AP: datalekken door misbruik persoonsgegevens bij gemeenten blijven vaak onder de radar

Dat staat in een verkennend onderzoek van de AP. De AP roept gemeenten op datalekken door integriteitsschendingen te voorkomen, op te sporen en aan te pakken, en geeft daarvoor diverse adviezen. Jaarlijks ontvangt de AP van ongeveer 10 tot 20 gemeenten een datalekmelding waarbij een ambtenaar onrechtmatig persoonsgegevens bekeek. Het gaat dan bijvoorbeeld om een ambtenaar die:

• onder druk of tegen betaling gegevens deelt met een criminele organisatie;
• vanwege een familieconflict informatie opzoekt over familie in gemeentesystemen;
• uit nieuwsgierigheid de gegevens van een BN’er bekijkt.

Monique Verdier, vicevoorzitter AP: 'Zulke privacyschendingen kunnen verstrekkende gevolgen hebben. Het is belangrijk dat gemeenten dit soort datalekken beter voorkomen, opsporen en aanpakken. Gemeenten gebruiken en bewaren veel gevoelige informatie over hun inwoners. Mensen moeten erop kunnen vertrouwen dat de informatie vertrouwelijk blijft. Als gegevens met criminelen worden gedeeld, kunnen zelfs ernstige veiligheidsrisico’s voor mensen ontstaan. Zo heeft het Openbaar Ministerie vorig jaar tientallen explosies en zeker 2 pogingen tot moord en doodslag gelinkt aan een corrupte ambtenaar van de gemeente Amsterdam.'

Melden is belangrijk

Het aantal gevallen van misbruik kan een stuk hoger zijn dan het aantal gemelde datalekken. Bijvoorbeeld omdat misbruik onontdekt bleef of omdat gemeenten integriteitsincidenten vaak niet herkennen als datalek. Ook bestaan er misvattingen over wat een datalek is en wanneer het melden verplicht is. Het is belangrijk dat zulke incidenten ook aan de AP gemeld worden, zodat de AP kan bijsturen als onvoldoende beveiligingsmaatregelen worden getroffen of kan ingrijpen als slachtoffers niet worden geïnformeerd.

Hoe voorkomen, opsporen en aanpakken?

Gemeenten kunnen maatregelen nemen die datalekken kunnen helpen voorkomen, opsporen en aanpakken. De AP geeft gemeenten op basis van de praktijksituaties die het tegenkwam een aantal adviezen, zoals:

• Bepaal welke informatie werknemers wel en niet zien, registreer handelingen van medewerkers in systemen en controleer deze. Dit beschermt medewerkers ook tegen criminele invloeden;
• Leg regels voor integriteit en privacy vast en zorg voor training;
• Leg ieder datalek vast in een register en analyseer incidenten;
• Win advies in van de Rijksrecherche bij vermoedens van misbruik en doe bij misbruik aangifte;
• Deel kennis en ervaringen met andere gemeenten.

Over het onderzoek

De AP heeft voor deze verkenning 29 interne privacytoezichthouders, functionarissen gegevensbescherming (FG’s), van gemeenten bevraagd over misbruik van gegevens door ambtenaren. Ook bezocht de AP 3 gemeenten en sprak de AP met de Rijksrecherche en de Vereniging van Nederlandse Gemeenten (VNG). Daarnaast heeft de AP een lijst van integriteitsschendingen bij gemeenten vergeleken met een eigen overzicht van datalekken bij gemeenten.