AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat

De Nederlandse Autoriteit Persoonsgegevens stelt dat gemeenten het te vaak niet melden als er een datalek plaatsvindt vanwege het handelen van een corrupte ambtenaar. De organisatie vreest dat dit soort datalekken vaak helemaal niet wordt ontdekt.

Uit een verkennend onderzoek van de privacyautoriteit bij drie gemeenten blijkt dat gemeenten misbruik door een ambtenaar met betrekking tot persoonsgegevens moeilijk kunnen signaleren. Vaak zouden deze datalekken pas aan het licht komen na een melding van de Rijksrecherche of een inwoner.

Wanneer deze situaties ontdekt worden, worden ze niet altijd bij de Autoriteit Persoonsgegevens gemeld. Dit is in Nederland verplichtwanneer een datalek aan bepaalde voorwaarden voldoet. "Gemeenten beschouwden het misbruik niet altijd als datalek en meldden het niet aan de AP." Het is niet duidelijk in hoeveel gevallen een dergelijk datalek wel ontdekt werd, maar niet gemeld.

De AP krijgt jaarlijks tussen de tien en twintig meldingen van gemeenten over een datalek waarbij een ambtenaar onrechtmatig persoonsgegevens verzamelde. De organisatie speculeert dat het werkelijke aantal hoger is, omdat gemeenten dit niet altijd blijken te melden. "Juist ook gemeenten die de afgelopen jaren geen bekende gevallen van misbruik hadden, moeten zich afvragen of zij voldoende maatregelen nemen om misbruik op te sporen en aan te pakken."

Ernstige gevolgen

Misbruik door een ambtenaar kan zeer ernstige gevolgen hebben. Volgens de AP en het Openbaar Ministerie zijn er in 2025 alleen al 'tientallen explosies en zeker twee pogingen tot moord' in verband gebracht met een corrupte ambtenaar van de gemeente Amsterdam. Dat kan bijvoorbeeld het gevolg zijn van een ambtenaar die onder druk van criminelen persoonsgegevens van een doelwit opzoekt en doorspeelt.

Daarnaast zou het in de praktijk wel eens voorkomen dat een ambtenaar vanwege een familieconflict informatie opzoekt. Ook worden er uit nieuwsgierigheid wel eens gegevens over bekende Nederlanders opgezocht.

Adviezen om problemen te voorkomen

De Autoriteit Persoonsgegevens geeft gemeenten verschillende adviezen om datalekken door misbruik van een ambtenaar te voorkomen. Zo zouden handelingen van werknemers geregistreerd moeten worden en moet de gemeente beperken waar een ambtenaar toegang tot heeft. Verder zouden werknemers getraind moeten worden over wat wel en niet integer is.

Mocht er toch een incident plaatsvinden, dan zouden gemeenten dat structureel moeten registreren en analyseren. Deze bevindingen en andere ervaringen zouden door gemeenten onderling gedeeld moeten worden.

Datalek bron Sarayut Thaneerat/Moment/Getty Images
Bron: Sarayut Thaneerat/Getty Images

Door Yannick Spinner

Redacteur

Feedback • 27-01-2026 12:53 54

27-01-2026 • 12:53

54

Lees meer

NOS: Twee derde van belangrijke Nederlandse domeinnamen gebruikt VS-cloud
NOS: Twee derde van belangrijke Nederlandse domeinnamen gebruikt VS-cloud Nieuws van 25 januari 2026
AP waarschuwt voor gratis AI-chatbots na tientallen meldingen datalekken
AP waarschuwt voor gratis AI-chatbots na tientallen meldingen datalekken Nieuws van 30 december 2025
Gemeente Eindhoven stuurde persoonsgegevens naar openbare AI-tools
Gemeente Eindhoven stuurde persoonsgegevens naar openbare AI-tools Nieuws van 19 december 2025
Staatssecretaris: NL heeft elk jaar miljard euro extra nodig voor digitalisering
Staatssecretaris: NL heeft elk jaar miljard euro extra nodig voor digitalisering Nieuws van 18 november 2025
Niet alle Belgische gemeenten informeren 75+'-ers over aflopen eID-certificaten
Niet alle Belgische gemeenten informeren 75+'-ers over aflopen eID-certificaten Nieuws van 6 november 2025
Hackersgroep kreeg bsn's inwoners Schiermonnikoog in handen
Hackersgroep kreeg bsn's inwoners Schiermonnikoog in handen Nieuws van 2 november 2025
Meer producten en artikelen
Economie en maatschappij Privacy Autoriteit Persoonsgegevens Criminaliteit Datalek Overheid

