Schiermonnikoog stuurde bsn's zelf per ongeluk naar gehackte afvalverwerker

De gemeente Schiermonnikoog stuurde zelf per ongeluk de bsn's van alle inwoners en eigenaren van recreatiewoningen naar afvalverwerker Omrin. Een versie van het bestand met de bsn's stond op een schijf waarvan hackersgroep Qilin de data buitmaakte bij de aanval vorige maand.

Schiermonnikoog had een bestand gegeven aan Omrin voor het informeren over een tag voor ondergrondse containers, zegt burgemeester Ineke van Gent tegen de Leeuwarder Courant. Daarvoor had Omrin namen en adressen nodig en de bsn's stonden daar per ongeluk bij. "Dit had nooit mogen gebeuren", benadrukt Van Gent. "Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."

Omrin zegt dat de gegevens snel uit het bestand zijn gehaald. "Er is destijds direct contact geweest en we hebben het bestand aangepast, maar we balen dat het nog op de gehackte schijf stond", aldus de afvalverwerker. De gemeente heeft het sturen van de bsn's niet als datalek gemeld bij de Autoriteit Persoonsgegevens. Het is niet duidelijk of dat nodig was geweest.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 05-11-2025 16:23
68 • submitter: Urya

05-11-2025 • 16:23

68

Submitter: Urya

Lees meer

Hackersgroep kreeg bsn's inwoners Schiermonnikoog in handen
Hackersgroep kreeg bsn's inwoners Schiermonnikoog in handen Nieuws van 2 november 2025
Hackersgroep publiceert alle gebruikersdata laptops Nederlands afvalbedrijf
Hackersgroep publiceert alle gebruikersdata laptops Nederlands afvalbedrijf Nieuws van 28 oktober 2025
Politiek en recht Privacy Hack Nederland

Reacties (68)

-Moderatie-faq
68
67
30
2
0
32
Wijzig sortering

Sorteer op:

Weergave:
RogerD 5 november 2025 17:00
Maar dat de gegevens zijn gedeeld is niet zo erg
Het is wel erg, het is tegen de wet:

BSN mag alléén gedeeld worden met organisaties die een bijzondere uitzondering hebben (banken, ziekenhuizen, onderwijsinstellingen, etc.)

Die afvalverwerker is niet zo'n organisatie.

BSN is gecategoriseerd als een gevoelig gegeven.

Er is sprake van een datalek waarbij gevoelige gegevens zijn gelekt.

Dan is de gemeente Schiermonikoog verplicht om binnen 72 uur een melding te maken bij AP en schiriftelijk een melding te maken aan alle betrokkenen !
Reageer
wiezalditzijn @RogerD5 november 2025 17:19
Precies, het is wel erg! Precies omdat dit soort data lekken kunnen gebeuren. Mensen die informatie niet mogen hebben, mogen dat om een reden.
Reageer
kodak
@RogerD5 november 2025 18:10
Dat verantwoordelijken hun eigen gedrag niet erg vinden is helaas te verwachten. Nogal wat verantwoordelijke personen proberen namelijk onder hun verantwoordelijkheid uit te komen omdat het ze zelf kan schaden. Ze hechten duidelijk geen belang bij de wet en komen daar mee weg zolang de toezichthouder niet op tijd in grijpt.

De toezichthouder is hier helaas al te laat. Behalve dat een ernstig gebrek aan voldoen aan de wet niet op tijd is gestopt heeft men de verantwoordelijken ook nog de gelegenheid gegeven het te bagatellieren. Het is daarom te hopen dat de toezichthouder de verantwoordelijken, inclusief eventuele adviseurs die dit soort reacties zouden adviseren, wel snel openlijke zwaar bekritiseren en bestraffen. Al vermoed ik dat het nog maanden gaat duren en er openlijk niets meer te merken valt dan een algemene opmerking ergens in een jaarverslag. De prioriteiten liggen niet duidelijk bij het voorkomen van overtredingen en afstraffen van bagatelliseren van wettelijke grenzen en gevolgen. De inwoners van de gemeente doen er dus waarschijnlijk goed aan zich via hun volksvertegenwoordigers kritisch uit te spreken tegen dit soort 'fouten' alsof wetten negeren en bagatelliseren maar acceltabel hoort te zijn.
Reageer
magician2000 @kodak5 november 2025 22:14
Ik ben wel benieuwd wie jij (en de gemiddelde burger) harder af zouden straffen.


1) De verantwoordelijke voor een fout (niet zozeer de uitvoerende) die bagataliseerd en het dus niet als "erg" ziet.

2) De verantwoordelijke die direct aangeeft dat dit niet had mogen gebeuren en aangeeft hoe vervelend dit voorval is en dat er nog gekeken wordt hoe om te gaan met misbruik van de gegevens.


