De gemeente Eindhoven heeft een datalek dat eind februari plaatsvond alsnog aangemeld bij de Autoriteit Persoonsgegevens. Tientallen inwoners ontvingen toen een brief die niet voor hen was bestemd. Vanwege “nieuwe inzichten” heeft de Brabantse gemeente alsnog besloten om melding te maken van het incident bij de toezichthouder.
Dat schrijven diverse media, waaronder het Eindhovens Dagblad (1) en De Gelderlander (2).
Het voorval deed zich voor toen de gemeente brieven over de Meedoenbijdrage wilde versturen naar een aantal inwoners van de stad. De Meedoenbijdrage is een financiële regeling waarbij inwoners van 18 jaar of ouder met een laag inkomen een eenmalig geldbedrag kunnen aanvragen dat ze vrij mogen besteden. Ze mogen het geld bijvoorbeeld gebruiken om een sportabonnement af te sluiten, maar ook om deel te nemen aan een hobbycursus of schoolspullen voor hun kinderen te betalen.
Bij het sorteren van 339 brieven ging het mis. Door een fout ontvingen sommige mensen een brief die niet voor hen bedoeld was. Anderen kregen op hun beurt geen brief, terwijl ze die wel hadden moeten ontvangen. Zo kwamen namen, adresgegevens, geboortedata en geslacht bij de verkeerde mensen terecht. De gemeente stuurde daarop alle 339 ontvangers opnieuw een brief. Daarin bood de gemeente haar excuses aan voor wat er was gebeurd.
Eindhoven besloot aanvankelijk om geen melding te maken van de kwestie bij de Autoriteit Persoonsgegevens, omdat de privacyinbreuk (3) als “beperkt” werd beoordeeld. Een woordvoerder laat weten dat de gemeente op basis van “nieuwe inzichten” alsnog heeft besloten om het voorval te melden bij de privacywaakhond. Wat deze ‘nieuwe inzichten’ zijn, is onbekend.
Eindhoven staat al onder verscherpt toezicht (4) van de Autoriteit Persoonsgegevens. De toezichthouder zei signalen te hebben ontvangen dat de gemeente datalekken niet of niet op tijd zou hebben gemeld. Artikel 33 van de Algemene Verordening Gegevensbescherming (AVG) bepaalt dat een bedrijf of organisatie een datalek binnen 72 uur moet doorgeven aan de nationale toezichthouder. Hoe eerder gedupeerden hiervan op de hoogte zijn, des te eerder ze maatregelen tegen misbruik kunnen nemen, zo is de gedachte achter dit artikel.
De functionaris gegevensbescherming (FG) van de gemeente schreef in het jaarverslag dat Eindhoven verplichte risicoanalyses niet of niet tijdig uitgevoerd had. De Rekenkamercommissie waarschuwde dat het privacybeleid van de stad niet op orde was en verplichte Data Protection Impact Assessments (PIA) achterwege liet.
De Autoriteit Persoonsgegevens gaf de gemeente Eindhoven de kans om orde op zaken te stellen. Het verbeterplan was volgens de toezichthouder echter onder de maat. Daarom besloot de privacywaakhond om de gemeente onder verscherpt toezicht te plaatsen.
“Burgers moeten erop kunnen vertrouwen dat hun gemeente zorgvuldig met hun persoonsgegevens omgaat. Je kunt als burger niet kiezen: de gemeente waarin je woont, verzamelt en gebruikt jouw persoonsgegevens. Gemeenten beheren bovendien veel gevoelige gegevens van hun inwoners”, aldus Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens.
https://www.ed.nl/eindhoven/brieven-naar-verkeerde-adres-eindhoven-meldt-datalek-alsnog-bij-privacywaakhond~ab3f629d/
https://www.gelderlander.nl/eindhoven/brieven-naar-verkeerde-adres-eindhoven-meldt-datalek-alsnog-bij-privacywaakhond~ab3f629d/
https://www.vpngids.nl/privacy/
https://www.vpngids.nl/nieuws/eindhoven-onder-verscherpt-toezicht-ap/
