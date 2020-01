De telefoon van wethouder Margriet den Brok gaat af terwijl ze in de auto voor het gemeentehuis van Hellevoetsluis staat. Het is eind juli en de wethouder staat op het punt op vakantie te gaan. Aan de lijn: het hoofd informatieveiligheid van de gemeente. Hellevoetsluis is zojuist door een journalist geconfronteerd met een groot datalek.

RTL Nieuws stuitte afgelopen zomer op een lek in het raadsinformatiesysteem (RIS) van de gemeente. In dat systeem konden ambtenaren openbare adviezen, inclusief bijlagen zoals facturen of brieven, aan het college van B en W invoeren. 21.000 documenten stonden op openbaar en een deel daarvan bevatte privacygevoelige informatie. Het ging om namen, telefoonnummers, e-mail- en woonadressen en burgerservicenummers. Die laatste gelden als bijzonder gevoelige persoonsinformatie, die bijvoorbeeld misbruikt kunnen worden om een bankrekening te openen. Hoe groot de schade is, kan niemand op dat moment overzien.

De gemeente slaat groot alarm en doet melding van een datalek bij de Autoriteit Persoonsgegevens (AP). De Zuid-Hollandse gemeente met zo’n veertigduizend inwoners was daarmee een van de bijna 12.000 organisaties die in de eerste helft van dit jaar een datalek moest melden bij de AP. De privacywaakhond verwacht over 2019 24.000 meldingen, een stijging van 14 procent ten opzichte van een jaar eerder.

Geen fijne vakantie

„Ik heb geen fijne vakantie gehad”, zegt Den Brok vijf maanden later in haar werkkamer. De dikke muren en de kleine, hoge ramen van de voormalige vesting vormen een bijzonder decor voor een terugblik op een datalek. Ook afdelingsleider publiekszaken Ron Buis is aangeschoven. Buis heeft de leiding over de werkgroep ‘datalek RIS’, waar juristen en it’ers in zitten die het lek af moeten handelen.

Foute boel, dacht Buis toen het nieuws hem op die vrijdag in juli bereikte. Het lek werd snel geverifieerd door het crisisteam. „We wisten vrij snel dat het om de openbare adviezen aan B en W ging. Daar, of in de bijbehorende bijlagen, kunnen persoonsgegevens zitten.” Wethouder Den Brok: „Ik heb meteen gezegd: gooi dat hele systeem maar dicht.” Achttien jaar geschiedenis wordt dezelfde middag nog offline gehaald. Daarmee is het acute gevaar geweken.

De zoektocht naar wat uit had kúnnen lekken, is dan nog maar net begonnen. Een verplichting; de privacywetgeving schrijft voor dat personen van wie informatie is gelekt daarvan op de hoogte moeten worden gesteld. Als aantoonbare schade is geleden, kan de gemeente claims tegemoet zien – bovenop een eventuele boete van de AP.

Monnikenwerk

Het vaststellen van de omvang en de ernst van het datalek is monnikenwerk, waarvan een half jaar na de melding het einde eindelijk in zicht is. Ambtenaren van de werkgroep spitten één voor één alle openbare adviezen uit 2017, 2018 en de eerste helft van 2019 door, en inventariseren welke privacygevoelige informatie ze bevatten en wat voor risico’s dat geeft.

Het onderzoek naar 2018 en de eerste helft van 2019 is inmiddels afgerond. Burgerservicenummers of paspoortnummers werden niet aangetroffen, bijzondere persoonsgegevens over gezondheid, religie of ras evenmin, concludeert Buis. Slechts in dertien gevallen schat de gemeente in dat de gelekte gegevens een hoog privacyrisico vormen. Het gaat dan vaak om een combinatie van meerdere persoonsgegevens van één individu, vertelt Buis, waardoor het risico op misbruik toeneemt. Een voorbeeld is een cv van een sollicitant die in de bijlagen werd opgenomen.

Van de 625 openbare documenten die zijn onderzocht, worden er 137 door de gemeente als een laag privacyrisico ingeschat, omdat de gegevens vaak elders bekend waren. Buis: „In de adviezen zelf stond bijna niets, hooguit een naam van een interne medewerker. Voor de rest stond alles in de bijlagen. Daar zie je dan een naam voorbijkomen van een opsteller van een rapport waarop het advies aan het college gebaseerd was.”

Steekproeven

Buis houdt de gemaakte uren en de kosten van de operatie nauwgezet bij: tot dusverre 450 uur, omgerekend zo’n 35.000 euro. De kosten en inspanning hakken er voor de gemeente flink in. Het past „met moeite binnen de kaders van het ambtelijke apparaat”, schrijft burgemeester Milène Junius (CDA) op 11 november aan de gemeenteraad. Voor een eindoordeel is het wat Den Brok betreft nog te vroeg. „Eigenlijk kan je daarover pas iets zeggen als het onderzoek volledig is afgerond, maar op dit moment zeg ik: het is wel heel zwaar wat wij allemaal hebben moeten investeren.”

Want het onderzoek is nog niet klaar. Het is niet uit te sluiten dat nog meer persoonsgegevens opduiken, in oudere documenten. „In 2001 gingen we heel anders om met het raadsinformatiesysteem dan we nu doen,” zegt Buis. Ook die getroffenen moeten geïnformeerd worden.

Extra onderzoek is dus nodig, maar de werkgroep hoeft niet 16,5 jaar Hellevoetsluise raadsgeschiedenis door te vlooien. Op basis van de onderzochte jaren en de resultaten van de steekproeven maakt de gemeente straks een inschatting hoe ver terug de zoektocht nog moet gaan. Buis: „Op het moment dat je een onevenredig grote inspanning moet leveren om iets heel kleins te vinden, dan kan je het misschien achterwege laten. Dus nemen we steekproeven voor 2002, 2007 en 2012. Als dat hetzelfde beeld oplevert als de onderzochte jaren kan je zeggen; hoe zwaar we het ook onderzoeken, dit is het beeld.”

Groeiende privacybewustzijn

In de achttien jaar dat het RIS online stond, rinkelden er geen alarmbellen bij het gemeentebestuur. De gemeente kreeg in al die jaren een handvol telefoontjes over de publiek toegankelijke informatie. Die werden pragmatisch afgehandeld. Buis: „We trokken degene die het advies had opgesteld dan aan zijn jasje – als die persoon nog bij ons werkte. De documenten maakten we ontoegankelijk.”

Ook kwam niemand in die tijd op het idee om gericht te letten op persoonsgegevens. „Het raadsinformatiesysteem is voor besluiten uit de raad, en die gaan eigenlijk nooit over individuen. Het was gewoon geen logische plek om naar privacygevoelige informatie te zoeken.”

Dat dat nu wel gebeurt, komt wellicht doordat het bewustzijn over privacy in de loop der jaren is gegroeid, voegt wethouder Den Brok toe. „In 2001 keek niemand daarnaar, was het helemaal niet belangrijk en vonden mensen het heel normaal dat dit soort zaken online stonden. Dat ligt nu veel meer onder een vergrootglas. Terecht overigens.”

Het datalek was eigenlijk het resultaat van het streven van Hellevoetsluis zo transparant mogelijk te zijn, denkt Den Brok. „We wilden zoveel mogelijk laten zien, ons niet realiserend dat in die openbare adviezen potentieel gevoelige persoonsgegevens stonden.”

Wat ook niet meehelpt, is dat het RIS sinds de invoering niet meer bijgewerkt werd. Er was al die tijd geen logboekfunctie, waardoor het van stukken niet valt terug te halen wie ze wanneer heeft ingezien. Dat had een inschatting van de ernst het datalek vereenvoudigd.

Hellevoetsluis twijfelt nog of de adviezen in de toekomst weer op een vergelijkbare manier openbaar worden gemaakt. Inmiddels staan alle openbare adviezen van 2019 wel weer online, nadat de bijlagen gecheckt zijn op persoonsgegevens. Nieuwe adviezen worden voor publicatie „stevig gecontroleerd” op persoonsgegevens, zegt Buis. „Dat is een extra investering, want ieder document wordt bijna vier keer bekeken.” De oudere adviezen komen sowieso niet meer terug.

Buis hoopt de steekproeven half januari afgerond te hebben. Dan wil de gemeente ook degenen van wie informatie met een hoog privacyrisico inzichtelijk was, persoonlijk geïnformeerd hebben. De kans op schadeclaims lijkt vooralsnog klein, denkt wethouder Den Brok. „Gelet op wat we nu geconstateerd hebben en hoe beperkt dat is, denk ik dat het heel moeilijk wordt om aan te tonen dat je schade hebt geleden.” Een boete van de Autoriteit Persoonsgegevens kan de gemeente nog niet uitsluiten.

Een half jaar later is ‘datalek RIS’ nog niet afgerond. Als de inschatting van de ernst en omvang hetzelfde blijft, dan vraagt wethouder Den Brok zich af of de ophef en de kosten in verhouding staan tot wat er uiteindelijk aan privacygevoelig materiaal is aangetroffen. „Ik baalde persoonlijk enorm van het datalek, maar waar hebben we het in hemelsnaam over? Je moet het wel in proportie zien. Vooropgesteld: alles wat uitlekt, is natuurlijk niet goed, maar er zijn geen echt persoonlijke dingen naar buiten gekomen.” Nóg niet, vult Buis met een oog op de komende steekproeven aan. „Ik ben zelf eigenlijk ook wel benieuwd wat daaruit komt.”

Bijna 12.000 organisaties moesten in de eerste helft van dit jaar een datalek melden bij de Autoriteit Persoonsgegevens (AP). De AP verwacht dit jaar zo’n 24.000 meldingen, 14 procent meer dan een jaar eerder. In de eerste helft van 2019 ging het vaak mis bij ziekenhuizen en apotheken; één op de drie meldingen was afkomstig uit de zorgsector. Van alle meldingen ging het in grofweg twee van de drie gevallen om persoonsgegevens die per ongeluk naar de verkeerde ontvanger werden gestuurd. In de overige gevallen ging het bijvoorbeeld om organisaties die het slachtoffer werden van hacking of phishing, of om medewerkers die een laptop of usb-stick verloren. De data zijn meestal adresgegevens, informatie over geslacht, medische gegevens en burgerservicenummers. Na de zorg zijn de financiële dienstverlening en het openbaar bestuur de sectoren waaruit de meeste meldingen komen.