Ik zelf heb liever iemand die toegeeft dat er fouten gemaakt zijn (of zelfs geblunderd is). Die persoon lijkt zich er namelijk van bewust dat er een vorm van beveiliging moet komen om dit niet meer te laten gebeuren. De andere persoon laat het gewoon gaan waardoor het weer kan gebeuren.
Reageer
WoutervOorschot @RogerD5 november 2025 17:41
Erg en tegen de wet kan je los van elkaar zien, ik vind sommige legale dingen erg, en sommige illegale dingen helemaal niet erg.

Het is ook zo dat er nauwelijks praktische voorbeelden zijn van daadwerkelijke schade of last door het lekken van bijvoorbeeld een BSN. Zelfs toen bijvoorbeeld bij de GGD vele BSN's op straat lagen is er nadien niets significants geregistreerd. In die zin moeten we zoiets ook niet overdrijven.

Het had natuurlijk niet moeten gebeuren, en de gemeente had het ook moeten melden.
Reageer
aaahaaap @WoutervOorschot5 november 2025 17:53
Het is in dit geval en erg en tegen de wet. Identiteitsfraude is geen feestje voor degenen die er het slachtoffer van zijn.
Reageer
Merijn70 @WoutervOorschot5 november 2025 17:57
Phising mail waarin gebruik wordt gemaakt van jouw naam en bijbehorende bsn nummer kan erg geloofwaardig overkomen en daarom is het lekken van deze data zeer kwalijk.
Reageer
angelina @WoutervOorschot5 november 2025 18:29
Je zegt nauwelijks, dus niet 0. Stel dat jij het enige slachtoffer bent van een datalek, afgesloten van allerlei services, leningen en abo's worden op jouw naam aangevraagd, illegale activiteiten uitgevoerd onder jouw naam. Maar de overige 99.9999% heeft er geen last van, valt het dan mee? Moeten wij dan maar niet overdrijven?
Reageer
m-a-r-t-1 @WoutervOorschot5 november 2025 20:09
Gelukkig maakt het niet zo veel uit wat jij vind. Daarom zijn er wetten bepaald, om meer te hebben dan alleen meningen.
Reageer
nullbyte @WoutervOorschot5 november 2025 21:11
Identiteitsfraude wordt makkelijker, je gaat er anders over denken als iemand een lening van een ton afsluit op jouw naam.
Reageer
R_Zwart @RogerD5 november 2025 18:47
Snelheidsovertredingen zijn ook tegen de wet en daar hebben veel mensen toch geen probleem mee.
Reageer
roelboel @RogerD5 november 2025 18:50
Daarnaast is het erg omdat zij hiermee misbruik faciliteren.

Wat een pannenkoek. Kennelijk kun je als lichtgewicht burgemeester worden van een eilandje.
Reageer
BobJung @roelboel5 november 2025 20:51
44 gegadigden willen burgemeester van Schiermonnikoog worden | Binnenland | NU.nl

op zoek naar een nieuwe baan. veel plezier ermee :).
Reageer
familyman @RogerD5 november 2025 20:50
Die reactie vind ik zowat nog erger.

Ja, ik reed met 180 over de snelweg, maar het was nacht en er was niemand. Het is pas erg als er anderen waren.

Hoe bedenk je dat het ok is om dit commentaar te geven? Dit zijn dan mensen die we vertrouwelijke informatie toevertrouwen???
Reageer
Beta 5 november 2025 16:25
„Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."
Eh ik vind het allebei erg?! Tuurlijk misbruik is erger én strafbaar maar dat zomaar mijn gegevens worden gedeeld vind ík ook erg. Wanneer leren we het nou eens dat dit NIET OK is.
Reageer
J_van_Ekris @Beta5 november 2025 16:40
Beide zijn dan ook gewoon datalekken onder de AVG.

Wat dit wel extreem goed aantoont is het nut van dataminimalisatie: dat BSN was niet nodig, en door het (onbewust) toch te delen is dat dus ook in echt foute handen geeindigd.
Reageer
Wouterie @Beta5 november 2025 16:33
Tja, het is zo'n beetje als: Door rood rijden is niet erg zolang je maar geen ongelukken veroorzaakt.

'Supervervelend' Daar moet je het dan maar weer mee doen. Het is dus 'super'onaangenaam en 'super'niet leuk. En dat is dan burgemeester.
Reageer
diedie2 @Wouterie5 november 2025 16:45
Hoeveel burgemeesters, of zelfs politici, ken jij die iets afweten van IT
Reageer
Wouterie @diedie25 november 2025 17:02
Ze hoeven niets af te weten van IT! Juist niet! Ik wil dat ze alles afweten van de wet- en regelgeving. Ieder z'n vak zeg ik dan maar. Laat IT vooral niet over aan politici.
Reageer
Mathijs Kok @diedie25 november 2025 18:00
Hoeveel burgemeesters, of zelfs politici, ken jij die iets afweten van IT
En hoeveel ken jij er die veel weten van waterzuivering? Of de gevolgen van te veel stikstof? Of van dijkonderhoud? Of van de grasmaaier voor het park?

