Schiermonnikoog stuurde bsn's zelf per ongeluk naar gehackte afvalverwerker

De gemeente Schiermonnikoog stuurde zelf per ongeluk de bsn's van alle inwoners en eigenaren van recreatiewoningen naar afvalverwerker Omrin. Een versie van het bestand met de bsn's stond op een schijf waarvan hackersgroep Qilin de data buitmaakte bij de aanval vorige maand.

Schiermonnikoog had een bestand gegeven aan Omrin voor het informeren over een tag voor ondergrondse containers, zegt burgemeester Ineke van Gent tegen de Leeuwarder Courant. Daarvoor had Omrin namen en adressen nodig en de bsn's stonden daar per ongeluk bij. "Dit had nooit mogen gebeuren", benadrukt Van Gent. "Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."

Omrin zegt dat de gegevens snel uit het bestand zijn gehaald. "Er is destijds direct contact geweest en we hebben het bestand aangepast, maar we balen dat het nog op de gehackte schijf stond", aldus de afvalverwerker. De gemeente heeft het sturen van de bsn's niet als datalek gemeld bij de Autoriteit Persoonsgegevens. Het is niet duidelijk of dat nodig was geweest.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 05-11-2025 16:23
85 • submitter: Urya

05-11-2025 • 16:23

Submitter: Urya

Lees meer

RTV Noord-hack was ransomwareaanval, niet specifiek gericht op omroep

RTV Noord-hack was ransomwareaanval, niet specifiek gericht op omroep Nieuws van 14 november 2025

Hackersgroep kreeg bsn's inwoners Schiermonnikoog in handen

Hackersgroep kreeg bsn's inwoners Schiermonnikoog in handen Nieuws van 2 november 2025

Hackersgroep publiceert alle gebruikersdata laptops Nederlands afvalbedrijf

Hackersgroep publiceert alle gebruikersdata laptops Nederlands afvalbedrijf Nieuws van 28 oktober 2025

Politiek en recht Privacy Hack Nederland

IT-banen

Meer vacatures

Reacties (85)

85

83

38

3

0

40

Wijzig sortering

RogerD 5 november 2025 17:00

Maar dat de gegevens zijn gedeeld is niet zo erg

Het is wel erg, het is tegen de wet:

BSN mag alléén gedeeld worden met organisaties die een bijzondere uitzondering hebben (banken, ziekenhuizen, onderwijsinstellingen, etc.)

Die afvalverwerker is niet zo'n organisatie.

BSN is gecategoriseerd als een gevoelig gegeven.

Er is sprake van een datalek waarbij gevoelige gegevens zijn gelekt.

Dan is de gemeente Schiermonikoog verplicht om binnen 72 uur een melding te maken bij AP en schiriftelijk een melding te maken aan alle betrokkenen !

WoutervOorschot

@RogerD • 5 november 2025 17:41

Erg en tegen de wet kan je los van elkaar zien, ik vind sommige legale dingen erg, en sommige illegale dingen helemaal niet erg.

Het is ook zo dat er nauwelijks praktische voorbeelden zijn van daadwerkelijke schade of last door het lekken van bijvoorbeeld een BSN. Zelfs toen bijvoorbeeld bij de GGD vele BSN's op straat lagen is er nadien niets significants geregistreerd. In die zin moeten we zoiets ook niet overdrijven.

Het had natuurlijk niet moeten gebeuren, en de gemeente had het ook moeten melden.

aaahaaap @WoutervOorschot • 5 november 2025 17:53

Het is in dit geval en erg en tegen de wet. Identiteitsfraude is geen feestje voor degenen die er het slachtoffer van zijn.

Merijn70 @WoutervOorschot • 5 november 2025 17:57

Phising mail waarin gebruik wordt gemaakt van jouw naam en bijbehorende bsn nummer kan erg geloofwaardig overkomen en daarom is het lekken van deze data zeer kwalijk.

angelina @WoutervOorschot • 5 november 2025 18:29

Je zegt nauwelijks, dus niet 0. Stel dat jij het enige slachtoffer bent van een datalek, afgesloten van allerlei services, leningen en abo's worden op jouw naam aangevraagd, illegale activiteiten uitgevoerd onder jouw naam. Maar de overige 99.9999% heeft er geen last van, valt het dan mee? Moeten wij dan maar niet overdrijven?

m-a-r-t-1 @WoutervOorschot • 5 november 2025 20:09

Gelukkig maakt het niet zo veel uit wat jij vind. Daarom zijn er wetten bepaald, om meer te hebben dan alleen meningen.

nullbyte @WoutervOorschot • 5 november 2025 21:11

Identiteitsfraude wordt makkelijker, je gaat er anders over denken als iemand een lening van een ton afsluit op jouw naam.

Hack
Privacy
Nederland

@RogerD • 5 november 2025 18:10

Dat verantwoordelijken hun eigen gedrag niet erg vinden is helaas te verwachten. Nogal wat verantwoordelijke personen proberen namelijk onder hun verantwoordelijkheid uit te komen omdat het ze zelf kan schaden. Ze hechten duidelijk geen belang bij de wet en komen daar mee weg zolang de toezichthouder niet op tijd in grijpt.

De toezichthouder is hier helaas al te laat. Behalve dat een ernstig gebrek aan voldoen aan de wet niet op tijd is gestopt heeft men de verantwoordelijken ook nog de gelegenheid gegeven het te bagatellieren. Het is daarom te hopen dat de toezichthouder de verantwoordelijken, inclusief eventuele adviseurs die dit soort reacties zouden adviseren, wel snel openlijke zwaar bekritiseren en bestraffen. Al vermoed ik dat het nog maanden gaat duren en er openlijk niets meer te merken valt dan een algemene opmerking ergens in een jaarverslag. De prioriteiten liggen niet duidelijk bij het voorkomen van overtredingen en afstraffen van bagatelliseren van wettelijke grenzen en gevolgen. De inwoners van de gemeente doen er dus waarschijnlijk goed aan zich via hun volksvertegenwoordigers kritisch uit te spreken tegen dit soort 'fouten' alsof wetten negeren en bagatelliseren maar acceltabel hoort te zijn.

magician2000 @kodak • 5 november 2025 22:14

Ik ben wel benieuwd wie jij (en de gemiddelde burger) harder af zouden straffen.

1) De verantwoordelijke voor een fout (niet zozeer de uitvoerende) die bagataliseerd en het dus niet als "erg" ziet.

2) De verantwoordelijke die direct aangeeft dat dit niet had mogen gebeuren en aangeeft hoe vervelend dit voorval is en dat er nog gekeken wordt hoe om te gaan met misbruik van de gegevens.

Ik zelf heb liever iemand die toegeeft dat er fouten gemaakt zijn (of zelfs geblunderd is). Die persoon lijkt zich er namelijk van bewust dat er een vorm van beveiliging moet komen om dit niet meer te laten gebeuren. De andere persoon laat het gewoon gaan waardoor het weer kan gebeuren.

wiezalditzijn @RogerD • 5 november 2025 17:19

Precies, het is wel erg! Precies omdat dit soort data lekken kunnen gebeuren. Mensen die informatie niet mogen hebben, mogen dat om een reden.

R_Zwart @RogerD • 5 november 2025 18:47

Snelheidsovertredingen zijn ook tegen de wet en daar hebben veel mensen toch geen probleem mee.

familyman @RogerD • 5 november 2025 20:50

Die reactie vind ik zowat nog erger.

Ja, ik reed met 180 over de snelweg, maar het was nacht en er was niemand. Het is pas erg als er anderen waren.

Hoe bedenk je dat het ok is om dit commentaar te geven? Dit zijn dan mensen die we vertrouwelijke informatie toevertrouwen???

@RogerD • 6 november 2025 09:55

yeps.. ik snap de mededeling

De gemeente heeft het sturen van de bsn's niet als datalek gemeld bij de Autoriteit Persoonsgegevens. Het is niet duidelijk of dat nodig was geweest.

ook niet.. De AVG is daar toch echt vrij duidelijk in. Deze BSN gegevens hadden nooit bij de afvalverwerker mogen aankomen. De gemeente geeft dat zelf al toe. Dan is er altijd sprake van een datalek als er persoonsgegevens in staan die er niet in hadden mogen staan. Dit had gewoon gemeld moeten worden.

@roelboel • 5 november 2025 20:51

44 gegadigden willen burgemeester van Schiermonnikoog worden | Binnenland | NU.nl

op zoek naar een nieuwe baan. veel plezier ermee

.

5 november 2025 16:25

„Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."

Eh ik vind het allebei erg?! Tuurlijk misbruik is erger én strafbaar maar dat zomaar mijn gegevens worden gedeeld vind ík ook erg. Wanneer leren we het nou eens dat dit NIET OK is.

J_van_Ekris @Beta • 5 november 2025 16:40

Beide zijn dan ook gewoon datalekken onder de AVG.

Wat dit wel extreem goed aantoont is het nut van dataminimalisatie: dat BSN was niet nodig, en door het (onbewust) toch te delen is dat dus ook in echt foute handen geeindigd.

Wouterie @Beta • 5 november 2025 16:33

Tja, het is zo'n beetje als: Door rood rijden is niet erg zolang je maar geen ongelukken veroorzaakt.

'Supervervelend' Daar moet je het dan maar weer mee doen. Het is dus 'super'onaangenaam en 'super'niet leuk. En dat is dan burgemeester.

diedie2 @Wouterie • 5 november 2025 16:45

Hoeveel burgemeesters, of zelfs politici, ken jij die iets afweten van IT

Wouterie @diedie2 • 5 november 2025 17:02

Ze hoeven niets af te weten van IT! Juist niet! Ik wil dat ze alles afweten van de wet- en regelgeving. Ieder z'n vak zeg ik dan maar. Laat IT vooral niet over aan politici.

Mathijs Kok @diedie2 • 5 november 2025 18:00

Hoeveel burgemeesters, of zelfs politici, ken jij die iets afweten van IT

En hoeveel ken jij er die veel weten van waterzuivering? Of de gevolgen van te veel stikstof? Of van dijkonderhoud? Of van de grasmaaier voor het park?

Een bestuurder hoeft geen kennis te hebben van alles, daarvoor heeft hij ambtenaren.

diedie2 @Mathijs Kok • 6 november 2025 08:42

[...]

Een bestuurder hoeft geen kennis te hebben van alles, daarvoor heeft hij ambtenaren.

Inderdaad. Maar dan is het toch niet vreemd dat zo'n ongeletterde uitspraken doen.

LogiForce @Wouterie • 5 november 2025 16:37

Het woord ververvelend is zo'n ontiegelelijk irriterende verantwoording afschuivende dooddoener wat mede laat zien dat diegene nul empathie heeft voor de situatie. Ze hebben dan zelfs geen inlevingsvermogen in hun eigen situatie moet ik daarbij zeggen.

Als er wel één woord is waarbij de nekharen recht overeind gaan staan is het dan ook wel het woordje vervelend.

Asitis @LogiForce • 5 november 2025 16:40

Zou je zeggen dat je het een vervelend woordje vind?

LogiForce @Asitis • 5 november 2025 19:25

Dat was een open deurtje inderdaad.

Wouterie @LogiForce • 5 november 2025 17:00

Precies. 'Vervelend' geeft mijns inziens alleen maar aan dat het vooral ongemakkelijk is voor de overtreder en dat de gedupeerden de hik kunnen krijgen. Het is dan ook typisch een woord wat ik gebruik om mijn kinderen op de kast te krijgen als ze zich weer eens aanstellen. "Wat enorm vervelend voor je dat je niet nog meer snoep mag!" Met net zo'n treiterig ondertoontje.

MulMonkey @LogiForce • 6 november 2025 07:26

Oh, wat naar! (schepje er bovenop)

LogiForce @Mathijs Kok • 5 november 2025 19:33

Het is nog erger, want hun identiteit is niet gestolen maar de juist diezelfde overheidsinstantie die het bewaren moest aan derde partij weg gegeven die er helemaal niets mee moet. Dat afvalverwerkingsbedrijf is die er niets mee moet is dan ook nog zo incompetent om deze data te vernietigen als digitaal afval. Vervolgens weet dat incompetente bedrijf zich dan ook niet te beveiligen en ligt alles op straat door een hack.

De gemeente is hier uiterst incompetent mee omgegaan, en iedereen die getroffen is behoort een nieuwe identiteit te moeten krijgen als gevolg hiervan. Nieuw BSN en nieuw paspoort op de kosten van de gemeente, en alle oude documenten met het oude BSN tot en met geboortecertificaten dienen dan voor de volledigheid aangepast te worden met het nieuwe BSN nummer.

Pas als zoiets gebeurd zou de gemeente verantwoordelijkheid nemen voor haar falende en incompetente werknemers.

@LogiForce • 6 november 2025 09:14

Dat zou en denk ik jaarlijks iedereen een nieuw bsn opleveren en zoveel verwarring veroorzaken dat fraude echt heel makkelijk wordt ;-)

LogiForce @YGDRASSIL • 6 november 2025 11:50

Dan word het tijd om alles te de-digitaliseren en weer terug te gaan naar de analoge papierwinkel. Hoewel ook hier fouten kunnen optreden is deze data dan alleen lokaal en niet wereldwijd voor elke dief (hacker) 24/7 beschikbaar.

Immers, hoe goed een ICT-er ook is, je kan nooit digitale data perfect beveiligen en aan het internet hangen zonder risico. Daarnaast zijn er in de afgelopen 20 jaar alleen al op tweakers afdoende meldingen geweest van gestolen data, waardoor je moet concluderen dat als data critisch is deze nooit gedigitaliseerd zou mogen worden. De risico's zijn extreem groot gebleken, en niet alleen door digitale beveiliging maar ook gewoon menselijk falen. Zoals ook in deze casus

Morress @Wouterie • 5 november 2025 17:51

Dat! Beetje de boel afzwakken na een gigantische faal, ook van Omrin.

vgroenewold @Beta • 5 november 2025 16:36

Omg, die uitspraak zegt toch al genoeg, IT in NL moet gewoon op de schop (bij de overheid) en met name lokale besturen. Dit is ook een variatie van afschuiven van verantwoordelijkheid, iets wat zo ongeveer overal in is door gedrongen.

[Reactie gewijzigd door vgroenewold op 5 november 2025 16:38]

Muncher @vgroenewold • 5 november 2025 17:17

Wat zou je graag anders zien? Hoe kunnen we dat bereiken?

JayPe @Muncher • 5 november 2025 17:51

Toen ik bij een gemeente in dienst trad (een grotere gemeente dan Schier) kreeg ik minimaal 3 trainingen waarbij er gehamerd werd op de juiste opslag van dit soort gegevens: Naam, Adres, Postcode,. en al helemaal een BSN: Daar ga je zeer voorzichtig mee om. Vrijwel onmogelijk om dat aan dat soort informatie te komen, binnen de gemeente. En als, dan werden dat soort gegevens ook nog eens vrijwel onmogelijk beschikbaar gesteld, zodat je ze wel kon inzien, maar niet downloaden naar je eigen laptop. En dat allemaal terwijl ik in een positie zat waarbij ik totaal niet in aanraking kwam met gegevens van inwoners.

Hoe dan Schier? Hoe dan!

Écht 'supervervelend' dat die memo nog niet op de eilanden is gedeeld.

Morress @vgroenewold • 5 november 2025 17:56

Lekker in de tijdsgeest van je: het moet op de schop.

Alsof alles in de fik staat. Lekker rücktsichtloos roepen brengt geen verandering, het schoffeert mensen en brengt mensen niet nader.

vgroenewold @Morress • 5 november 2025 18:55

Zo bedoel ik het natuurlijk niet, het probleem is juist dat we nooit willen veranderen omdat we het "al zo lang doen". Dat moet "op de schop" met goede planning en kennis en kunde... uiteraard. En kennis en kunde is wat op veel vlakken, niet alleen IT, flink mist op lokaal niveau.

[Reactie gewijzigd door vgroenewold op 5 november 2025 18:56]

@vgroenewold • 5 november 2025 18:00

Je moest eens weten hoe het in andere EU landen aan toe gaat...

Wat hier gebeurd is is pure onkunde en gemak. De brief had gestuurd moeten worden door de gemeente. Het is toch te gek voor woorden dat een afnemer van een dienst geleverd door de gemeente jouw naw gegevens moet hebben?

mjtdevries @vgroenewold • 6 november 2025 10:35

Waarom denk je dat dit iets te maken heeft met IT?

De meeste datalekken zijn gewoon het gevolg van menselijke fouten, waarbij de IT helemaal niks fout heeft gedaan.

En mensen doen hier de aanname dat de afvalverwerker het bestand niet had gewist, maar het kan ook zijn dat de hackers dat bestand in een backup vonden.
Het is niet erg realistisch om als je als gemeente zelf een datalek veroorzaakt dan heel veel extra werk bij de onschuldige ontvanger neer te leggen om zo'n bestand ook uit de backups te verwijderen. (wellicht kwam het hier doordat iets als 'versioning' aan stond)

vgroenewold @mjtdevries • 6 november 2025 15:19

Iets als een BSN nummer zou je, neem ik aan, toch met bepaalde IT processen veiliger moeten kunnen afschermen dan andere data? En IT vaardigheid bij mensen, zet ik ook onder "IT". De burgemeester in deze heeft dat alvast nodig.

mjtdevries @vgroenewold • 6 november 2025 15:59

Maar een BSN nummer leeft niet gescheiden van andere data. Het is juist gekoppeld aan andere data.
Een BSN nummer op zichzelf heb je niks aan. Het is juist om andere data uniek te koppelen aan een persoon.

Yuran @Beta • 5 november 2025 16:49

Snap niet waarom er zo makkelijk over gedaan wordt? Bijzonder dat deze "mening" zo klakkeloos gegeven wordt, terwijl iedereen wiens BSN gelekt is, nu een nieuwe moet krijgen en door die hele route heen moet gaan.

Ach ja, de burgers betalen er wel weer voor.

@Yuran • 6 november 2025 10:18

terwijl iedereen wiens BSN gelekt is, nu een nieuwe moet krijgen en door die hele route heen moet gaan.

Waarom zou iedereen een nieuwe BSN moeten krijgen. Dan zou ik er ondertussen al meerdere gehad moeten hebben met alle rompslomp die er bij komt kijken.

Nee, wat ze zouden moeten doen is zorgen dat er geld in een potje komt voor de getroffenen dat als hun identiteit wordt misbruikt ze worden bijgestaan om te zorgen dat de gevolgen ervan zo klein mogelijk worden gemaakt. Zo'n Identiteits Verzekering heb ik al een paar keer gekregen (o.a. door Sony in de tijd en door een grote hotelketen).

Qwerty-273 @Beta • 5 november 2025 17:42

Je kan aan Ineke vragen of je haar pincode mag weten. Het is namelijk niet erg dat ze die informatie deelt, pas als jij er misbruik van maakt is het erg.

Mathijs Kok @Beta • 5 november 2025 17:54

Wanneer leren we het nou eens dat dit NIET OK is.

Zodra mensen geen fouten meer maken? Want hoe pijnlijk ook, dit was gewoon een fout, wellicht in de organisatie, wellicht in de verwerking, dat maakt allemaal niet veel uit.

Wat je ook doet, dit soort dingen zullen gewoon blijven voorkomen. Het is vervelend dat jouw persoonlijke gegevens in dit geval in handen van hackers zijn gekomen.

@Mathijs Kok • 6 november 2025 09:20

De fout is vooral het kleiner maken van het feit en eigen verantwoordelijkheid duiken. Dit kan gebeuren. Dat is jammer. Het niet melden en doen alsof er pas wat aan de hand is als boeven de gegevens misbruiken, dat is de echte fout.

'Sorry dat ik de sleutels voor de wapenkluis liet slingeren en dat alle wapens nu weg zijn, maar het echte probleem is natuurlijk dat er mensen zijn die er ook mee schieten. Zolang dat niet gebeurd is alles ok."

Martinez- 5 november 2025 16:58

Het is maar goed dat Ineke van Gent ermee ophoudt in 2026 - als je een overtreding afdoet zoals zij hier doet dan vraag je je af of ze wel competent genoeg is om haar rol als burgemeester in te vullen. Bagatelliseren ten top!

Overheid @Martinez- • 5 november 2025 17:06

Schiermonnikoog heeft 900 inwoners, ik vraag mij af hoe zij aan competente mensen kunnen komen om een gemeente draaiende te houden.

Webgnome @Overheid • 5 november 2025 17:11

Want alleen mensen uit de eigen gemeente mogen burgemeester zijn inderdaad..

Overheid @Webgnome • 5 november 2025 17:15

In dit geval had ik het niet specifiek over een burgemeester. Wel zie ik dat een gemeente heel veel taken heeft en heel veel kennis in huis moet hebben, en dat ik mij best kan inbeelden dat dat lastig gaat op een eiland. Dit lek is m.i. een van de symptomen.

merethan 5 november 2025 16:25

Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt.

Goed om te weten. Die ga ik ook een keer proberen bij een agent.

Schway @merethan • 5 november 2025 17:03

" kijk meneer de agent, dat ik wildplas is niet zo erg, het is pas erg als ik wild plas en iemand anders raak."

Muzo @merethan • 6 november 2025 09:46

Het zou misschien wel werken als je burgemeester bent.

ollie1965 5 november 2025 16:30

En daar wordt een denkfout gemaakt. De afval verwerker had deze informatie (BSN) niet nodig om zijn taak uit te voeren. Dus de regel van dataminimalisatie is niet uitgevoerd, er is dus data gelekt naar een ketenpartner (voor de verplichting van de gemeente te kunnen uitvoeren > Huisvuil) die dit niet mag ontvangen. Melding in het interne datalek register, mogelijke melding naar de AP (heb de rest van de casus niet bestudeerd).

J_van_Ekris @ollie1965 • 5 november 2025 16:43

Melding in het interne datalek register, mogelijke melding naar de AP (heb de rest van de casus niet bestudeerd).

Het initiele datalek moet ook gewoon gemeld worden bij de AP en de betrokkenen, tenzij men 100% kan uitsluiten dat het door niemand ingezien is voor de verwijdering.

E!Ma0RB7 @ollie1965 • 6 november 2025 04:29

Sterker nog, dit is niet slechts een dataminimalisatie probleem, maar een verwerking van een wettelijk identificerende middel (BSN) zonder doelbinding of grondslag. Dat is een tandje of drie erger.

Privacy
Nederland
Politiek en recht

5 november 2025 16:25

"Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."

Dit is onnodig bagitaliseren. Als het misbruikt wordt omdat gegevens onnodig gedeeld werden, dan is het delen van gegevens erg.

neonite 5 november 2025 16:27

„Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt." - Ook een manier op je eigen datalek te maskeren.

5 november 2025 16:31

Volgens mij moet de gemeente wel degelijk een melding doen bij de AP. Er zijn persoonsgegevens aan een andere partij verstrekt die dat niet nodig had voor het uitvoeren van een opdracht.

En als de gemeente twijfelt, kan de FG gewoon contact opnemen met de AP via een speciale telefoonlijn. Zelf ook 1 keer gedaan

sapphire 5 november 2025 16:37

„Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt."

Tot zover de verantwoordelijkheid die onze volksvertegenwoordiging wil nemen.

Bewoners van Schiermonnikoog mogen dus ook de gegevens van de Burgemeester online zetten, dat is immers niet zo erg?

davince72 5 november 2025 16:38

Typisch ambtenaren die geen verstand van zaken hebben en dan maar doen voorkomen dat het niet echt een fout is. Los van misbruik....er is gewoon regelgeving waar ze zich aan moeten houden en dat is beschermen van persoonsdata. Daar hebben ze zwaar gefaald. Ik snap werkelijk niet hoe dit kan gebeuren. Bij overheid zijn er altijd meerdere mensen druk mee en duurt het allemaal lang, dus het is nooit een haast klus van 1 persoon. maar dat maakt het feitelijk alleen maar ernstiger dat zoeits alsnog kan gebeuren terwijl er diverse ambtenaren 'druk' mee zijn.

Om te kunnen reageren moet je ingelogd zijn