Gemeenten beschermen de privacy van burgers slecht

Gemeenten blijven onzorgvuldig met persoonsgegevens, blijkt uit onderzoek.

De beveiliging van gevoelige persoonsgegevens van burgers bij gemeenten is nog altijd niet op orde. Dit blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP) bij dertien gemeenten. De meeste ervan bleken al bij eerdere controles onzorgvuldig om te gaan met privacy van burgers.

Bij het jongste onderzoek bleken elf van de onderzochte gemeenten in overtreding van de Wet bescherming persoonsgegevens. Zij hadden de beveiliging van het besloten informatienetwerk Suwinet niet goed geregeld. Met dit systeem wisselen verschillende overheidsinstanties gevoelige gegevens uit, zoals informatie over het arbeidsverleden van burgers, over hun opleiding, alimentatie, uitkering of boetes.

Uit het onderzoek van de AP (voorheen het College Bescherming Persoonsgegevens, CBP) blijkt deze informatie onvoldoende beschermd; er zijn bijvoorbeeld geen of onduidelijke regels over welke ambtenaren de informatie mogen inzien.

Van de onderzochte gemeenten hadden alleen Eindhoven en Delft de boel op orde. Tot de gemeenten die in gebreke bleven, behoren Enschede (158.300 inwoners), Zutphen (47.000), Midden-Drenthe (33.200) en Heerenveen (50.000).

Het onderzoek van de AP komt op een opvallend moment. Staatssecretaris Klijnsma (Sociale Zaken, PvdA) dreigt gemeenten die de beveiliging van Suwinet niet op orde hebben van het systeem af te sluiten. Dat kan voor grote problemen zorgen, omdat gemeenten het netwerk gebruiken om bijvoorbeeld uitkeringen toe te kennen en persoonsgegevens te verifiëren.

Door beveiligingsproblemen met Suwinet ontstonden eerder misstanden. NRC onthulde vorig jaar dat de samenwerking tussen gemeenten en commerciële incassobureaus bij het innen van openstaande vorderingen was stilgelegd omdat commerciële bedrijven ten onrechte toegang hadden tot privacygevoelige informatie.

Onderzoek van het toenmalige CBP toonde aan dat de Ierse overheid in 2014 toegang had tot persoonsgegevens van Nederlandse burgers. Ook zochten gemeenteambtenaren via Suwinet voor de lol naar gegevens van bekende Nederlanders en bleek de verblijfplaats van een (ex-)partner in een blijf-van-mijn-lijfhuis te zijn achterhaald via het systeem.

Wilbert Tomesen, vicevoorzitter van de AP: „Het is onacceptabel dat het risico blijft bestaan dat gegevens in verkeerde handen komen. Als dit niet verandert, is het onvermijdelijk dat wij gaan handhaven.”

Volgens Tomesen kon zijn organisatie nu nog geen boetes opleggen aan gemeenten omdat het om overtredingen gaat die in 2015 zijn geconstateerd. De AP mag pas sinds 1 januari van dit jaar boetes opleggen. Ze heeft niet de bevoegdheid gemeenten af te sluiten van Suwinet; dat kan alleen het ministerie.

Tomesen vindt dat gemeenten meer aandacht moeten hebben voor beveiliging van privacygevoelige gegevens, zeker nu ze vorig jaar verantwoordelijk zijn geworden voor jeugd- en ouderenzorg en voor het aan werk helpen van gehandicapten. Tomesen: „Gemeenten kunnen hier echt geen loopje meer mee nemen.”