Reacties (54)

-Moderatie-faq
54
52
25
6
0
20
Wijzig sortering

Sorteer op:

Weergave:
Question Mark Moderator SWS WOS 27 januari 2026 13:37
Mag ik de titel wel heel suggestief en sensatiezoekend vinden? Het eigenlijke artikel geeft aan dat gemeenten vaak geen weet hebben van al dan niet bewuste foutieve handelingen van ambtenaren. Daarom zijn gemeentes vaak niet op de hoogte dát er een datalek is. En iets waarvan je geen weet hebt, kun je niet melden.

Nu lijkt het artikel te suggereren dat gemeentes een datalek vaak niet melden als er sprake is van een corrupte ambtenaar, en dat is dus niet waar het (voor)onderzoek over gaat.

De aanbevelingen die gedaan worden gaan dan ook over het verbeteren van detectie van foutieve handelingen.
Reageer
HummerHealey @Question Mark27 januari 2026 14:15
Dat lijkt wel heel erg op “we monitoren het niet, dus zien het niet, dus we voelen ons niet verantwoordelijk”. Hopelijk brengt NIS2 hier verandering is. Dan kom je daar niet meer mee weg.
Reageer
Question Mark Moderator SWS WOS @HummerHealey27 januari 2026 14:33
Deels eens... Onderdeel van het probleem is vaak een wat verouderd applicatielandschap, waarbij applicaties niet altijd de juiste opties om gegevenstoegang te kunnen loggen aan boord hebben. En applicaties die in de kern van dienstverlening van een gemeente zit, die zijn niet zomaar even vervangen.
Reageer
fruitbakje @Question Mark27 januari 2026 14:37
Nu lijkt het artikel te suggereren dat gemeentes een datalek vaak niet melden als er sprake is van een corrupte ambtenaar, en dat is dus niet waar het (voor)onderzoek over gaat.
Nou ja, in de samenvatting staat:
Gemeenten die misbruik wel ontdekten, beschouwden het misbruik niet altijd als datalek en meldden het niet aan de AP. Slachtoffers kregen geen waarschuwings bericht over het datalek. Hierdoor weten slachtoffers niet wat er met hun gegevens is gebeurd en wat zij kunnen doen tegen de gevolgen.
Maar goed, ik ben het er zeker mee eens dat dat NIET betekent dat een gemeente dat niet doet om de eigen organisatie (of werknemers) de beschermen ofzo, of omdat het de gemeente (of de ambtenaren) simpelweg niet boeit (wat bijvoorbeeld HummerHealey in 'AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat' hiernaast wel lijkt te suggereren?). De gemeenteambtenaren die ik spreek hebben doorgaans een prima ontwikkeld verantwoordelijkheidsgevoel. Het is meer een zaak van niet goed op de hoogte zijn van de regels.
Uit het contact met FG’s bleek dat bij een aantal gemeenten de afdeling integriteit en de afdeling privacy niet goed met elkaar samenwerkten. Hierdoor was misbruik wel als integriteitsschending opgepakt, maar niet als datalek herkend. Er waren ook misvattingen over wat een datalek is en wanneer het melden aan de AP en aan slachtoffers verplicht is.
Reageer
Question Mark Moderator SWS WOS @fruitbakje27 januari 2026 14:46
Eens hoor, maar de titel van het Tweakers stuk koppelt het niet melden aan een "corrupte ambtenaar", en dat vind ik wat sensatiezoekend en misleidend.
Reageer
mjtdevries @Question Mark27 januari 2026 17:19
Ik vond in eerste instantie de titel ook suggestief. Maar het blijkt het rapport van de AP te zijn dat zo suggestief en rommelig is.
Nu lijkt het artikel te suggereren dat gemeentes een datalek vaak niet melden als er sprake is van een corrupte ambtenaar, en dat is dus niet waar het (voor)onderzoek over gaat.
Dat is toch echt letterlijk wat in de samenvatting van het artikel van de AP staat waar tweakers naar verwijst:
Gemeenten die het misbruik wel ontdekken, melden zo’n datalek regelmatig niet aan de Autoriteit Persoonsgegevens (AP), terwijl dat wel zou moeten.
Reageer
E!Ma0RB7 @Question Mark27 januari 2026 14:07
Dankjewel. Viel mij ook op.
Reageer
Byte 27 januari 2026 12:57
Persoonlijk vind ik dat als mensen bewust geen melding doen best persoonlijk vervolg mogen worden. Als er bewezen kan worden dat het een bewuste keuze is geweest en dat men op de hoogte is geweest van een dergelijke zaak lijkt mij dit niet erg raar. Tevens vind ik het schrijnend dat juist een gemeente die met hele persoonlijke data werkt er snel voor kiest geen melding te maken of het in de doofpot te stoppen. Een gemeente is er voor haar inwoners en zou daarom in mijn ogen snel een melding moeten doen.
Reageer
themadone @Byte27 januari 2026 13:25
Ambtenaren kunnen niet vervolgd worden voor plichtsverzuim, hoofdelijk al helemaal niet. Was het maar waar, dan had na het toeslagen debacle de halve belastingdienst geruimd kunnen worden. Ambtenaren hebben een hele scheve beschermde status gekregen. Waarom denk je dat er zoveel fout gaat, gevolgen heeft het niet.
Reageer
sympa @themadone27 januari 2026 13:48
Dat is bij alle werknemers toch zo? Medewerkers van een bedrijf dat opzeggingen expres kwijtmaakt, ga je die allemaal persoonlijk vervolgen en aansprakelijk stellen?
Reageer
themadone @sympa27 januari 2026 14:48
Als jij als medewerker van een bedrijf ernstig nalatig bent en dit zorgt bijvoorbeeld voor een ongeval of erger kun je gewoon vervolgd worden. Ook kan je werkgever eventuele schade op je verhalen indien goed aantoonbaar.

Dit is bij ambtenaren dus gewoon helemaal niet het geval. Zoek naar eens naar de pikmeer arresten. En ja, ik geloofde het eerst ook niet.
Reageer
PCG2020 @themadone27 januari 2026 16:41
Dat is niet volledig waar. De Pikmeer-arresten worden er te pas en (vooral!) te onpas bij gehaald om aan te tonen dat ambtenaren altijd onschendbaar zijn, maar:
[Gemeentelijke] ambtenaren – in brede zin "burgemeester en wethouders, leden van de gemeenteraad en gemeenteambtenaren" – kunnen net als ieder ander strafrechtelijk worden vervolgd, wanneer zij strafbare feiten plegen of daaraan deelnemen. Ook kent het strafrecht vervolging voor ambtsovertredingen en ambtsmisdrijven, zoals verduistering of het aannemen van steekpenningen. Daarnaast kunnen ambtenaren strafbaar handelen bij de uitoefening van hun functie op grond van artikel 51 Sr. als zij opdracht geven tot dan wel feitelijk leiding geven aan een verboden gedraging.
Echter:
Zij kunnen zich beroepen op immuniteit als het gaat om strafbare feiten waarvoor de gemeente immuniteit geniet en niet vervolgd kan worden.
Dat laatste is het gevolg van (met name) het Pikmeer II-arrest, een uitspraak van de Hoge Raad: een gemeente kan niet strafrechtelijk vervolgd worden voor strafbare feiten die het gevolg zijn van een "wettelijk vastgelegde exclusieve bestuurstaak".

In dit artikel op de website van de VNG vind je meer informatie over de strafrechtelijke aansprakelijkheid van gemeenten en individuele ambtenaren.

In de context van het artikel is de ambtenaar die de Basisregistratie Personen (BRP) raadpleegt, er gegevens uithaalt en die stiekem doorspeelt aan derden dus wel degelijk strafrechtelijk te vervolgen.

[Reactie gewijzigd door PCG2020 op 27 januari 2026 16:47]

Reageer
themadone @PCG202027 januari 2026 17:18
Als het gebeurt tijdens het uitoefenen van een taak die de burger niet mag uitvoeren, dit kan al zo simpel zijn als een rijbewijs uitgeven, geldt deze immuniteit in de basis al.

Het probleem zit vaak ook precies daar, de taken die je zelf ook kunt heb je de overheden niet bij nodig, maar al die andere dingen die toegeëigend zijn aan de ambtenaren dus wel, dus ja als een plantsoen werker dronken met de gemeente grasmaaier door je tuin gaat heeft hij een probleem.

Maar dat zijn meestal niet de ambtenaren die de grote maatschappelijke issues veroorzaken of last hebben van corruptie of extreme wanprestaties die de burger negatief beïnvloeden. Die zitten allemaal veilig onder die uitspraak helaas.
Reageer
Floort
@Byte27 januari 2026 13:17
Zoals ook uit dit onderzoek naar voren komt: de AP doet sinds de invoering van de meldplicht eigenlijk vooral individueel onderzoek naar aanleiding van gemelde datalekken. Bovendien zijn de straffen bij niet gemelde datalekken ook aanzienlijk lager. In dit onderzoek worden ook weer alleen voorbeelden gegeven van de AP die langskomt bij organisaties nadat ze een datalek hebben gemeld.

Als je kijkt naar de uitgedeelde boetes is dezelfde houding duidelijk zichtbaar:Er wordt meer gehandhaafd naar aanleiding van het melden van een datalek dan wanneer het (onrechtmatig) verzwegen wordt en wanneer er dan wordt gehandhaafd zijn de boetes gemiddeld ordes van grootte hoger na een melding. Ik denk dat de AP onterecht deze factor niet heeft meegenomen in dit onderzoek. Zowel inhoudelijk niet, als in de overweging om te kiezen voor een dergelijk verkennend onderzoek ten opzicht van andere stappen die de AP had kunnen nemen.

[Reactie gewijzigd door Floort op 27 januari 2026 13:32]

Reageer
mjtdevries @Floort27 januari 2026 17:14
Als ik kijk naar de inhoud van die zaken met uitgedeelde boetes dan ben ik het totaal niet met je eens. Ik zie geen enkele indicatie dat er bij niet melden lagere boetes worden gegeven. Heb je zelf de inhoud wel bekeken?
Die grote boetes waren daadwerkelijk ook ernstige zaken. En de boete is ook afhankelijk van de omzet van het bedrijf. Het heeft niet tot doel om een bedrijf failliet te maken, maar om te zorgen dat ze de boel verbeteren. Dus de bakker op de hoek zal nooit een dergelijk hoge boete krijgen.

Dan blijf je natuurlijk wel het probleem houden dat wanneer je niet meldt en de AP komt het ook niet te weten dat je dan natuurlijk goedkoper uit bent dan een boete. Maar komt de AP er wel achter dan ben je waarschijnlijk duurder uit.
Dus niet melden word alleen maar gedaan als het om kleinere zaken gaat, waarbij de kans veel lager is dat de AP er achter komt. En als de zaak kleiner is, dan is de boete uiteraard ook kleiner.
Reageer
Floort
@mjtdevries27 januari 2026 18:19
Wat ook meespeelt is dat de melding vaak gebruikt wordt als aanknopingspunt om andere overtredingen vast te stellen. Je kan in dat opzicht ook niet echt de boete voor melden en de boete voor niet melden met elkaar vergelijken omdat de ene geen overtreding is. Wat ik wel doe is handhaving naar aanleiding van een melding en handhaving naar aanleiding van het aantreffen van een ongemelde inbreuk met elkaar vergelijken. Het is lastig om te zeggen of ongemelde datalekken gemiddelde erger zijn dat de gemelde datalekken omdat de AP onvoldoende proactief onderzoek naar niet gemelde datalekken publiceert.

Mijn zorg is dat de AP met de huidige houding melden ontmoedigd door meer capaciteit te besteden aan toezicht op melders, waardoor de kans dat de AP ingrijpt voor hoger wordt dan bij niet melders én dat de AP harder straft (of secundaire een hogere impact heeft gedurende het onderzoek, bijvoorbeeld door externe audits te eisen).
Reageer
downtime @Byte27 januari 2026 13:02
Ik denk niet dat er sprake is van bewust niet melden maar dat gemeenten de regels voor het melden niet goed begrijpen en daarom niet alles melden wat ze volgens de AP zouden moeten melden.

[Reactie gewijzigd door downtime op 27 januari 2026 13:03]

Reageer
The Zep Man
@downtime27 januari 2026 13:07
In Nederland wordt het niet (goed) kennen van wet- en regelgeving niet gezien als geldig excuus. Wel is er het probleem dat ambtenaren min of meer onschendbaar zijn.

[Reactie gewijzigd door The Zep Man op 27 januari 2026 13:07]

Reageer
KroeT @The Zep Man27 januari 2026 13:17
Ambtenaren zijn op geen enkele manier onschendbaar. Hun rechtspositie is identiek aan die van 'gewone' werknemers. De cultuur binnen overheden is weliswaar niet dusdanig dat het aanspreken en waar nodig afscheid nemen van werknemers heel vanzelfsprekend is, maar onschendbaar moet ik betwisten.
Reageer
Thijs_Rallye @KroeT27 januari 2026 13:37
De Pikmeer arresten doen toch wel anders vermoeden.
Reageer
noppus @Thijs_Rallye27 januari 2026 14:29
Bij de Pikmeerarresten was sprake van een ambtenaar die voor zijn werk (voor het belang van de gemeente) "verboden" handelingen deed.

Een ambtenaar die "illegaal" in de BRP zit te neuzen, doet dat niet voor zijn werk. In die zin is het dus heel wat anders.
Reageer
Thijs_Rallye @noppus27 januari 2026 14:31
Een ambtenaar die "illegaal" in de BRP zit te neuzen, doet dat niet voor zijn werk. In die zin is het dus heel wat anders.
Daar heb je een punt.
Reageer
KroeT @Thijs_Rallye27 januari 2026 13:41
Pikmeer-arresten waren in 1996 en 1998 en betreffen strafrechtelijke vervolging. Ik had het over arbeidsrecht, en verwees naar de WNRA van 2000: https://www.cnv.nl/overheid/alles-over-de-wet-normalisering-rechtspositie-ambtenaren-wnra/

Maar ik zei 'op geen enkele manier onschendbaar' en in die zin corrigeer je me terecht. Dank.
Reageer
RSH @The Zep Man27 januari 2026 14:10
Probleem is wel dat veel controles, certificeringen en audits primair naar “Opzet” en “Bestaan” kijken, de daadwerkelijke “Werking” wordt nu pas langzamerhand bij nieuwere wetgeving ook beoordeeld.

Simpel gezegd was (is) de aanwezigheid van formele documentatie, instructies en beleid (“opzet”) jarenlang het belangrijkste geweest. Beoordelen of de mensen bekend zijn met (de inhoud van) de stukken, “bestaan”, is inmiddels ook wel een ingesleten criterium. Nagaan of dan ook in de praktijk dan wel daadwerkelijk zo gewerkt wordt (“werking”) komt nu pas echt als beoordelingscriterium in zwang.

Koppel daaraan de wisselende wetgeving, gebrek aan mankracht en “awareness” bij veel hoger kader, en het feit dat (bijvoorbeeld) voor AVG er geen toetsing is. Er is langzaamaan een verandering merkbaar, maar vaak nog wordt het vrijmaken van capaciteit en middelen (waaronder geld) voor preventieve maatregelen gezien als niet “sexy” en “flashy”. De relatief korte politieke cyclus van verkiezing naar verkiezing helpt dan ook niet om te zorgen dat er wil en druk van die kant is zaken op langere termijn aan te pakken.

Voor bepaalde specifieke wetgeving rond privacy en informatiebeveiliging zie je in het veld dat de AP niet de middelen inzet / in kan zetten om adequaat te controleren. In gevallen weet de AP zelf niet eens hoeveel organisaties zij voor bepaalde wetgeving zou moeten controleren (…). Daarmee kom je dus op het punt dat niet bekend is wat er misgaat tot het al duidelijk misgaat, en je vaak afhankelijk bent van mensen op een sleutelpositie ergens in een organisatie die dit wél als belangrijk zien en ervoor kunnen zorgen dat het onderwerp aandacht krijgt.

Naar mijn mening is dit nog niet vaak genoeg het geval, maar gelukkig lijkt het tij nu wel (heel langzaam) te keren.

[Reactie gewijzigd door RSH op 27 januari 2026 14:12]

Reageer
Byte @downtime27 januari 2026 13:11
Met dit soort zaken of twijfels lijkt mij toch dat je een security officer (extern) aan kunt schrijven om dit te toetsen? Zoals The Zep Man hieronder ook al aangeeft worden wij burgers ook geacht de wet en regelgeving te kennen. Dit mag met dit soort zaken ook toegepast worden op overheid/gemeente/ambtenaren. Nu is het foutje, bedankt en weer door. Eventuele boetes worden betaald door de belastingbetaler.
Reageer
TheDudez @downtime27 januari 2026 14:24
Ze hebben een voorbeeld functie en zouden het daardoor zelfs beter moeten doen!
Reageer
mjtdevries @downtime27 januari 2026 17:05
De regels voor wel of niet melden zijn in zo'n situatie super duidelijk.
Hier staan ze: https://www.autoriteitper...atalek-wel-of-niet-melden
Lees het maar na. Als een ambtenaar corrupt is, dan is er niets op die pagina te vinden wat je aanleiding kan geven om het niet te melden.

Wat echter erg jammer is in dit artikel is dat de AP in dit onderzoek zelf erg onnauwkeurig is.
Want als ze niet weten dat er een datalek heeft plaatsgevonden, dan kun je een gemeente natuurlijk niet verwijten dat ze geen melding hebben gedaan. Dat is een totaal andere zaak dan wanneer de gemeente wel van het datalek door een corrupte ambtenaar weet, maar het niet meld.
Dat laatste moeten ze hard tegen optreden. (Laat er ook maar wat kamervragen hierover komen)

Het eerste punt kan ook wel aangekaart worden, maar dan is de vraag of de gemeente genoeg doet aan data loss prevention. Dat is een heel ander onderwerp.
Reageer
Henry86 @Byte27 januari 2026 13:24
Volgens mij heb je het artikel niet helemaal goed gelezen/begrepen.

Er wordt (in het algemeen) niet per se iets in de doofpot gestopt. Veeleer zijn gemeentes niet bewust dat er een melding gemaakt moet worden. Bijvoorbeeld omdat ze helemaal niet weten of een ambtenaar 'voor de grap' wat info over een bekende Nederlander heeft opgezocht. Of omdat ze zich niet bewust zijn dat onterecht opzoeken automatisch betekent dat er sprake is van een datalek. Want laten we wel wezen: een query draaien in een database is in twee tellen gebeurd. Terwijl als je dat zonder reden doet, dat elke keer zou moeten worden gezien als datalek.
Reageer
Floort
@Henry8627 januari 2026 13:59
Uit het rapport is niet te lezen wat de onderzoeksvragen zijn geweest. Er wordt in ieder geval niet duidelijk onderzoek gedaan naar wat doorgaans de redenen zijn van niet melden. Er worden slechts enkele redenen genoemd terwijl over andere (redelijk voor de hand liggende) redenen wordt gezwegen. Ik had in deze context bijvoorbeeld vragen gesteld over de het strengere toezicht van de AP op meldingen vergeleken met niet gemelde datalekken als reden om misschien niet te melden. Maar daarover doet de AP geen uitspraken. Het is daarom niet duidelijk of volgens de AP de genoemde reden slechts illustratief zijn, of er een poging geweest is om de meest relevante reden te verzamelen of iets anders.
Reageer
demianmonteverd @Henry8627 januari 2026 14:30
Deze discussie is ook al enorm oud, vroeger hoorde je je ouders klagen over de buren die bij de politie werkten en die in die systemen de andere buurtbewoners had nagetrokken. Of mensen bij de belastingdienst die gelekt hadden wat er verdient werd door iemand. Algemeen bekend toen al. Kan toch niet zijn dat dit excuus in 2026 opeens weer uit de kast gehaald mag worden en dat we dat dan serieus gaan nemen?
Reageer
teek2 @Byte27 januari 2026 13:04
Soms zijn de mensen die je "betrapt" misschien zo "onfris" dat je liever niet hebt dat ze achter jou aankomen als ze er achter komen dat jij ze "verlinkt" hebt. In dat geval snap ik het wel.
Reageer
Thijs_Rallye @teek227 januari 2026 14:30
Wat jij hier omschrijft zijn de gangbare praktijken van een bananenrepubliek. Wat doen zulke onfrisse figuren binnen publieke functies? Of hebben die andere toetsingscriteria binnen het aannamebeleid?
Reageer
SinergyX @Byte27 januari 2026 13:10
Om vervolgens de veiligheid van zo'n medewerker (of zijn familie) op het spel te zetten?

'tientallen explosies en zeker twee pogingen tot moord'

Dit zijn geen mensen die de adresgegevens van iemand willen hebben om hun een abo op de lokale krant aan te smeren, natuurlijk zijn er tal voorbeelden van mensen die voor paar euro al gegevens doorgeven, maar de criminele wereld is iets breder dan wat kruimeldiefjes.
Reageer
demianmonteverd @SinergyX27 januari 2026 14:20
Dat is exact wat ze hebben gedaan met het delen van die gegevens ook. Snap je punt overigens.
Reageer
Genosha @Byte27 januari 2026 13:21
Een lek in de doofpot doen is natuurlijk een stuk eenvoudiger dan publiekelijk moeten bekennen. Dan moet je naast gerechtskosten maken (betaald door de burger) ook weer investeren in goede pr (betaald door de burger) en dan wordt je mogelijk ook nog aangeklaagd door je burgers en die willen een schadevergoeding (betaald door dezelfde burger, de bekende sigaar uit eigen doos). Het in de doofpot drukken is natuurlijk een gouwe ouwe. Nu verdoezelen, later ontkennen.
Reageer
leecher 27 januari 2026 13:36
Natuurlijk worden dit soort datalekken nauwelijks ontdekt, want wie moet dat ontdekken? Zo weet ik dat een familielied bij een bevriende gemeenteambtenaar heeft gebedeld om persoonlijke gegevens van een ander familielid die geen contact meer wilde en verhuisd was. Als slachtoffer is het vaak niet zomaar duidelijk waar een lek vandaan komt en een gemeenteambtenaar gaat zichzelf niet aangeven.

