'Groot datalek' bij ministeries blijkt uit namen van ambtenaren te bestaan

De data die op donderdag bij meerdere Nederlandse ministeries uitlekte, betreft enkel de namen van Rijksoverheidsambtenaren. Die metadata werd niet goed verwijderd uit documenten bij het uploaden naar websites van de ministeries, schrijft een journalist van de NOS.

Volgens NOS-journalist Joost Schellevis gaat het om een fout die ontstond bij het uploaden van documenten naar websites van de Rijksoverheid. Hij baseert zich op meerdere anonieme bronnen. Op donderdag meldde BNR dat er 'een groot datalek' had plaatsgevonden bij de Nederlandse ministeries van Economische Zaken, Binnenlandse Zaken en Klimaat en Groene Groei. Daarbij zou 'privacygevoelige informatie' zijn buitgemaakt, maar het was tot nu toe onbekend wat het datalek precies inhield. Ook Tweakers schreef over dat nieuws.

Nu blijkt dat het privacyprobleem het uitlekken van namen en e-mailadressen van individuele ambtenaren betreft. Die gegevens staan als metadata gekoppeld aan documenten. Die data hoort bij het uploaden naar websites van de Rijksoverheid te worden gestript, omdat het anders mogelijk zou zijn om de ambtenaar te achterhalen die een bepaald document heeft geschreven.

Zowel de aard als de omvang van het datalek zijn op het moment nog niet bekend. Het is onduidelijk hoeveel documenten er precies zijn geüpload waarin die metadata nog te vinden was. Ook is onduidelijk hoe dat kon gebeuren; het zou kunnen gaan om een menselijke fout of een fout in een computersysteem. Die informatie is nog niet bekend.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 11-04-2025 12:20 50

11-04-2025 • 12:20

50

Lees meer

Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries
Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries Nieuws van 18 april 2025
Rijksoverheidsambtenaren moeten verplicht cursus Digitale Weerbaarheid volgen
Rijksoverheidsambtenaren moeten verplicht cursus Digitale Weerbaarheid volgen Nieuws van 11 april 2025
Meerdere Nederlandse ministeries getroffen door 'groot datalek'
Meerdere Nederlandse ministeries getroffen door 'groot datalek' Nieuws van 10 april 2025
Contactlenzenwebshop Lensdeal waarschuwt klanten voor gestolen wachtwoorden
Contactlenzenwebshop Lensdeal waarschuwt klanten voor gestolen wachtwoorden Nieuws van 3 april 2025
Beveiligingsbedrijven: gelekte Oracle-data lijkt authentiek te zijn
Beveiligingsbedrijven: gelekte Oracle-data lijkt authentiek te zijn Nieuws van 26 maart 2025
Mailinglijst blog Have I Been Pwned-oprichter gelekt door phishingmail - update
Mailinglijst blog Have I Been Pwned-oprichter gelekt door phishingmail - update Nieuws van 25 maart 2025
Commercieel dna-testbedrijf 23andMe wil faillissementsbescherming voor verkoop
Commercieel dna-testbedrijf 23andMe wil faillissementsbescherming voor verkoop Nieuws van 24 maart 2025
Oracle ontkent datalek waarbij beveiligingsinformatie gestolen zou zijn
Oracle ontkent datalek waarbij beveiligingsinformatie gestolen zou zijn Nieuws van 24 maart 2025
AP deed in 2024 amper onderzoek op eigen initiatief ondanks eerdere beloftes
AP deed in 2024 amper onderzoek op eigen initiatief ondanks eerdere beloftes Nieuws van 21 maart 2025
Meer producten en artikelen
Privacy Datalek Nederland

Reacties (50)

-Moderatie-faq
50
50
25
0
0
21
Wijzig sortering
CAPSLOCK2000
11 april 2025 12:41
Ook is onduidelijk hoe dat kon gebeuren; het zou kunnen gaan om een menselijke fout of een fout in een computersysteem.
Oprechte vraag, hoeveel van jullie hebben dergelijke functionaliteit in hun systeem gebouwd voor documenten?

Het zal vast bestaan, maar ik geloof niet dat ik het ooit in praktijk gezien heb voor (office) documenten. Ik ken het wel van plaatjes sites, die strippen soms alle metadata.

Mijn vermoeden is dus dat het hier meer om een menselijke fout gaat dan om een technische. Als het systeem het niet kan zullen mensen het immers met de hand moeten doen. Dat is vragen om problemen want mensen zullen dat gaan vergeten (zoals met alles dat mensen doen). Aangezien metadata strippen niet noodzakelijk is om bestanden te uploaden zullen een hoop mensen niet eens beseffen dat het nodig is.

Als metadata strippen wenselijk is dan moet je het automatiseren en by default laten toepassen.

De fout zit niet bij de persoon die vergeten is de metadata te strippen maar bij de afdeling die deze functionaliteit niet heeft ingebouwd.

[Reactie gewijzigd door CAPSLOCK2000 op 11 april 2025 12:42]

II Stevow II @CAPSLOCK200011 april 2025 13:04
Mij inziens gaat het al fout bij het publiceren van office documenten op een website. Als men immers het document in kwestie exporteert naar PDF, verlies je al (een groot deel van) deze metadata. En dat is dan weer heel makkelijk om af te dwingen, door simpelweg de .doc en .docx extensies niet toe te staan bij een upload. (of beter nog, alleen .pdf bijvoorbeeld)
hherrie @II Stevow II11 april 2025 13:14
Op Rijksoverheid.nl worden doorgaans PDF-bestanden gepubliceerd. Dus het probleem lijkt in dit geval niet het gebruik van Office-documenten te zijn.
CAPSLOCK2000
@II Stevow II11 april 2025 13:14
Mij inziens gaat het al fout bij het publiceren van office documenten op een website. Als men immers het document in kwestie exporteert naar PDF, verlies je al (een groot deel van) deze metadata.
Op zich mee eens, maar de (meeste?) documenten worden wel degelijk naar PDF geconverteerd. Zie ook CAPSLOCK2000 in ''Groot datalek' bij ministeries blijkt uit namen van ambtenaren te bestaan'
En dat is dan weer heel makkelijk om af te dwingen, door simpelweg de .doc en .docx extensies niet toe te staan bij een upload. (of beter nog, alleen .pdf bijvoorbeeld)
Eigenlijk vind ik dat alles uploadbaar moet zijn zodat documenten in originele vorm kunnen worden gearchiveerd. Daarna moet gevoelige informatie gestript worden voordat het document op de website wordt gepubliceerd. Dat zal voorlopig wel een lastige combinatie van automatisering en handwerk blijven.
PageFault @II Stevow II11 april 2025 13:29
Wanneer je de Office Export gebruikt of de Adobe Acrobat met Office plugin, dan staat een hoop van deze metadata ook in de PDF helaas. Beter is daarna om een apart profiel aan te maken in Acrobat en daar het document door te rammen die alle overbodige info eruit knalt.
Stijnvi @II Stevow II11 april 2025 15:35
Ook een PDF bevat metadata over de auteur
Scriptkid @CAPSLOCK200011 april 2025 13:38
Onze Devops publische pipeline stript alle content van Doc en PPT,

user plaatst deze op interne SP dan doet devops de controle en spelling en user schrijf taal gebruik, stript de content en finaly post to prod.
jozuf @Scriptkid11 april 2025 14:28
Lekker dan, allemaal lege documenten zonder content? haha.
Je bedoelt natuurlijjk de metadata :p
Scriptkid @jozuf11 april 2025 15:31
dan kan er ook niks lekken toch :)
Bitfreakie @CAPSLOCK200011 april 2025 13:55
Deze functionaliteit zit standaard in Microsoft Office ingebouwd. Maar ik ken zelf bijna niemand die het gebruikt. Ik heb bij een gemeente gewerkt, daar verwijderde de Griffie wel alle persoonlijke metadata uit documenten voordat ze naar het raadsinformatiesysteem werden geüploaded.
Keypunchie
@CAPSLOCK200011 april 2025 13:22
Als metadata strippen wenselijk is dan moet je het automatiseren en by default laten toepassen.
Zou een feature van het CMS moeten zijn.
beerse @Keypunchie11 april 2025 16:51
Ja, maar het gebruik van een cms is veel te moeilijk. Het gebruik van msOffice is veel makkelijker en door te beginnen met een bestaand document kunnen we er toch voor zorgen dat het net echt lijk. :+
d3burt @Keypunchie11 april 2025 18:25
Ik ben wel eens een officiele overheidspublicatie tegengekomen waar een schutvel met de tekst "Bureaulade <naam oud-medewerker>" en nog wat PII was meegescand. Daar helpt geen metadata strippen tegen...
F_J_K Forummoderator @CAPSLOCK200011 april 2025 16:25
Een beetje overheid heeft sinds de Wob en Woo anonimiseringsoftware waar voorafgaand aan publicatie bv persoonsgegevens van behandelend ambtenaren en van inwoners worden ‘zwartgelakt’.

Maar dan moet het wel gebruikt worden.
Hansie9999 @F_J_K11 april 2025 17:09
Zoals deze gasten :) :) :) :)

https://tweakers.net/nieu...ren-defensiedocument.html
wildhagen
11 april 2025 12:25
Dit kan nog altijd potentieel ernstige gevolgen hebben voor de betrokken ambtenaren. Mensen die het met de geschreven stukken niet eens zijn kunnen aan de hand van de namen in combinatie met andere bronnen wellicht meer gegevens van die mensen achterhalen, en daarmee allerlei acties uitvoeren (denk aan dreigementen, verspreiden van desinformatie over deze mensen etc).

En aangezien blijkbaar ook de email-adressen gelekt zijn (al dan niet deels) kan dat ook weer gebruikt worden voor spam- en/of phishingacties zodat het lijkt alsof de mail van het ministerie komt etc.

Hopelijk zijn er niet teveel van deze gegevens in verkeerde handen gevallen uiteindelijk, en valt het voor de getroffen mensen allemaal mee.
Die data hoort bij het uploaden naar websites van de Rijksoverheid te worden gestript, omdat het anders mogelijk zou zijn om de ambtenaar te achterhalen die een bepaald document heeft geschreven.
Ik neem aan dat dit strippen geautormatiseerd gebeurt? Zo ja, is er dan een reden waarom dit opeens niet meer gebeurt en in het verleden blijkbaar wel? Verkeerde instelling in het pakket, een upgrade met een bug erin oid?
Caviatjuh @wildhagen11 april 2025 12:38
Dat is wel waar, maar op stukken van sommige gemeentes staat vaak gewoon de behandelend ambtenaar met een telefoonnummer erbij. Zie bijvoorbeeld dit stuk: https://arnhem.bestuurlij...7d-459e-80f8-e2bde8d54915
mphilipp @Caviatjuh11 april 2025 12:58
Dat is natuurlijk wat anders. Ze kunnen je moeilijk een anonieme brief sturen; dan weet je niet bij wie je moet zijn voor meer informatie.
F_J_K Forummoderator @mphilipp11 april 2025 16:26
Daar is een zaaknummer voor. Dan hangt het ook niet aan 1 ambtenaar die wel eens op vakantie of ziek kan zijn.
mjtdevries 11 april 2025 12:45
Zoek de verschillen:
De data die op donderdag bij meerdere Nederlandse ministeries uitlekte, betreft enkel de namen van Rijksoverheidsambtenaren.
en
Nu blijkt dat het privacyprobleem het uitlekken van namen en e-mailadressen van individuele ambtenaren betreft.
jongetje @mjtdevries11 april 2025 12:52
Nu zijn e-mailadressen ook weer niet zo ingewikkeld om te raden als je die ambtenaar wilt mailen en de naam weer.

Voornaam.achternaam@<ministerie/uitvoerende organisatie>.nl.

[Reactie gewijzigd door jongetje op 11 april 2025 12:52]

Quintiemero @jongetje11 april 2025 13:13
Niet relevant voor of iets wel geen datalek is. Ook al staat het al op internet, doet er ook niet toe. Wel relevant voor de impact.
mjtdevries @jongetje11 april 2025 13:45
Een naam is niet uniek. Een emailadres wel. Daarmee is het een groot verschil.

En de snelheid en/of slordigheid die de oorzaak is dat dit artikel zo is opgesteld, is dezelfde snelheid en/of slordigheid die zorgt voor het overgrote merendeel van datalekken.
CAPSLOCK2000
11 april 2025 13:06
Vaag vermoeden na wat rondspitten op https://www.rijksoverheid.nl/documenten

Officieel werkt onze regering alleen met open en vrije bestandsformaten zoals ODF. In praktijk ontkomen ze niet aan MS Office en de bijhorende bestandsformaten. De meeste gepubliceerde stukken zijn dus naar PDF geconverteerd. Uit de metadata blijkt dat er verschillende converters worden gebruikt. Dat was er op dat er niet één document-pipeline is maar verschillende.

Ik kan me voorstellen dat het lastig is om een goed systeem op te zetten als je formeel altijd gebruik moet maken van (bv) ODF maar in praktijk vooral MS Office bestanden moet verwerken uit zeer verschillende bronnen die technisch gezien allemaal een uitzondering zijn.
Schway @CAPSLOCK200011 april 2025 13:53
open en vrije bestandsformaten zoals ODF is voor nieuwe diensten en producten. Office en zijn bestandsformaten zijn van voor die regel.
Pas als ze Office moeten vervangen steekt ie de kop op.
CAPSLOCK2000
@Schway11 april 2025 14:04
open en vrije bestandsformaten zoals ODF is voor nieuwe diensten en producten.
Office en zijn bestandsformaten zijn van voor die regel.
Pas als ze Office moeten vervangen steekt ie de kop op.
Als dat dal klopt, wat ik betwijfel, dan zou dat niet toch wel zo ver moeten zijn?
Ze moeten dat contract toch iedere paar jaar verlengen en opnieuw aanbesteden?
De tweede kamer is bv net over naar O365.

Ik weet dat het in praktijk een non-keuze is en er steeds weer voor MS Office gekozen wordt, maar ik ben me niet bewust van een uitzondering op de regel dat de overheid open bestandsformaten moet gebruiken.
Schway @CAPSLOCK200011 april 2025 16:03
De standaarden zijn vastgelegd op en raad te plegen op https://www.forumstandaardisatie.nl/pas-toe-leg-uit-beleid
Daar wordt gemeld: "‘Pas toe’ betekent dat op het moment dat u ICT aanschaft(een dienst of en product), u de 'Pas toe of leg uit'-lijst moet raadplegen.

Dus dan is de vraag, wanneer schaf je Office aan. In het begin 1x en dan behouden?
Of schaf je elke versie opnieuw aan?
Of is het allemaal niet van toepassing omdat Office ODF ondersteund (maar niemand het gebruikt)
mjtdevries @CAPSLOCK200011 april 2025 13:54
MS Office ondersteunt ODF native. Dus ik zie niet waar het probleem in zou moeten zitten?

Tenzij je gebruikt wilt maken van Microsoft Rights Management functionaliteit, want dat word niet ondersteund in ODF.
CAPSLOCK2000
@mjtdevries11 april 2025 13:57
MS Office ondersteunt ODF native. Dus ik zie niet waar het probleem in zou moeten zitten?
Het probleem is
a) dat ze het in praktijk niet gebruiken,
b) dat de rest van de wereld ook MS Office documenten blijft insturen.
CAPSLOCK2000
11 april 2025 12:52
Ik durf het volgende probleem al te voorspellen, namelijk privacy gevoelige informatie die niet in de metadata zit maar gewoon in de documenten.

Het kost niet meer dan een paar minuten om talloze documenten te vinden met namen van ambtenaren, partners, adviseurs, etc...

Voor een deel botst het ook met de openbaarheid van bestuur. We kunnen niet geheim houden wie er precies welke belangrijke baan vervult. Zie bv het volgende organogram (dat hopelijk oud genoeg is om geen problemen te veroorzaken):
https://www.rijksoverheid...an-justitie-en-veiligheid

Zo vind ik ook briefjes die deels gecensureerd zijn maar toch nog namen bevatten en presentaties van externe adviseurs (geen ambtenaren, maar voor privacy wetgeving is dat niet relevant). Als ze hun gegevens niet als tekst opnemen maar als plaatje wordt het helemaal lastig filteren.
Quintiemero @CAPSLOCK200011 april 2025 13:12
Maar dat is ook nog geen ramp. Ene stuk is gevoeliger dan de andere.
Bender 11 april 2025 13:00
Als ik het goed begrijp gaat het dus om publiekelijke PDF, Excel en Word documenten die op de website geupload worden die mensen kunnen downloaden.

Standaard bevatten dit soort documenten auteursinformatie.
Tja het is niet zo netjes natuurlijk maar het leek een veel groter probleem dan het is naar mijn idee.
CAPSLOCK2000
@Bender11 april 2025 13:26
Tja het is niet zo netjes natuurlijk maar het leek een veel groter probleem dan het is naar mijn idee.
Eerlijk gezegd was bij het eerste bericht al mijn vermoeden dat om iets dergelijks ging. De meeste datalekken zijn niet groter dan dit.

Ik vind "niet netjes" toch een beetje een onderschatting. We zijn met z'n allen nogal afgestompt door de datahonger van Facebook en Google maar het is niet normaal. We hebben het hier ook niet over een advertentienetwerk maar over nationale veiligheid.

Een paar namen lijken kleine brokjes informatie maar het is enorm behulpzaam om te analyseren hoe machtstructeren werkt en wie je moet beinvloeden om bepaalde resultaten te krijgen. Wie praat met wie? Welke bedrijven werken voor de overheid? Welke adviseurs hebben het meeste invloed? Wie kun je manipuleren of uitschakelen om beleid een andere kant op te duwen of gewoon wat tegen te houden? Wie zijn de rijzende sterren die in de toekomst topambtenaren worden?
kodak
@CAPSLOCK200011 april 2025 13:48
Een reden om ook het vermoeden van datalekken te kunnen melden is omdat meestal niet duidelijk is of het publiek maken een bewuste keuze is. Maar dat melden hoort nmm als eerste bij de organisatie en de toezichthouder om onder meer de omvang te kunnen bepalen.

Wat ik in het nieuws niet lees is wie besloten heeft dit een groot lek te noemen en waarop dit dan is gebaseerd. Want ongeacht dat kleine lekken grote gevolgen kunnen hebben, het maakt nmm nogal uit dat als het lek mogelijk niet zo groot is mensen dat negeren om er selectief van te maken dat het groot is. Omgekeerd is het immers ook niet zomaar redelijk een mogelijk datalek klein te noemen terwijl er practisch heel veel onbedoeld gelekt kan zijn.

Dat een klein lek ook grote gevolgen kan hebben ben ik met je eens. Maar dat hangt wel van omstandigheden af, net zoals een groot lek ook niet zomaar hele kleine gevolgen heeft.

[Reactie gewijzigd door kodak op 11 april 2025 13:56]

Stijnvi @CAPSLOCK200011 april 2025 15:37
Om heel eerlijk te zijn denk ik dat je wat dat betreft sneller alles gevonden krijgt via LinkedIn dan via de metadata van PDF bestanden.
Bockelaar 11 april 2025 15:20
Als medewerker, de ambtenaar dus, mag je van je werkgever een veilige werkomgeving verwachten. Dat is hier niet echt gelukt, met potentieel grote gevolgen in de prive omgeving van de medewerker.
Ik mag hopen dat de onderste steen boven komt.
WVL_KsZeN 11 april 2025 15:20
Ik schrijf jaarlijks een aantal rapportages die gepubliceerd worden op data.overheid.nl en daar sta ik gewoon vermeld als auteur. Het heeft zeker waarde om de auteur te vernoemen, dat zegt namelijk iets over de betrouwbaarheid.

Nu zijn dit geen spannende stukken en bevatten ze geen adviezen maar slechts de jaarlijkse trends. Ik kan me voorstellen dat het bij bepaalde stukken anders kan zijn, iets met stikstof of immigratie bijvoorbeeld.
old_spice 11 april 2025 12:29
Een zorgelijke situatie. Maar wellicht ook een teken aan de wand. Er wordt behoorlijk wat informatie gelekt door ambtenaren de afgelopen 2 jaar. Nu zijn ze zelf de dupe. Hopelijk zien de ambtenaren die informatie lekken hierdoor de ernst en consequenties in van hun daden.
Punkbuster @old_spice11 april 2025 12:32
Houd er rekening mee dat de gemiddelde ambtenaar beperkte kennis heeft van data en IT. De systemen waarmee zij werken, moeten daarom vooral gericht zijn op het minimaliseren van fouten en het beperken van datalekken.
hherrie @Punkbuster11 april 2025 13:13
En bedenk dat de auteur van een document niet degene is die het document op Rijksoverheid.nl publiceert.
mar-10 @old_spice11 april 2025 12:38
Informatie wordt meestal vanuit de politiek gelekt en niet door de ambtenaren.
old_spice @mar-1011 april 2025 13:56
Er zijn genoeg voorbeelden van lekkende ambtenaren te vinden als je even de moeite neemt om te googlen.
dasiro 11 april 2025 12:31
oplossing zal zijn nog wat extra functies, audits en it-projecten. ironisch genoeg net de 3 dingen die het vaakst fout lopen bij de overheid
walteij @dasiro11 april 2025 13:00
Extra functies noem je vaak scope creep, wat meteen ook de reden is dat veel projecten bij de overheid mislukken. Neem dan ook mee dat de regelmakers iedere 4 jaar andere regels verzinnen die nogal eens conflicteren met de voorgaande regels (of ze opheffen) en dan is er misschien zelfs een greintje begrip voor te krijgen dat die projecten allemaal zo slecht verlopen.

Audits gaan over het algemeen wel goed, alleen de resultaten van die audits zijn vaak wat beangstigend, maar ook dat komt weer doordat de projecten aan continue wisselende requirements moeten voldoen.

Ik heb soms best een beetje medelijden met ICT-organisaties in de overheid....

[Reactie gewijzigd door walteij op 11 april 2025 13:01]

CivLord
@dasiro12 april 2025 09:59
Niet meer of minder vaak dan in het bedrijfsleven. Bedrijven kunnen het alleen makkelijker onder de pet houden, terwijl de overheid daar open over moet zijn.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq