg leveren of doorverwijzen naar specialisten. Deze teams krijgen onder meer persoonsgegevens, medische dossiers, details over schulden, relatieproblemen en huiselijk geweld. Gemeenten moeten deze informatie opslaan en verwerken.

Risico is dat gevoelige informatie over ziekte, schulden of psychiatrische achtergrond te makkelijk wordt gedeeld in vergaderingen van de wijkteams. Maar het kan ook anders misgaan: een ambtenaar die als enige in de gemeente toestemming heeft om in computersystemen naar privacygevoelige informatie van burgers te zoeken, maar die zijn uitgeprinte dossiers vervolgens bij de printer laat rondslingeren. Ambtenaren die passwords op een post-it schrijven en die naast hun scherm plakken.

Hoe dan ook komen stads- of dorpsgenoten meer over elkaar te weten dan voorheen. Uit onderzoek van deze krant bleek afgelopen weekeinde dat veel gemeenten nog onvoldoende zijn voorbereid op dat gevaar. Gemeenten zullen allerlei gegevens ontvangen van zorginstellingen: wacht- en aanvraaglijsten van jongeren die staan ingeschreven voor jeugdhulp. Gegevens van uitkeringsinstantie UWV. Van justitiële jeugdinrichtingen zal informatie komen over jonge gevangenen. Strafbladen, medische dossiers, informatie over uitkeringen komen allemaal in handen van de gemeente.

2 Kunnen ambtenaren zomaar bij die dossiers en strafbladen?

Nee, niet zomaar. Informatie wordt gedeeld via beveiligde portalen. Alleen speciaal geautoriseerde ambtenaren kunnen erbij. Als een wijkteam gevoelige informatie van je wil, moet je daar meestal zelf toestemming voor geven. Er kan echter een probleem optreden. Gemeenten hebben namelijk verschillende softwareleveranciers met verschillende beveiliging. Overzicht over welke gemeenten nog niet met goed beveiligde systemen werken, heeft niemand. Het Kwaliteitsinstituut Nederlandse Gemeenten, onderdeel van de Vereniging van Nederlandse Gemeenten (VNG), sloot meer dan honderd convenanten met softwareleveranciers om ervoor te zorgen dat zij intieme gegevens goed beschermen. Een woordvoerder: „Dit is voor gemeenten de grootste datamigratie ooit. Heel raar dat wij in zo’n klein land met meer dan honderd leveranciers convenanten moeten sluiten, maar het is niet anders.”

De enige organisatie met overzicht en heldere richtlijnen voor privacy en beveiliging is de Informatiebeveiligingsdienst, opgericht door de VNG. Gemeenten zijn verplicht zich hierbij aan te sluiten voor 1 januari, maar tot dusver moet nog eenderde dat doen.

3 Wat is het risico?

Denk aan Deniz A., die in 2012 werd veroordeeld tot achttien jaar celstraf voor de moord op zijn vrouw. Hij kwam achter het adres van zijn vrouw, die in een Hilversums blijf-van-mijn-lijf huis zat. Hij verleidde haar terug te keren naar Rotterdam, waar hij haar doodschoot. Wat als iemand als Deniz A. die gegevens had kunnen inzien omdat ze per ongeluk bij een printer in het stadhuis lagen?

„De mens is de zwakke schakel”, zegt Gerard Stroeve van IT-bedrijf Centric. Hij helpt gemeenten om de nieuwe informatie op een veilige manier te verwerken. Veel ambtenaren en wethouders, zo merkt hij bij het adviseren van gemeenten, zijn zich onvoldoende bewust van de verantwoordelijkheid die ze krijgen nu veel gevoelige informatie naar gemeenten gaat. „We zullen zeker zien dat informatie in de ene gemeente beter is beveiligd dan in de andere.”

Daar is ook Bart Jacobs bang voor. Hij is hoogleraar softwarebeveiliging aan de Radboud Universiteit en lid van de Cyber Security Raad van het ministerie van Veiligheid en Justitie. Jacobs: „Ongelooflijk dat de gemeenten dit zelf moeten oplossen. Voor zo’n grote datamigratie kun je beter landelijk een heel goed beveiligd systeem maken en gemeenten opleggen daar gebruik van te maken.”

4 Kunnen gemeenten dat, informatie beveiligen?

Gemeenten beheren nu ook al persoonsgegevens. Maar een goede reputatie hebben ze niet. De Inspectie van het ministerie van Sociale Zaken en Werkgelegenheid maakte vorig jaar bekend dat 96 procent van de gemeenten niet voldeed aan beveiligingseisen voor het netwerk waarop uitkerings- en verzekeringsinstanties gegevens uitwisselen met gemeenten. Ambtenaren konden persoonsgegevens opvragen, inzien en bewaren zonder dat ze toestemming hadden. „Er moet méér gebeuren om te borgen dat de persoonsgegevens van burgers zorgvuldig worden behandeld”, schreef staatssecretaris Klijnsma (PvdA, Sociale Zaken) aan de Kamer.

In oktober 2011 toonde de website Webwereld aan – onder het motto ‘lektober’ – dat iedere dag van die maand een website van een overheidsinstantie of bedrijf kon worden gehackt. Daar waren veel gemeenten bij. De schandalen zorgden ervoor dat de Informatiebeveiligingsdienst werd opgericht, en in november 2013 de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeenten’ aangenomen werd op de ledenvergadering van de VNG. Hierin maken gemeenten concrete afspraken om informatieveiligheid binnen de gemeente naar een hoger plan te tillen. Toch leven zorgen onder deskundigen. Jacobs: „Gemeenten hebben nog niet eerder bewezen dat ze informatie goed kunnen beveiligen.”

    • Enzo van Steenbergen