Een bestuurder hoeft geen kennis te hebben van alles, daarvoor heeft hij ambtenaren.
Reageer
LogiForce @Wouterie5 november 2025 16:37
Het woord ververvelend is zo'n ontiegelelijk irriterende verantwoording afschuivende dooddoener wat mede laat zien dat diegene nul empathie heeft voor de situatie. Ze hebben dan zelfs geen inlevingsvermogen in hun eigen situatie moet ik daarbij zeggen.

Als er wel één woord is waarbij de nekharen recht overeind gaan staan is het dan ook wel het woordje vervelend.
Reageer
Asitis @LogiForce5 november 2025 16:40
Zou je zeggen dat je het een vervelend woordje vind?

:Y)
Reageer
LogiForce @Asitis5 november 2025 19:25
Dat was een open deurtje inderdaad. :9
Reageer
Wouterie @LogiForce5 november 2025 17:00
Precies. 'Vervelend' geeft mijns inziens alleen maar aan dat het vooral ongemakkelijk is voor de overtreder en dat de gedupeerden de hik kunnen krijgen. Het is dan ook typisch een woord wat ik gebruik om mijn kinderen op de kast te krijgen als ze zich weer eens aanstellen. "Wat enorm vervelend voor je dat je niet nog meer snoep mag!" Met net zo'n treiterig ondertoontje.
Reageer
LogiForce @Mathijs Kok5 november 2025 19:33
Het is nog erger, want hun identiteit is niet gestolen maar de juist diezelfde overheidsinstantie die het bewaren moest aan derde partij weg gegeven die er helemaal niets mee moet. Dat afvalverwerkingsbedrijf is die er niets mee moet is dan ook nog zo incompetent om deze data te vernietigen als digitaal afval. Vervolgens weet dat incompetente bedrijf zich dan ook niet te beveiligen en ligt alles op straat door een hack.

De gemeente is hier uiterst incompetent mee omgegaan, en iedereen die getroffen is behoort een nieuwe identiteit te moeten krijgen als gevolg hiervan. Nieuw BSN en nieuw paspoort op de kosten van de gemeente, en alle oude documenten met het oude BSN tot en met geboortecertificaten dienen dan voor de volledigheid aangepast te worden met het nieuwe BSN nummer.

Pas als zoiets gebeurd zou de gemeente verantwoordelijkheid nemen voor haar falende en incompetente werknemers.
Reageer
Morress @Wouterie5 november 2025 17:51
Dat! Beetje de boel afzwakken na een gigantische faal, ook van Omrin.
Reageer
vgroenewold @Beta5 november 2025 16:36
Omg, die uitspraak zegt toch al genoeg, IT in NL moet gewoon op de schop (bij de overheid) en met name lokale besturen. Dit is ook een variatie van afschuiven van verantwoordelijkheid, iets wat zo ongeveer overal in is door gedrongen.

[Reactie gewijzigd door vgroenewold op 5 november 2025 16:38]

Reageer
Muncher @vgroenewold5 november 2025 17:17
Wat zou je graag anders zien? Hoe kunnen we dat bereiken?
Reageer
JayPe @Muncher5 november 2025 17:51
Toen ik bij een gemeente in dienst trad (een grotere gemeente dan Schier) kreeg ik minimaal 3 trainingen waarbij er gehamerd werd op de juiste opslag van dit soort gegevens: Naam, Adres, Postcode,. en al helemaal een BSN: Daar ga je zeer voorzichtig mee om. Vrijwel onmogelijk om dat aan dat soort informatie te komen, binnen de gemeente. En als, dan werden dat soort gegevens ook nog eens vrijwel onmogelijk beschikbaar gesteld, zodat je ze wel kon inzien, maar niet downloaden naar je eigen laptop. En dat allemaal terwijl ik in een positie zat waarbij ik totaal niet in aanraking kwam met gegevens van inwoners.

Hoe dan Schier? Hoe dan!

Écht 'supervervelend' dat die memo nog niet op de eilanden is gedeeld.
Reageer
Morress @vgroenewold5 november 2025 17:56
Lekker in de tijdsgeest van je: het moet op de schop.


Alsof alles in de fik staat. Lekker rücktsichtloos roepen brengt geen verandering, het schoffeert mensen en brengt mensen niet nader.
Reageer
vgroenewold @Morress5 november 2025 18:55
Zo bedoel ik het natuurlijk niet, het probleem is juist dat we nooit willen veranderen omdat we het "al zo lang doen". Dat moet "op de schop" met goede planning en kennis en kunde... uiteraard. En kennis en kunde is wat op veel vlakken, niet alleen IT, flink mist op lokaal niveau.

[Reactie gewijzigd door vgroenewold op 5 november 2025 18:56]

Reageer
david-v @vgroenewold5 november 2025 18:00
Je moest eens weten hoe het in andere EU landen aan toe gaat...

Wat hier gebeurd is is pure onkunde en gemak. De brief had gestuurd moeten worden door de gemeente. Het is toch te gek voor woorden dat een afnemer van een dienst geleverd door de gemeente jouw naw gegevens moet hebben?
Reageer
Yuran @Beta5 november 2025 16:49
Snap niet waarom er zo makkelijk over gedaan wordt? Bijzonder dat deze "mening" zo klakkeloos gegeven wordt, terwijl iedereen wiens BSN gelekt is, nu een nieuwe moet krijgen en door die hele route heen moet gaan.

Ach ja, de burgers betalen er wel weer voor. :+
Reageer
Qwerty-273 @Beta5 november 2025 17:42
Je kan aan Ineke vragen of je haar pincode mag weten. Het is namelijk niet erg dat ze die informatie deelt, pas als jij er misbruik van maakt is het erg.
Reageer
Mathijs Kok @Beta5 november 2025 17:54
Wanneer leren we het nou eens dat dit NIET OK is.
Zodra mensen geen fouten meer maken? Want hoe pijnlijk ook, dit was gewoon een fout, wellicht in de organisatie, wellicht in de verwerking, dat maakt allemaal niet veel uit.

Wat je ook doet, dit soort dingen zullen gewoon blijven voorkomen. Het is vervelend dat jouw persoonlijke gegevens in dit geval in handen van hackers zijn gekomen.
Reageer
merethan 5 november 2025 16:25
Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt.
Goed om te weten. Die ga ik ook een keer proberen bij een agent.
Reageer
Schway @merethan5 november 2025 17:03
" kijk meneer de agent, dat ik wildplas is niet zo erg, het is pas erg als ik wild plas en iemand anders raak."
Reageer
ollie1965 5 november 2025 16:30
En daar wordt een denkfout gemaakt. De afval verwerker had deze informatie (BSN) niet nodig om zijn taak uit te voeren. Dus de regel van dataminimalisatie is niet uitgevoerd, er is dus data gelekt naar een ketenpartner (voor de verplichting van de gemeente te kunnen uitvoeren > Huisvuil) die dit niet mag ontvangen. Melding in het interne datalek register, mogelijke melding naar de AP (heb de rest van de casus niet bestudeerd).
Reageer
J_van_Ekris @ollie19655 november 2025 16:43
Melding in het interne datalek register, mogelijke melding naar de AP (heb de rest van de casus niet bestudeerd).
Het initiele datalek moet ook gewoon gemeld worden bij de AP en de betrokkenen, tenzij men 100% kan uitsluiten dat het door niemand ingezien is voor de verwijdering.
Reageer
The Zep Man
5 november 2025 16:25
"Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."
Dit is onnodig bagitaliseren. Als het misbruikt wordt omdat gegevens onnodig gedeeld werden, dan is het delen van gegevens erg.
Reageer
neonite 5 november 2025 16:27
„Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt." - Ook een manier op je eigen datalek te maskeren.
Reageer
metalmania_666 5 november 2025 16:31
Volgens mij moet de gemeente wel degelijk een melding doen bij de AP. Er zijn persoonsgegevens aan een andere partij verstrekt die dat niet nodig had voor het uitvoeren van een opdracht.

En als de gemeente twijfelt, kan de FG gewoon contact opnemen met de AP via een speciale telefoonlijn. Zelf ook 1 keer gedaan
Reageer
sapphire 5 november 2025 16:37
„Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."
Tot zover de verantwoordelijkheid die onze volksvertegenwoordiging wil nemen.

Bewoners van Schiermonnikoog mogen dus ook de gegevens van de Burgemeester online zetten, dat is immers niet zo erg?
Reageer
davince72 5 november 2025 16:38
Typisch ambtenaren die geen verstand van zaken hebben en dan maar doen voorkomen dat het niet echt een fout is. Los van misbruik....er is gewoon regelgeving waar ze zich aan moeten houden en dat is beschermen van persoonsdata. Daar hebben ze zwaar gefaald. Ik snap werkelijk niet hoe dit kan gebeuren. Bij overheid zijn er altijd meerdere mensen druk mee en duurt het allemaal lang, dus het is nooit een haast klus van 1 persoon. maar dat maakt het feitelijk alleen maar ernstiger dat zoeits alsnog kan gebeuren terwijl er diverse ambtenaren 'druk' mee zijn.
Reageer
dutchgio 5 november 2025 16:41
Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."
Deze is wel heel bijzonder ja. De pot verwijt de ketel?
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq