Datalekken bij gemeenten; ‘het is een beetje een zooitje’

Datalekken

Bijna tweederde van de gemeenten meldde vorig jaar een datalek van persoonlijke gegevens van burgers.

Foto ANP / Lex van Lieshout

Gestolen telefoons van ambtenaren of een zoekgeraakte map met gevoelige gegevens. Gemeenten zijn zich in heel verschillende mate bewust van datalekken in hun organisatie, zo blijkt zondagavond uit onderzoek van Reporter Radio (KRO-NCRV) onder 61 gemeenten. De meerderheid meldde vorig jaar een lek aan de Autoriteit Persoonsgegevens, sinds januari 2016 is dat verplicht.

Amersfoort zei vorig jaar vijftig datalekken te hebben gehad, terwijl Deventer bijvoorbeeld van slechts één datalek op de hoogte was - namelijk een verkeerd verzonden e-mail.

Gemeenten blijken datalekken ook meestal niet aan de betrokkenen te melden: bij slechts 18 procent van de lekken gebeurde dat. Officieel moeten zij dat doen wanneer betrokkenen risico lopen op problemen. Identiteitsfraude is een van de doemscenario’s rond datalekken.

„Het is over het algemeen nog een beetje een zooitje”, zegt beveiligingsexpert Mary-Jo de Leeuw van Revnext, die de afgelopen jaren onderzoek deed naar informatieveiligheid bij gemeenten. Volgens haar wordt er heel verschillend beleid gevoerd. „Er zijn gemeenten waar een heel crisisplan over een datalek op de plank ligt, compleet met wanneer ze moeten opschalen. Bij andere gemeenten hebben ambtenaren niet door dat een verloren usb-stick met gevoelige gegevens een datalek is.”

Het hoge aantal datalekken bij Amersfoort (50) is te verklaren. De gemeente ging in januari vorig jaar onderuit toen persoonlijke informatie van minimaal 1.800 zorgcliënten per abuis naar het verkeerde mailadres werd gestuurd. Ambtenaren vroegen de ontvanger wekenlang tevergeefs de mail te verwijderen. Het lek werd in eerste instantie verzwegen voor de gemeenteraad. Melding aan de Autoriteit Persoonsgegevens moet officieel binnen 72 uur.

‘Veel geleerd’

Een onderzoeksbureau adviseerde de gemeente om „blijvend een meldcultuur te onderhouden”. Volgens een woordvoerder is er „veel geleerd” van de affaire. „We hebben nu een commissie datalekken en moedigen medewerkers alles te melden.”

Vijftien procent van de gemeenten zegt een datalek te hebben gehad door computercriminaliteit. Ede, bijvoorbeeld, had twee keer te maken met ransomware. Daarbij worden alle gegevens in een computer als het ware gegijzeld voor losgeld. Het lukte een Oost-Europese hacker daarnaast ook om in te breken in de online systemen van de gemeente. De aanvaller wilde sitebezoekers doorleiden naar externe advertentiewebsites over afvallen en het lenen van geld, blijkt uit onderzoek dat de gemeente liet doen. Mogelijk zijn persoonlijke gegevens van zo’n 3.700 burgers ingezien.

Helmond spande de kroon op dit vlak: het overkwam de gemeente zes keer dat er ransomware op een computer terechtkwam. De Leeuw vindt het „moeilijk voor te stellen” dat het zo vaak misloopt. „Je kan na één keer achterhalen hoe de ransomware binnenkwam, de systemen opschonen en medewerkers goed voorlichten. Zo maak je het criminelen de volgende keer moeilijker.”