NAM stuurde eind 2020 gegevens van meer Nederlanders dan nodig naar ministerie

De Nederlandse Aardolie Maatschappij heeft naar eigen zeggen per ongeluk eind 2020 een veel te groot bestand met persoonsgegevens van Nederlanders naar het ministerie van Economische Zaken gestuurd. De NAM heeft de Autoriteit Persoonsgegevens niet ingelicht over het datalek.

De NAM nam drie weken na het versturen van het bestand contact op met het ministerie om te vragen de gegevens te vernietigen, schrijft het Dagblad van het Noorden. Het datalek kwam naar voren in documenten die de krant kon lezen na een beroep op de Wet openbaarheid van bestuur. Het gaat om de gegevens van duizenden Groningers die zich hadden aangemeld voor een regeling ter compensatie van de waardedaling door de aardbevingen naar aanleiding van gasboringen van de NAM in het gebied.

De NAM en het ministerie erkennen het datalek, dat het tweede is bij de maatschappij. Vorig jaar maakte de aardoliemaatschappij zelf bekend dat de gegevens van 19.000 Groningers op straat lagen. Criminelen konden de data toen stelen door een lek in de software van Accellion.

In dit geval had het ministerie gevraagd om een steekproef van enkele gegevens, waarna de NAM een veel groter Excel-bestand met gegevens van duizenden mensen opstuurde. Volgens de NAM is er ‘geen echt risico voor de privacy van bewoners geweest’. Het is onbekend welke gegevens precies in het bestand hebben gestaan.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 28-04-2022 10:25 15

28-04-2022 • 10:25

15

Lees meer

NWWI-lek maakte ID's en 'honderdduizenden' huizentaxaties downloadbaar
NWWI-lek maakte ID's en 'honderdduizenden' huizentaxaties downloadbaar Nieuws van 4 mei 2022
Zeeuwse woningcorporatie meldt ook datalek na hack bij ict-dienstverlener
Zeeuwse woningcorporatie meldt ook datalek na hack bij ict-dienstverlener Nieuws van 6 april 2022
Sociale verhuurder deltaWonen meldt datalek van huurdersgegevens na inbraak
Sociale verhuurder deltaWonen meldt datalek van huurdersgegevens na inbraak Nieuws van 28 maart 2022
Gegevens van 4600 hulpvragers Nederlandse Rode Kruis gestolen bij cyberaanval
Gegevens van 4600 hulpvragers Nederlandse Rode Kruis gestolen bij cyberaanval Nieuws van 26 januari 2022
Gegevens van 19.000 Groningse aardbevingsgedupeerden gestolen bij datalek NAM
Gegevens van 19.000 Groningse aardbevingsgedupeerden gestolen bij datalek NAM Nieuws van 10 maart 2021
Meer producten en artikelen
Privacy Datalek Nederland

Reacties (15)

-Moderatie-faq
15
15
8
1
0
5
Wijzig sortering

Sorteer op:

Weergave:
Baps 28 april 2022 10:35
Wat ik mij bij deze zaak vooral afvraag, in het NOS artikel wordt gesteld:
Het ministerie spreekt over "nogal een datalek", maar een woordvoerder van het gaswinningsbedrijf zegt dat "vrijwel alleen openbare informatie" is gelekt. Namen, telefoonnummers, e-mailadressen of bijzondere persoonsgegevens zijn volgens hem niet verstuurd.
https://nos.nl/artikel/24...ns-gedeeld-met-ministerie

Als we ervan uitgaan dat de informatie klopt, wat blijft er dan nog over aan gelekte informatie? Hebben we het dan alleen over huisadressen die in het bestand stonden, eventueel gekoppeld aan informatie over de compensatie? Dat het onzorgvuldig is om dat te verstrekken, lijkt mij evident. Maar in de zin van de AVG hoeft een datalek pas bij de autoriteit gemeld te worden als er een risico is voor de betrokkenen. Als het alleen om adresgegevens gaat (wat in lijn ligt met de opmerking "vrijwel alleen openbare informatie") kan ik mij er nog wel iets bij voorstellen dat een ijverige jurist vond dat het niet gemeld moest worden.

Kun je overigens nog de discussie voeren of overheidsorganen (edit: al is de NAM dat niet) niet altijd een datalek zouden moeten melden (althans van deze omvang).

[Reactie gewijzigd door Baps op 22 juli 2024 16:58]

mrdemc @Baps28 april 2022 11:24
Volgens het AP:
2. De onjuiste ontvanger is betrouwbaar
Zijn de persoonsgegevens verzonden aan een verkeerde maar betrouwbare ontvanger? Dan betekent dit mogelijk dat het niet langer waarschijnlijk is dat het datalek een risico oplevert. In dat geval hoeft u het datalek dus niet te melden aan de AP of aan de getroffen personen.
In het geval van een ministerie kun je er in principe vanuit gaan, ook omdat ze al een selectie van de data zouden ontvangen, dat het een betrouwbare ontvanger betreft. Daarnaast is het risico, los van welke dat er is verstuurd ook minimaal omdat er direct contact is opgenomen met de ontvanger met de vraag de gegevens te verwijderen. Hierdoor is de data niet meer beschikbaar en is er geen mogelijkheid meer tot het misbruiken van de data. Dit laatste geldt natuurlijk alleen in het geval van het eerste punt dat de ontvanger 'betrouwbaar' is.
KoffieAnanas @Baps28 april 2022 10:41
De NAM is geen overheid.
Baps @KoffieAnanas28 april 2022 10:51
Zeer terecht punt, aangepast!
arbraxas @KoffieAnanas28 april 2022 12:36
https://www.rtvnoord.nl/n...-zo-aansprakelijk-als-nam

Zo zwart wit is het niet.
divvid @Baps28 april 2022 11:34
Kan je wel van een datalek spreken? Uiteindelijk gaat het over gegevens die van de NAM naar een overheid gaan (die per definitie die gegevens al heeft of zal moeten hebben voor het uitvoeren van hun, hier controlerende, taak). Het is niet zo dat het ministerie zo lek is als een mandje en je even die data kan downloaden (althans, dat mag je zo onderhand toch wel hopen)
Baps @divvid28 april 2022 13:50
De definitie van een datalek is breed. Alleen al het niet in de bcc zetten van een lijst geadresseerden die elkaar niet kennen, levert volgens de definitie een datalek op. Ook het onbedoeld prijsgeven van persoonsgegevens aan een andere instantie is volgens die lijn een datalek.

Wat je er vervolgens mee moet doen (wel/niet melden) is een tweede vraag. Vandaar ook mijn meer algemene vraag, dat ik niet helemaal begrijp wat hier nu precies is 'gelekt'. Als het alleen adresgegevens zijn (wat zo ongeveer de enige overgebleven mogelijkheid is), is de impact op de betrokkenen in mijn ogen zeer klein, nog los van dat je mag verwachten dat het ministerie hier niet mee te koop zal lopen.
Dutch_CroniC @Baps28 april 2022 10:43
De overheid zou altijd het goede voorbeeld moeten geven, maar helaas is dat heel ver te zoeken in de meeste gevallen.
Newbey @Dutch_CroniC28 april 2022 11:02
Daar de NAM geen overheid is, gaat je stelling hier niet op.
LurkZ @Newbey28 april 2022 13:18
De ontvanger is wel overheid en die had het bestand moeten wissen en zowel NAM als AP moeten inlichten.
Dutch_CroniC @Newbey28 april 2022 20:39
De overheid is er bij betrokken toch?
Moartn @Baps28 april 2022 11:10
Het klinkt een beetje vergezocht in dit geval idd. Misschien zou je het als datalek kunnen bestempelen omdat het feit dat een adres (postcode + huisnummer) op deze lijst staat het gevoelige gegeven is? Dus een postcode+huisnummer zelf is het probleem niet, want dat is gewoon openbare informatie, maar het feit dat dat adres gebruik maakt van deze regeling zou je als persoonsgegeven kunnen beschouwen, want je kunt er theoretisch misbruik van maken. (bijvoorbeeld door gerichtere phishing te doen)
Baps @Moartn28 april 2022 13:51
Dat het een datalek is, staat wat mij betreft wel vast. Het maakt bij een datalek niet uit of je alleen iemands emailadres openbaart of juist iemands bankrekeningnummer. Dat is pas relevant voor de vraag wat je vervolgens moet doen. Jij stelt terecht dat punt aan de orde. Als dat een risico zou zijn (al is dat in dit geval laag, want de ontvanger was het ministerie), had je het wél moeten melden.
Simon Weel 28 april 2022 11:45
Wat ik me afvraag is wat er na het melden van een datalek aan de AP gebeurt? Als ik dit artikel lees, dan is e.e.a. nogal vrijblijvend?
jpsch 28 april 2022 14:53
Excel bestandje? Mag toch hopen dat 't versleuteld is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq