De afgelopen paar dagen waren geen zegen voor de privacy van Nederlandse burgers. Drie afzonderlijke technische incidenten hebben mogelijk geleid tot het lekken van (gevoelige) informatie van miljoenen betrokkenen.
Ten eerste werd de data van verschillende Eindhovenaren toegankelijk gemaakt via het Digipaneel-portaal van de gemeente. Ten tweede meldde de gemeente Roermond dat er persoonlijke gegevenssets van een onbekend aantal kinderen waren gelekt. En maandag werd een ernstiger en langduriger lek ontdekt in het nationale kadaster-systeem.
Het digitaliseringsproces brengt allerlei privacyrisico's met zich mee en dit uit zich vooral bij overheidsinstanties, bleek eerder uit een rapport van de Autoriteit Persoonsgegevens (AP)(1). Deze laatste zijn namelijk gevoeliger voor dergelijke risico's vanwege de grote hoeveelheden persoonlijke informatie die ze beheren, en vanwege het algemene gebrek aan voorbereiding in de publieke sector om een veilige digitale transformatie te garanderen.
Digipaneel is een initiatief van de gemeente Eindhoven met als doel de directe participatie van burgers te stimuleren. Het portal moet hen in staat stellen hun eigen informatie en meningen online te geven over maatschappelijke onderwerpen. De gedeelde informatie wordt vertrouwelijk behandeld (of dat is in ieder geval de ambitie).
De gemeente introduceerde vorige week een nieuwe functie waarmee deelnemers hun eigen persoonlijke gegevens zouden kunnen beheren, door in te loggen op een met een wachtwoord beveiligd persoonlijk account. Donderdag klaagden verschillende deelnemers echter vrijwel direct dat het systeem na inloggen de persoonlijke informatie van andere gebruikers toonde, meldde het Eindhovens Dagblad. Het ging om de naam, het huisadres, de geboortedatum, het opleidingsniveau en het geslacht van een andere betrokkene.
Het datalek scoort zeker geen punten in het voordeel van de gemeente Eindhoven in de ogen van de AP), die de privacyovertredingen van de organisatie al enige tijd in de gaten houdt.
Op dezelfde dag informeerde de gemeente Roermond via een excuusbrief de ouders van verschillende kinderen wiens persoonlijke gegevens naar de verkeerde ontvangers waren gelekt. Dat was het gevolg van een 'technische fout'. De getroffen minderjarigen volgden allemaal onderwijs in een ander land en waren dus door hun ouders bij de gemeente geregistreerd om vrijgesteld te zijn de leerplicht in Nederland.
Door een technische fout belandden de formulieren waarmee de ouders om vrijstelling vroegen in de verkeerde envelop, waardoor de gemeente de naam, het adres, het BSN en de geboortedatum van de kinderen aan het verkeerde huishouden openbaarde.
Als laatste was er een groot datalek op de website van het Kadaster, bleek maandag uit onderzoek door RTL Nieuws. Sitegebruikers konden ongeoorloofde toegang krijgen tot persoonlijke informatie van elk huishouden in Nederland.
Alles wat daarvoor nodig was, was het opzetten van een professioneel account voor het beveiligde deel van de website van de organisatie. Dat kon eenvoudig worden gedaan door de naam en het rekeningnummer van een willekeurig bedrijf dat bij de Kamer van Koophandel was geregistreerd in te voeren.
Het Kadaster voerde geen controles uit op welke organisaties daadwerkelijk toegang hadden tot het portaal, noch verifieerde het hun identiteit. De AP heeft het Kadaster al opgedragen om het lek te dichten en waarschuwde voor de buitensporige risico's die dit heeft veroorzaakt voor het leven van miljoenen Nederlandse burgers.
(1) Autoriteit Persoonsgegevens https://www.autoriteitpersoonsgegevens.nl/documenten/jaarrapportage-meldplicht-datalekken-2022
