Hellevoetsluis liet ambtsdocumenten met persoonlijke informatie uitlekken

De gemeente Hellevoetsluis liet per ongeluk persoonlijke informatie van mogelijk duizenden inwoners uitlekken. Het ging onder andere om informatie als adressen en telefoonnummers, maar ook burgerservicenummers. Die waren vindbaar via Google.

De gemeente heeft de openbare data offline gehaald na een melding van RTL Nieuws, dat de gemeente voor publicatie op de hoogte had gebracht. Ook heeft de gemeente een melding gedaan bij de Autoriteit Persoonsgegevens.

Ambtenaren van de gemeenten gebruikten een eigen systeem om adviezen uit te brengen aan het College van B&W en aan de gemeenteraad. Daarin konden documenten worden aangemerkt als publiek, wat gebeurt als een besluit openbaar werd gemaakt. Ook konden documenten op een privé-status worden gezet, wat moest gebeuren als er privacygevoelige informatie in de documenten stond. Het ging dan bijvoorbeeld om vergunningsaanvragen of om berichten van burgers die een conflict hadden met de gemeente. "In sommige gevallen werden documenten door een menselijke fout publiek gemaakt", zegt een woordvoerder van de gemeente. De documenten waren in dat geval te vinden via de gemeentelijke website en via Google.

De precieze omvang van het lek is niet bekend. RTL concludeert op basis van eigen onderzoek dat het gaat om 21.000 documenten, maar hoeveel daarvan persoonsgegevens bevatten is niet bekend. De gemeente wil het cijfer niet bevestigen, maar de woordvoerder zegt wel dat het 'vermoedelijk wel gaat om duizenden documenten.' "Dit systeem werd al sinds 2001 gebruikt, dus dat gaat heel ver terug. In die tijd kan er heel veel gelekt zijn." De gemeente gaat nog kijken wat er nu gaat gebeuren: "Dat gaat op advies van onze functionaris gegevensbescherming."

IT-banen

Reacties (40)

Ben Adar 26 juli 2019 12:48

"... , maar ook burgerservicenummers"

Is de gemeente aansprakelijk te stellen als persoonsfraude plaatsvindt?

Arnoud Engelfriet @Ben Adar • 26 juli 2019 13:24

Ja, maar toon eens aan welke schade je in getallen leed en waarom dit alleen kon gebeuren doordat de gemeente je bsn lekte? Heb je nooit ergens een kopietje paspoort achtergelaten of een brief met je bsn gewoon bij oud papier gezet? Zonder dat bewijs geen causaal verband en dus geen cent schadevergoeding.

Dasprive @Arnoud Engelfriet • 26 juli 2019 14:08

Dat klopt niet meer, puur het lekken op zich kan al als schade worden gezien. Dat is ook zo opgenomen in de GDPR. Met een BSN kan dat nog wat hoger liggen dan de 500 euro waar eerst sprake van was.

nieuws: Gemeente Deventer moet 500 euro schadevergoeding betalen voor overtre...

Freeaqingme @Dasprive • 27 juli 2019 01:07

To be fair, @Ben Adar vroeg specifiek naar 'als er fraude plaatsvindt'. De schadevergoeding voor het lekken kan je natuurlijk sowieso al vorderen. De vraag impliceert wat mij betreft verdere vervolgschade die je door dat lekken leed. Dat is waar @Arnoud Engelfriet's antwoord over ging.

Er zijn wel mogelijkheden overigens, maar dan moet je wel net geluk (bij een ongeluk, hihi) hebben. Ik gebruik bijvoorbeeld als emailadres een catchall *@mijnnaam.tld . Als iemand spontaan allemaal credit cards gaat aanvragen met mijn BSN en de bevestigingen komen allemaal binnen op gemeentehellevoetsluis@mijnnaam.tld, dan denk ik dat je - behoudens tegenbewijs - wel voldoende aannemelijk kan maken dat deze specifieke schade voortkwam uit dit datalek.

Arnoud Engelfriet @Dasprive • 29 juli 2019 11:02

Er is kritiek op dat vonnis precies omdat de rechtbank daar een vergoeding toekent zonder dat schade is aangetoond. De AVG zegt niet expliciet dat een schending dus schade móet geven, alleen dat je recht hebt op vergoeding van schade. Hoe je aantoont dát je schade hebt, laat de AVG in het midden.

Dasprive @Arnoud Engelfriet • 29 juli 2019 16:26

Maar dat is nu net het verschil met dat immateriële schade specifiek benoemd wordt in artikel 82 van de GDPR: je moet niet langer per se kwantificeren welke schade je leedt, immaterieel hoeft niet een bonnetje te zijn met een kostenpost.

Het principe dat iemand zich geschaad kan voelen enkel en alleen omdat zijn gegevens op straat liggen, zelfs al kan daar geen cijfertje op worden geplakt, vind ik heel terecht. Dat een rechter daar dan 500,- op plakt is voor discussie vatbaar, maar het algemene principe is zeer goed en gaan we ook meer zien.

Mensenrechten kun je nu eenmaal niet in altijd in tastbare schade vatten.

Arnoud Engelfriet @Dasprive • 29 juli 2019 16:37

Dat klopt, maar onze HR heeft recent gesteld (https://uitspraken.rechts...nt?id=ECLI:NL:HR:2019:376) dat je geen immateriële schade hebt enkel omdat je mensenrechten geschonden zijn:

Van een aantasting in de persoon op andere wijze als bedoeld in art. 6:106 lid 1, onder b, BW, is niet reeds sprake bij de enkele schending van een fundamenteel recht.

Ik vind dat ook raar maar binnen het systeem klopt het. En de AVG laat dit toe, want die zegt niet dát er per definitie immateriële schade is maar alleen dat als die er is, die vergoed moet worden. Zie ook advocaat Mark Jansen -die ik hoog heb zitten op dit gebied- die ook vraagtekens zet bij die 500 euro in het licht van die HR-uitspraak (https://www.dirkzwager.nl...e-raad-aanknopingspunten/).

Dat gezegd hebbende zou ik het toejuichen als er gewoon staffels komen voor schade onder de AVG (een persoonsgegeven lekken is 50 euro per stuk tenzij meer wordt aangetoond), want dat komt de handhaving ten goede. Het kan uit de hand lopen, zie https://worldof2k38.com/c...-2038/a-new-intelligence/

Dasprive @Arnoud Engelfriet • 29 juli 2019 17:36

Zeer interessant, normaal lees ik die wel maar deze kende ik nog niet.

Hoe dan ook, belangrijk verschil is dat de rechter daar ook duidelijk aangeeft dat de betrokkene op geen enkele manier duidelijk maakt waaruit de schade zou bestaan: welk verschil was er tussen gevangenisregime A of B? En in zo'n geval kan je ook op een mensenrecht nog steeds niks plakken.
Hier is er wel duidelijk schade alleen is die haast onmogelijk te kwantificeren: je gegevens liggen op straat. Of er dan effectief misbruik van gemaakt wordt is nog een hele andere, maar het lekken is aantoonbaar.

Maar waarschijnlijk komt het inderdaad vroeg of laat waar neer op een prejudiciele vraag bij het Hof van Justitie, net zoals vandaag rond FashionID

[Reactie gewijzigd door Dasprive op 22 juli 2024 14:48]

Ben Adar @Arnoud Engelfriet • 26 juli 2019 13:29

Dat is idd altijd waar de schoen wringt. Net als Groningers maar moeten bewijzen dat de schade door de gaswinning komt.

"Common sence" is blijkbaar ver toe zoeken als een grote partij of overheidsinstelling aansprakelijk wordt gesteld.

ArmEagle

@Ben Adar • 26 juli 2019 13:43

Er geldt in het specifieke gebied in Groningen een omgekeerde bewijslast. We hoeven dus juist niet meer te bewijzen dat schade door aardbevingen komt. 'De NAM' mag met bewijs komen dat dat niet zo is.

Dat geldt volgens mij alleen nog niet voor hele oude complexe gevallen. Situaties waar het om tonnen en miljoenen per geval kan gaan, helemaal als je gevolgschade meetelt.

burne @Ben Adar • 26 juli 2019 22:13

Als je buren een deuk in hun bumper hebben en die schade bij jou willen claimen zullen ze toch echt eerst aan moeten tonen dat jij die schade veroorzaakt hebt. "Common sense" is blijkbaar ver toe zoeken als het gewone burgers betreft.

tonkie_67 26 juli 2019 12:12

In ieder geval gaat gemeente met de billen bloot en geven ze toe dat ze fout waren.
Voor een (lokale) overheid is dat al een hoopvolle reactie ipv "downplayen" of verbergen achter "we geven geen reactie op individuele situatied" wat meestal de 'smoes' is om geen verantwoording af te leggen.
Hoopvol

slijkie @tonkie_67 • 26 juli 2019 12:15

Dit zijn ze gewoon verplicht. (Meldplicht Datalekken)

[Reactie gewijzigd door slijkie op 22 juli 2024 14:48]

Hans C @slijkie • 26 juli 2019 12:17

Aan de pers zijn geen verplichtingen.

jqv @Hans C • 26 juli 2019 12:32

Wet openbaarheid bestuur.
Ze moeten dus gehoor geven aan deze oproep.

Wat niet betekent dat ze alles moeten openbaren.

Hans C @jqv • 26 juli 2019 12:38

Denk dat je een wob verzoek verkeerd inschat. Dat moet gedaan worden en beoordeeld. Duurt wel even voor je als pers de informatie hebt waar je om vroeg, als je die al krijgt. Ze hoeven dus nog steeds niets.

Ik ben het eens met de opmerking dat je als gemeente maar beter pro-actief naar buiten kunt gaan. Schade controleren. Maar er is naar de pers nog steeds geen verplichting.

Auteur

TijsZonderH Nieuwscoördinator @jqv • 26 juli 2019 12:47

Ik zou willen dat een wob-verzoek zo makkelijk was als 'je moet alles vertellen'

Zoals @Hans C ook zegt, een echt wob-verzoek komt heel nauw, is heel specifiek, kost ontzettend veel tijd... We hebben op dit moment een paar verhalen staan waar eerst gewoon vragen hoe het zit een betere aanpak is.

Lord Daemon @jqv • 26 juli 2019 23:35

De wob gaat alleen over bestaande documenten. Als de gemeente niets op papier heeft over het datalek, kan je met een beroep op de wob dus ook niets verkrijgen. De wob is eerder interessant als je bijvoorbeeld besluitvorming wilt achterhalen, niet zozeer als je een reactie wilt op een actuele ontwikkeling.

slijkie @Hans C • 26 juli 2019 12:20

Klopt, maar dat komt er toch, want zodra 1 inwoner van Hellevoetsluis dit door speelt aan de pers is het al uit. Kunnen ze dit net zo goed zelf doen om de schade zo ver mogelijk te beperken.

Blokker_1999

Datalek
Nederland
Privacy

@Hans C • 26 juli 2019 12:20

Nee, maar wel aan de mensen wiens data mogelijks gelekt is. En wat denk je dat die mensen gaan doen als de gemeente zelf geen persbericht uitstuurd? Juist ja, die stappen dan zelf maar naar de pers waardoor de gemeente er slechter van af komt.

Auteur

TijsZonderH Nieuwscoördinator @slijkie • 26 juli 2019 12:48

Er is wel een verschil tussen het melden van een lek aan de betrokken en de AP, en de manier waarop ze dit nu toegeven en snel handelen. Verdient best een compliment, dat gaat lang niet altijd zo.

Bensimpel @TijsZonderH • 26 juli 2019 17:46

Ook alleen maar omdat rtl nieuws hun tipte, wie weet hoe lang dit lek open heeft gestaan.

Ze moeten wel met de billen bloot omdat rtl nieuws het sowieso online ging zetten. Dit is gewoon damage control.

rob12424 @Bensimpel • 26 juli 2019 22:59

Volgens de gemeente zelf vanaf 2001. Staat in de tekst.

MrMonkE @tonkie_67 • 26 juli 2019 12:41

Bestuurders die naar buiten treden om de burger in te lichten dat er mogelijk gegevens van hen zijn gelekt. Dat is niet goed, dat is gewoon. Dat het in dit geval ook het minst schadelijke traject is zal er wellicht aan hebben bijgedragen dat ze zo open naar buiten treden. Best wel triest dat we dat als deugd zien terwijl het eigenlijk de norm zou moeten zijn. Bestuurders moeten bewoners in dit soort gevallen zo snel moeten inlichten.

Wat me nog het meeste stoort aan dit soort dingen is dat bij mijn werk voor de overheid we soms weken moesten wacht op certificaten, ingewikkelde -echt op het bizarre af- XML formaten moesten gebruiken en via een apart netwerk van de overheid communiceren maar dat ze zelf hun OLO Data lekken met een of andere knullige website actie. Sinds 2001!?

Ik hoop maar dat het geen 3rd party pakket is dat in meer gemeentes in gebruik is..

_{-ja er staat echt 2001 en niet 2010.. ik moest nog even opnieuw lezen want het leek me wel erg lang toen ik mijn verzameling letters las.-}

Noxious @MrMonkE • 26 juli 2019 12:52

Ja want "de overheid" is 1 persoon of organisatie

Natuurlijk moet het beter, maar het is ook een log orgaan met duizenden organisaties, afdelingen en clubjes. Dat is gewoon een stuk realiteit.

De iStandaarden (waarin de meeste berichten waar ik dan mee werk zijn vastgelegd) hebben meestal hele duidelijke beschrijvingen over de SOAP berichten, daar is niet zoveel raars aan. En procedures, tsja; het lastigste blijkt vaak het vinden van de juiste verantwoordelijke personen, en zo kort mogelijke lijntjes krijgen. Dan valt het allemaal wel mee.

Señor Sjon @MrMonkE • 26 juli 2019 13:18

Het systeem is dan ook erg web 1.0 en qua doorzoekbaarheid is het ook uit die tijd. Matig dus. Op zich was het wel makkelijk dat oude stukken teruggevonden konden worden. In de regel verandert een gemeente eens in de zoveel jaar van systeem waardoor oude stukken vrijwel onvindbaar zijn geworden.

Wim-Bart @MrMonkE • 27 juli 2019 14:01

Het lek is erg, dat wordt echter wel opgelost. Maar waar ik mij meer zorgen over maak is dat er dus data vaan burgers en gemeenten, welke aan elkaar zijn gelinkt, BIJ GOOGLE STAAT.

Initieel staat dit in Nederland, maar Google kan niet garanderen dat "low access" data in Nederland blijft staan. Zelf ben ik zijdelings in aanraking gekomen met de discussie tussen Overheid en Google, waarbij we moesten bepalen welke impact "Cloud" heeft. Uit woorden van Google zelf werd ook duidelijk het statement gemaakt "Uw data wordt in Nederland opgeslagen, maar, bij lage toegang kunnen algortithmen er voor zorgen dat data verplaatst wordt naar een goedkopere regio." Op de vraag welke regio dit is, werd aangegeven dat dit iedere locatie over de wereld kan zijn. Zelfs waar we onze data NIET willen hebben gezien de politieke situatie. Google was dus ook een NO GO!

Daarom snap ik de keuze voor Google niet. En bij het onderzoek waren EC, AIVD, Justitie en anderen betrokken.

SuperSjors @MrMonkE • 29 juli 2019 16:05

Als iemand die voor de ICT van Hellevoetsluis heeft gewerkt in het recente verleden kan ik je vertellen dat ze geen opmerkelijke software gebruiken, de meeste gemeenten gebruiken dezelfde applicaties namelijk. Zijn maar een paar (belabberde) leveranciers die deze software maken en onderhouden (haha) namelijk.

misterbennie 26 juli 2019 12:48

"Liet lekken" impliceert dat het een actieve actie was.
Ik neem aan dat dit per ongeluk was, dus een passieve actie.

michielRB @misterbennie • 26 juli 2019 12:56

Als iets per ongeluk is, dan kan het nog steeds een actieve handeling zijn. Uit het stuk begrijp ik dat het op "publiek" zetten van een document niet zomaar gaat en dus een actieve handeling moet zijn. Per ongeluk verkeerd.

misterbennie @michielRB • 26 juli 2019 13:24

Dan is alles een actieve actie en dat is natuurlijk niet zo.
Iets nalaten is geen actieve actie.
Iets bewust nalaten daarentegen wel.

[Reactie gewijzigd door misterbennie op 22 juli 2024 14:48]

v8power67 26 juli 2019 14:19

Fijn woon in Hellevoetsluis en hoop serieus dat ik niet bij de gelekte data zit...

Fraaank @v8power67 • 26 juli 2019 15:48

Lijkt me dat je dat kan opvragen bij de Gemeente en zij ook deze informatie moeten verstrekken.

v8power67 @Fraaank • 26 juli 2019 16:55

Ja goed idee even controleren.

bjorn1 @v8power67 • 27 juli 2019 00:27

Ga ik dan ook maar even doen. Aan de andere kant wat schiet ik er mee op eigenlijk?

ChAiNsAwII 26 juli 2019 15:58

Aanklagen grove schending vd privacy wetgeving...

Bensimpel @ChAiNsAwII • 26 juli 2019 17:48

Sowieso komt er nu wel een avg onderzoek. Ben benieuwd of ze een boete krijgen.

FrostyPeet 26 juli 2019 18:30

Goed, dan zegt "de gemeente" sorry, dat het allemaal heel vervelend is, komt onderzoek. Zonder verdere consequenties. Een eventuele boete wordt opgevangen door het verhogen van de gemeentelijke belastingen.

Op dit item kan niet meer gereageerd worden.

Hellevoetsluis liet ambtsdocumenten met persoonlijke informatie uitlekken

Lees meer

IT-banen

Reacties (40)

Sorteer op:

Weergave: