Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries

Alle Nederlandse ministeries zijn betrokken bij het datalek van eerder deze maand. Het gaat om persoonsgegevens van Rijksoverheidsambtenaren, die niet goed werden verwijderd uit documenten bij het uploaden naar websites van de ministeries. Het onderzoek loopt nog.

Staatssecretaris Zsolt Szabó van Digitalisering schrijft in een brief aan de Tweede Kamer dat het probleem speelt bij alle ministeries. Het datalek is ontstaan doordat de metadata voor publicatie niet goed is ontdaan van de gegevens van ambtenaren, zoals de naam, gebruikersnaam en ‘in een beperkt aantal gevallen’ een telefoonnummer. De documenten zijn gepubliceerd via open.overheid.nl, Rijksoverheid.nl en Overheid.nl.

Momenteel loopt de eerste fase van de aanpak van het datalek, waarbij de situatie en risico’s worden geanalyseerd en de schade wordt beperkt. Volgens Szabó tonen de eerste analyses aan dat zo’n 23% van de gepubliceerde documenten onjuist ingevulde velden in de metadata bevat. BNR meldt dat de namen van ambtenaren zichtbaar waren in de metadata achter 100.000 van de 500.000 onderzochte documenten. De totale omvang van het datalek is op dit moment nog niet bekend.

Alle ministeries hebben een voorlopige melding gedaan van dit datalek bij de Autoriteit Persoonsgegevens. Dat is verplicht bij datalekken van een bepaalde omvang. Daarnaast is er ‘een centraal calamiteitenteam’ ingericht onder leiding van de CISO Rijk. Dit team coördineert de rijksbrede aanpak van het probleem. Verder zijn er maatregelen in gang gezet die het lekken van ongewenste metadata bij nieuwe publicaties moeten voorkomen. Er wordt ook gewerkt aan een plan van aanpak voor documenten die al gepubliceerd zijn.

Door Idriz Velghe

Redacteur

Feedback • 18-04-2025 17:43
37 • submitter: Exorcist

18-04-2025 • 17:43

37

Submitter: Exorcist

Lees meer

Demissionair minister Uitermark neemt Digitaliseringsportefeuille over van Szabó
Demissionair minister Uitermark neemt Digitaliseringsportefeuille over van Szabó Nieuws van 4 juni 2025
Staatssecretaris voor Digitalisering Zsolt Szabó stapt op na val van kabinet
Staatssecretaris voor Digitalisering Zsolt Szabó stapt op na val van kabinet Nieuws van 3 juni 2025
Omrop Fryslân onderschept gegevens door ontbrekende domeinnaam Dantumadiel
Omrop Fryslân onderschept gegevens door ontbrekende domeinnaam Dantumadiel Nieuws van 20 mei 2025
AP wil Nederlandse gemeenten helpen omgaan met privacy inwoners
AP wil Nederlandse gemeenten helpen omgaan met privacy inwoners Nieuws van 13 mei 2025
Nederland kreeg van alle EU-landen de meeste subsidie voor cybertoepassingen
Nederland kreeg van alle EU-landen de meeste subsidie voor cybertoepassingen Nieuws van 29 april 2025
Overheid NL roept op om tussen 16.00 en 21.00 uur minder stroom te gebruiken
Overheid NL roept op om tussen 16.00 en 21.00 uur minder stroom te gebruiken Nieuws van 28 april 2025
Carrefour waarschuwt Mobile-klanten voor datalek met gevoelige persoonsgegevens
Carrefour waarschuwt Mobile-klanten voor datalek met gevoelige persoonsgegevens Nieuws van 23 april 2025
Nederlands kabinet overweegt inzet AI om externe inhuur ict'ers terug te dringen
Nederlands kabinet overweegt inzet AI om externe inhuur ict'ers terug te dringen Nieuws van 19 april 2025
Parkeerbedrijf Indigo meldt datalek waarbij mogelijk klantgegevens zijn gestolen
Parkeerbedrijf Indigo meldt datalek waarbij mogelijk klantgegevens zijn gestolen Nieuws van 19 april 2025
Medische gegevens van studenten waren inzichtelijk bij datalek Fontys
Medische gegevens van studenten waren inzichtelijk bij datalek Fontys Nieuws van 17 april 2025
'Groot datalek' bij ministeries blijkt uit namen van ambtenaren te bestaan
'Groot datalek' bij ministeries blijkt uit namen van ambtenaren te bestaan Nieuws van 11 april 2025
Meerdere Nederlandse ministeries getroffen door 'groot datalek'
Meerdere Nederlandse ministeries getroffen door 'groot datalek' Nieuws van 10 april 2025
Contactlenzenwebshop Lensdeal waarschuwt klanten voor gestolen wachtwoorden
Contactlenzenwebshop Lensdeal waarschuwt klanten voor gestolen wachtwoorden Nieuws van 3 april 2025
Beveiligingsbedrijven: gelekte Oracle-data lijkt authentiek te zijn
Beveiligingsbedrijven: gelekte Oracle-data lijkt authentiek te zijn Nieuws van 26 maart 2025
Mailinglijst blog Have I Been Pwned-oprichter gelekt door phishingmail - update
Mailinglijst blog Have I Been Pwned-oprichter gelekt door phishingmail - update Nieuws van 25 maart 2025
Meer producten en artikelen
Politiek en recht Privacy Datalek Nederland Overheid Tweede kamer

Reacties (37)

-Moderatie-faq
37
34
18
0
0
11
Wijzig sortering
elmuerte 18 april 2025 17:53
Ja, Microsoft Office voegt een redelijke hoeveelheid aan metadata toe aan een document, en zet dat ook lekker over als je er een PDF van maakt.
mjtdevries @elmuerte18 april 2025 18:25
Daar was wel rekening mee gehouden want ze hadden juist tools om dat te schonen.
kodak
@mjtdevries18 april 2025 19:35
Als software niet voor bepaalde doelen gemaakt is dan kun je er maar beter rekening mee houden dat 'oplossingen' niet voldoende zijn en het probleem ondertussen blijft daf de software heel andere doelen heeft.
jpsch @mjtdevries19 april 2025 13:03
Juiste tools zegt net alles. Ze hebben ook beveligde mailomgeving, maar maken ook gebruik van prive mail.

nieuws: Hugo de Jonge gebruikte als minister privé-e-mail voor zakelijke comm...
rob12424 @mjtdevries19 april 2025 16:00
Die tools zijn handig maar wie controleerd of ze nog werken?

Zo werd er bij mij in de wetenschap uitgegaan dat iets goed was.

Maar niemand controleerde of het nog klopte/werkte. (Totdat 1 iemand het wel deed en meer dan 7 belangrijke papers onderuit haalde)

Daarom de belangrijkste regel; assumption is the mother of all fuck ups.
Bux666 @elmuerte18 april 2025 19:19
Dat kan je in LibreOffice met 1 vinkje uitzetten. :*)
To_Tall @Bux66618 april 2025 19:39
In Office is het ook niet heel moeilijk om document inspect te gebruiken. Probleem is alleen kennis om dat vinkje aan en uit te zetten. Niet dat de mogenlijkheid er is.

Zo heeft Office en Libre beide voor en nadelen.
DJ Henk @Bux66619 april 2025 09:12
Een beveiligingsmaatregel die afhangt van de discipline van gebruikers is bij voorbaat al kansloos. Dat geldt voor LibreOffice net zo hard als voor MS Office.
Piemol @elmuerte18 april 2025 21:57
Voor MS Word is het ook niet veel werk, alleen je moet het even weten.En opnemen in een proces.
Remove personal information from a document

If you share a document with other people, you can remove personal information, such as author name and company, that Office automatically adds to a document.

On the Word menu, click Preferences.

Under Personal Settings, click Security Security Preferences button.

Under Privacy options, select the Remove personal information from this file on save check box.

Save the document.

Notes: The following personal information is removed from your file:

In document properties, the properties Author, Manager, and Company on the Summary tab, and Last saved by on the Statistics tab.

All names associated with comments or tracked changes are changed to "Author." If you add or edit your name in a specific comment or elsewhere in your file, that information is not removed by this procedure. You must remove that information manually.
Bron: https://support.microsoft.com/en-us/office/help-protect-your-privacy-252a47ec-1b31-4fd0-8450-e66d6c2de950

[Reactie gewijzigd door Piemol op 18 april 2025 22:03]

sympa @Piemol19 april 2025 08:49
Het zou er gewoon niet in moeten zitten. Niet met de standaardinstellingen. "Ja maar het is handig" - nee dat is het niet. En het is ook niet eenvoudig te strippen. Die instructies die je hier heeft zijn niet echt wat een privacy gateway zou kunnen doen.
Al os het misschien mogelijk met de nieuwe bestandsformaten die eigenlijk een ZIP file zijn, dat die dara uit de ZIP wordt verwijderd. Als ie goed apart staat.
Botmeister @Piemol19 april 2025 09:57
Kan ook geautomatiseerd. Voor als er geen gpo's/oma-uri's zijn om dit op te lossen. Voor die documenten die gepubliceerd moeten worden.

Sla document lokaal op > unzip de .docx - open bestand core.xml > verwijder persoonsgegevens > zip de .docx > upload

Niet getest maar ik vermoed dat je alvorens te uploaden, even niet het bestand in office moet openen want anders zal het net zo hard weer teruggezet worden :P

[Reactie gewijzigd door Botmeister op 19 april 2025 10:00]

tweakorinho @Botmeister20 april 2025 12:50
Ik gebruik hiervoor Metadata Remover https://gitlab.com/rmnvgr/metadata-cleaner/ die onder de hood mat2 gebruikt. Weet niet of die deze data zou oppakken.

Wat betreft meta informatie, wanneer deze relevant zijn voor de zou dit (ook) expliciet in het document moeten staan. Je kunt van gebruikers niet verwachten dat zij documenten digitaal onder de lamp gaan houden om dingen te weten te komen die duidelijk moeten zijn.
jeanj @elmuerte20 april 2025 12:46
Toch niet als je het als PDF print (via ms pdf printer, of andere printer drivers)?
SuperDre
18 april 2025 17:51
Ik noem het publiceren van de author naam van een document geen datalek, eigenlijk hoort dat zelfs gewoon in een document te staan.
wildhagen
@SuperDre18 april 2025 17:53
En toch is het wel degelijk geclassificeerd als datalek.

Persoonlijke gegevens horen niet in die documenten te staan. Het zijn immers geen persoonlijke (opinie) stukken, maar ambtelijke documenten.

Wie die geschreven heeft is binnen de organisatie ongetwijfeld bekend in het DMS, maar is volstrekt irrelevant voor de buitenwereld.
Randfiguur @wildhagen18 april 2025 18:36
Meestal irrelevant ja, maar afhankelijk van het type document kunnen namen regelrecht gevoelige informatie zijn die de ambtenaren zelfs in gevaar kan brengen. Denk aan ambtenaren die zich bezighouden met controles en boetes.
bazs2000 @SuperDre18 april 2025 18:28
Meerderen hebben het al gezegd maar ik schijn er nog een ander licht op.

Ik maak zelf ook documenten. Dat kan een beleidstuk, werkinstructie of procesontwerp zijn. Dat doe ik meestal niet op eigen initiatief dus ben over het algemeen geen eindverantwoordelijke. Waarom zouden dan juist mijn gegevens van waarde zijn? Intern weet men dat zij bij mij moeten aankloppen. Mijn gegevens zijn dan ook weinig interessant.

Als ik over een jaar een andere uitdaging aanga dan hebben mijn gegevens helemaal geen toegevoegde waarde meer.

Ik zet documenten dan ook altijd op naam van de afdeling waarbij ik op dat moment werkzaam ben, de afdeling draagt de verantwoordelijkheid en niet ik.

Waarom zou volgens jou de naam van de auteur er wel in moeten staan? In de regel is dat vrijblijvend namelijk. :)
Loffer @SuperDre18 april 2025 18:33
Een datalek is geen wettelijke term en ik snap dan ook dat men er allerlei onderbuikcriteria aan verbindt, maar in de praktijk wordt er dan vaak geduid op een inbreuk in verband met persoonsgegevens zoals in artikel 33 AVG.

De namen en evt. telefoonnummers hadden niet openbaar gemaakt hoeven worden in de publiek gepubliceerde documenten. De doorsnee ambtenaar die slechts heeft meegewerkt aan dat document hoeft daar als iemand die geen publieke ambt bekleed ook niet op te rekenen. Noem het een stukje zorg vanuit de werkgever en het ontbreken van noodzakelijkheid.

Je zal maar bij politiek en maatschappelijk gevoelige dossiers hebben dat met een beetje LinkedInnen en Googlen (of andere amateur OSINT-technieken) iemands huisadres achterhaald kan worden. Met één uitspatting heb je je bezuiniging op het ambtelijk apparaat dan wel snel geregeld.
Bart ® Moderator Spielerij @SuperDre18 april 2025 20:45
Stel je voor dat je ambtenaar bent, en van de minister van asiel en immigratie opdracht krijgt om beleid te formuleren hoe je zo snel en efficiënt mogelijk asielzoekers het land uit krijgt (of hoe we er zo veel mogelijk het land in krijgen), en dan staat jouw naam daaraan gekoppeld, voor heel Nederland te lezen. Dan weet ik niet of je daar heel blij van wordt. Ongeacht of je persoonlijk achter dat beleid staat.
jpsch @SuperDre19 april 2025 13:06
Ligt aan de documenten, voor handleidingen en spreadsheets e.d. heeft het mijn voorkeur om aan versie beheer te doen en te weten wie als laatste eraan gewerkt heeft.
soedesh 19 april 2025 03:49
Gewoon weer met een typemachine werken die ambtenaren. Een computer is te ingewikkeld. Hoeveel Belastinggeld ze er ook tegenaangooien, het zal niet helpen om dit soort domme fouten in de toekomst te voorkomen. Reken er maar op dat ook dit weer een hoop (onnodige) belastingcenten gaat kosten. Alle regels vereenvoudigen en/of afschaffen door o.a. een basisinkomen in te voeren en zoveel mogelijk ambtenaren (waaronder IT-ers, zowel de internen als externen) te ontslaan. Een Doge manager zoals Musk die de bezem er doorheen haalt is misschien nieteens zo slecht.

[Reactie gewijzigd door soedesh op 19 april 2025 04:21]

TripleQ 19 april 2025 07:01
Maar kan de website die deze bestanden publiceert dan niet bij het uploaden alle Meta data verwijderen? Moet toch niet zo spannend zijn? Een ontwerp fout in de software dus.
Pietergompie 19 april 2025 11:32
Zo leer je Zsolt Szabó kennen!
Getest 19 april 2025 18:29
Het is nog niet zo heel erg lang geleden dat deze namen van ambtenaren die stukken schrijven gewoon rechts bovenaan in de kantlijn gepubliceerd werd. Dus volgens mij is het niet zo enorm spannend. Maar er is niet voor niets voor gezorgd dat die namen tegenwoordig worden ‘gelakt’.
Als het trouwens gaat om het metadataveld ‘auteur’ dan kan ik vertellen dat dat vaker niet klopt dan wel.
hottestbrain @Luchtbakker18 april 2025 17:51
Het feit dat je er nu over kunt lezen betekent dat het juist GEEN doofpot verhaal is. Niet alles is een complot.
synoniem @Luchtbakker18 april 2025 17:53
Het gaat over namen en heel soms een telefoonnummer van een ambtenaar die niet uit de metadata van de gepubliceerde documenten zijn verwijderd. Dat zijn bepaald geen gegevens van 17+ miljoen Nederlanders.
SuperDre
@Luchtbakker18 april 2025 17:55
Omdat he beveiligen en beveiligen hebt. In dit geval gaat het helemaal niet eens IMHO om een echt datalek, zoals bv toegang tot een database / excel bestand vol met NAW gegevens. Het gaat hier puur om de document properties zoals author die bij publiceren niet gestript zijn. Zaken die eigenlijk gewoon normaal onderdeel van een document zijn.
Bender @Luchtbakker18 april 2025 18:02
Hoezo een doofpot verhaal?
Het is bekend gemaakt, het is duidelijk waar het zit..
xxs @Luchtbakker18 april 2025 17:53
Een Nostradamus met een glazenbol.

Maar zonder de details te kennen en een lopend onderzoek ken jij de uitkomst al.
aadje93 @Luchtbakker18 april 2025 18:42
Lees je uberhaupt wel verder als de titel?
Staatssecretaris Zsolt Szabó van Digitalisering schrijft in een brief aan de Tweede Kamer dat het probleem speelt bij alle ministeries.
Dat staat dus op tweedekamer.nl weet je wel, de website van ons tweede kamertje....
kodak
@Luchtbakker18 april 2025 20:42
Je vraag waarom het mis is gegaan is nmm wel heel terecht. De wet stelt namelijk niet slechts dat maatregelen nemen genoeg is. De maatregelen moeten passende technische en organisatorische maatregelen zijn. Maar maatregelen zijn en blijven niet zomaar passend. Dus er zal ergens uit moeten blijken dat daar voldoende moeite voor is gedaan.
Batur @kodak19 april 2025 06:22
Meer dan passende technische en organisatorische maatregelen eigenlijk. Artikel 5 van de algemene verordening gegevensbescherming noemt vijf rechtsbeginselen, en behandelt in overige artikelen het belang van zelfs veel meer aspecten dan alleen die vijf.
Prince @Luchtbakker19 april 2025 17:03
Het gaat natuurlijk over gegevens van ambtenaren. Dat zijn mensen in functie. De naam van iemand is dan ook niet zo gek. De auteur van dit artikel geeft ook zijn naam prijs en ook zijn gebruikersnaam. Naar mijn mening is het niet zo gek of zo erg dat je naam naast iets staat; je vindt 9 van de 10 dit ook op linkedin.
Telefoonummer is natuurlijk beetje onduidelijk. Is het het nummer van de afdeling, van hun gsm, van hun thuis... Allemaal ander gewicht. Dat eerste is natuurlijk geen persoonsgegeven en de 2de kan bij sommige beroepen ongewenst zijn, maar bij anderen juist niet.

Anderzijds.. Wauw.. wat een hoop tweakers die geen mening accepteren en die de zin "ik weet zeker dat..." zo letterlijk nemen als het maar kan. Ik interpreteer die zin meer als "je zal wel zien dat...". In de verste verte geen -1 waard. Geef dit morgen gerust aan bij het Mismoderatieforum.
CivLord @Luchtbakker21 april 2025 09:58
Dit gaat om de metadata van overheidspublicaties (wie heeft een bepaalde publicatie/ folder geschreven). Wanneer dit bij een bank zou gebeuren (welke medewerker heeft de folder over hypotheken geschreven) is het juist een non-event.

Is het slordig? Uiteraard!
En waarom is het bij de overheid erger dan bij een bank? Het zal niemand interesseren wie een folder over bankproducten schrijft. Maar aangezien het tegenwoordig heel normaal lijkt te worden dat wanneer je een afwijkende mening hebt (of deze lijkt te hebben) je gedoxt wordt of zelfs aan je eigen voordeur lastig gevallen wordt is het voor de overheid vervelend en kan het zelfs ondermijnend werken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq