Menu
Het zal je vast niet zijn ontgaan. De gemeente Amersfoort heeft een datalek gehad, en niet zo zuinig ook. Volgens eigen zeggen (Raadsinformatiebrief 2024-108) zijn er meer dan 100.000 gewone persoonsgegevens gelekt en ook nog eens van 7000 personen het Burger Service Nummer (BSN). Nu zijn datalekken nooit 100% te voorkomen, immers 100% veilig bestaat niet. Na het lezen van de stukken werd het al snel duidelijk dat dit meer is dan een ongelukkig incident. Dit was een gevalletje: Holy f&*&!
Dit incident kun je natuurlijk bekijken vanuit meerdere invalshoeken. De eerste en belangrijkste is natuurlijk die van de slachtoffers. Zeker de combinatie van NAW, e-mail, geboortedatum plus BSN is een recept voor identiteitsfraude. De gevolgen voor de getroffenen kunnen nog jaren doordenderen en hebben dan een gigantische impact op hun leven. Voor iedereen die denkt dat het wel meevalt met identiteitsdiefstal, raad ik aan eens wat onderzoek te doen naar voorbeelden. De bekendste zaak in Nederland is waarschijnlijk Ron Kowsoleea, maar er zijn nog veel meer voorbeelden. En dat is alleen nog maar wat in het nieuws verschijnt. De Rijksoverheid beschouwt het risico overigens als zeer ernstig, net als iedere privacy- en informatiebeveiligingsdeskundige die ik ken. Dus des te opvallender dat gemeente Amersfoort het risico als laag inschat.
Als informatiebeveiliger, groot voorstander van privacy, en inwoner van Amersfoort heb ik deze zaak toch iets dieper bestudeerd dan het reguliere krantenkop scannen. Na het lezen van de publicaties van de gemeente, inclusief de brief die aan getroffenen is verstuurd, was ik gechoqueerd. Het las als een handleiding van hoe je het niet moet aanpakken. Zoals gezegd 100% veilig bestaat niet, zelfs met de beste middelen (technisch, organisatorisch en procedureel) is er altijd een kans op een dergelijk lek.
Zonder volledig te willen zijn, vielen me een paar dingen op. De gegevens werden langer bewaard dan noodzakelijk en in strijd met beleid. Het opschonen is niet gedaan vanwege, zoals de gemeente het zelf zegt: ‘beperkte capaciteit en middelen’. Met andere woorden: een bewuste keuze! Als er wel netjes geschoond was, was de schade misschien iets minder geweest en had de gemeente zich in deze zaak op z’n minst kunnen beroepen op zich houden aan de wet en zorgvuldig handelen. Denk maar zo: gegevens die niet bestaan kun je ook niet laten lekken. Je zou bijna denken dat er een reden is voor die vervelende bewaartermijnen.
Daarnaast viel mijn mond open toen ik las dat de burger pas weken na het incident is geïnformeerd, om geen onnodige onrust te veroorzaken. Juist het issue bagatelliseren en er gebrekkig over communiceren, leidt tot onrust. Wijze les: helder en open communiceren is misschien niet zo leuk, maar wel heel nuttig en het juiste om te doen.
En tot slot, de relatie met de leverancier. Outsourcing ontslaat niet van verantwoordelijkheid. De gemeente mag activiteiten uitbesteden, en dat kan ook zeer zeker verstandig zijn, maar zij is en blijft eindverantwoordelijk en moet regie voeren. In de brief van de gemeente las ik de volgende zin: ‘In een poging precies te achterhalen wat er is gebeurd hebben we de softwareleverancier meerdere malen om informatie verzocht. Dit proces verliep moeizaam.’ Dit wekt nou niet bepaald vertrouwen in de mate waarin de gemeente in control is. De logische vraag is dan: is er dan geen contract met standaardclausules over het verstrekken van informatie, right-to-audit en dergelijke?
De waarheid is dat er een boel gedaan kan worden om dergelijke lekken te voorkomen, zowel technisch, organisatorisch en procedureel. Zonder (vooralsnog) alle feiten te kennen, kan ik me niet aan de indruk onttrekken dat gemeente Amersfoort hier ernstige steken heeft laten vallen; met zeer ernstige gevolgen voor de slachtoffers. Dit roept vragen op, een heleboel vragen. Misschien is het tijd voor een leuke WOO-procedure!
Enerzijds hoop ik dat gemeente Amersfoort van de Autoriteitspersoonsgegevens een fikse tik op de vingers krijgt, inclusief een passende boete. Anderzijds zal dit weinig effect hebben, de boete komt niet uit de zak van de veroorzakers, maar wel uit die van de burgers van Amersfoort. Hoe grotesk kun je het krijgen: de slachtoffers betalen de boete.