Uiteindelijk is het gewoon juf jannie van 3 straten verder die de poortwachter van jouw gegevens is. Ik ga er voor mezelf vanuit dat mijn data bij een gemeente min of meer openbaar is ook al heb ik het formuliertje ingevuld dat mijn gegevens niet zomaar gedeeld mogen worden.
Reageer
demianmonteverd @leecher27 januari 2026 14:33
Ik wist niet eens dat je dat kon aangeven. Maar zoals killercow al aangaf, als je het begint te loggen en dan erop gaat auditten dan zal het wel gaan verbeteren.
Reageer
Hansie9999 27 januari 2026 13:00
Verder zouden werknemers getraind moeten worden over wat wel en niet integer is
Tja, .....

Persoonlijk vind ik wel dat als je denkt dat zo iets "getrained" moet worden , dat je om te beginnen al met totaal fout personeel zit. (of mogelijk natuurlijk bijna hele generatie's waar toch wel iets mee schort ivm besef van goed/fout )

Maarja, ik zal zelf wel het speciaal geval zijn zeker ? ben iemand die het zelfs niet begrijpt dat mensen online in games valsspelen, dus zal vermoedelijk aan mij liggen vrees ik :(
Reageer
killercow 27 januari 2026 13:01
In de zorg is het via de NEN7510 verplicht om elke inzage netjes met reden, en manier van autorisatie vast te leggen, zowel voor de patient inzichtelijk als voor eventuele behandelend collega's en een FG / auditor. Het is denk ik goed als er een soortgelijk inzagelog verplicht wordt gesteld voor andere persoonsgegevens bij instanties waar je als burger niet omheen kunt.
Reageer
demianmonteverd @killercow27 januari 2026 14:31
Loggen en audits inderdaad.
Reageer
noppus @killercow27 januari 2026 14:56
Er is wel een verschil tussen medische gegevens en een woonadres, of een familierelatie.

Het eerste lijkt me een stuk gevoeliger, en ook interessanter voor de "gluurder".

Bij een gemeente werken tientallen tot honderden ambtenaren die voor hun werk inzage "moeten" hebben in de BRP. Alle inzagen worden gelogd. Maar de beheerder van de BRP kan natuurlijk niet van alle inzagen controleren of de opgegeven reden ook de echte reden is. In de eerste plaats omdat dat erg arbeidsintensief is, dan zou je vele, vele dossiers moeten opvragen en in de tweede plaats omdat dit voor de "geraadpleegden" nogal een inbreuk op hun privacy is. Vaak gaat het om een raadpleging voor/door sociaal rechercheur, leerplicht, toets bijzondere bijstand, hulpmiddelen WMO en nog tientallen andere doeleinden.

De enige manier om een beetje efficiënt mogelijk illegale raadpleging te ontdekken is op basis van de invoer van "verdachte adressen". Hier hing een handgranaat aan de deur, of hier woont de bekende kroegbaas, of lokale miljardair, wie heeft in de afgelopen maanden dit adres/de bewoners bekeken.


Toen Karst Tates met zijn auto op de koninklijke familie inreed in Apeldoorn werd zijn kenteken (en daarmee zijn naam, geboortedatum en woonadres) nogal veel opgevraagd door politieagenten, BOA's en aanverwante personen. Toen zijn er heel wat op de vingers getikt.
Reageer
killercow @noppus27 januari 2026 15:58
Je kunt prima met statistische analyse van de bevraging bekijken of een ambtenaar logische hoeveelheden, dan wel logische bevragingen doet, en andersom kun je net zo goed met statistiek dit soort afwijkingen ontdekken door naar de bevraagde persoon te kijken grouping function.

Wat jij beschrijft rond Tates is 1 specifieke use-case die 1 specifieke statistiek / heuristiek zou bevatten om 'vreemd' gedrag in de bevragingen te ontdekken, namelijk bevragingen van buiten de directe 'verantwoordelijke kring' en locatie. Er zijn als het goed is voor elk incident wel parameters te verzinnen (al dan niet achteraf) die soortgelijke bevragingen en verwerkingen kan opsporen. Dat kan allemaal door een SOC medewerker worden geanalyseerd zonder inzage van de persoonsgegevens van de bevrager, of de bevraagde, en pas bij een vermoeden van onjuiste inzages/fraude richting een tweede lijn die daadwerkelijk met Persoonsgegevens bevragingen kan gaan nalopen.
Reageer
smesjz 27 januari 2026 14:23
Ik vind dit ook opvallend: "De Autoriteit Persoonsgegevens geeft gemeenten verschillende adviezen om datalekken door misbruik van een ambtenaar te voorkomen. Zo zouden handelingen van werknemers geregistreerd moeten worden en moet de gemeente beperken waar een ambtenaar toegang tot heeft. "

Je hebt daar toch geen AP voor nodig om dit in te voeren, lijkt me dat het een vereiste is van een systeem dat werkt met dergelijke gevoelige data.
Reageer
PCG2020 @smesjz27 januari 2026 17:00
Soms heb je als medewerker toegang tot meerdere systemen met gegevens over je inwoners nodig om je werk te kunnen doen, juist omdat die niet in één systeem gecombineerd kúnnen of mógen worden. Soms kan het technisch niet en soms is het wettelijk niet toegestaan. Dat maakt het beperken van toegang niet altijd praktisch.
Reageer
Pietopdeheuvel 27 januari 2026 13:08
Zo hou je de positie op de corruptie index natuurlijk voorbeeldig
Reageer
WouterL @boner27 januari 2026 12:58
Dat is allerminst wat er staat geschreven.
Reageer
SunnieNL @boner27 januari 2026 12:59
Ze hoeven toch helemaal niet te vermelden wie het heeft gedaan, alleen maar dat er een datalek is geweest, welke gegevens er zijn gelekt en de mensen om wie het gaat een bericht te sturen.

Het zou mij niet uitmaken wie het heeft gedaan. De schuld is altijd de gemeente zelf.

[Reactie gewijzigd door SunnieNL op 27 januari 2026 12:59]

Reageer
Quintiemero @SunnieNL27 januari 2026 13:42
Niet helemaal. Je wilt maatregelen nemen tegen diegene wie het heeft gedaan, desnoods tweede kans.
Reageer
mjtdevries @Quintiemero27 januari 2026 16:38
Tuurlijk wil je maatregelen nemen tegen diegene wie het heeft gedaan. Maar dat is aan de gemeente en niet aan de AP. En de AP vraagt ook helemaal niet om de naam van degene die het datalek heeft veroorzaakt als je een lek meldt.
Reageer
PCG2020 @SunnieNL27 januari 2026 15:05
(...) Het zou mij niet uitmaken wie het heeft gedaan. De schuld is altijd de gemeente zelf.
Een gemeente moet voor veel taken persoonsgegevens gebruiken en die dus intern ontsluiten voor bepaalde medewerkers. Dat wordt zo goed mogelijk beveiligd, maar 100% voorkomen dat gegevens gekopieerd worden is niet mogelijk. Dat zie je ook in het artikel: gemeenten komen er vaak pas achter nadat ze een melding binnenkrijgen.

De schuldige is de medewerker die persoonsgegevens willens en wetens opvraagt om ze voor misbruik door derden beschikbaar te maken. Dat een gemeente in zo'n geval geen melding bij de AP doet, is natuurlijk wél een kwalijke zaak.

Wanneer een gemeente zou weten dat de beveiliging van gegevens niet op orde is en iemand van buiten er zonder veel moeite bij kan, dan is die gemeente wél schuldig wanneer er gegevens worden gestolen.
Reageer
SunnieNL @PCG202027 januari 2026 18:25
De schuldige naar buiten is nog steeds het bedrijf die de datalek heeft veroorzaakt, nooit de medewerker. Als er medewerker van de gemeente iets lekt, is het de gemeente die aansprakelijk is, niet die medewerker. Hoe de gemeente zaken intern gaat regelen is hun zaak, en interesseert mij totaal niet. De gemeente als schuldige, zal maatregelen moeten nemen en mij gerust moeten stellen.

Als ik per ongeluk een mail naar de verkeerde persoon stuur met PI informatie van iemand anders erin, zal mijn werkgever stappen ondernemen. Die maakt een melding bij de AP, die mailt de persoon waar het om gaat. Het bedrijf is namelijk als data controller van de data de eindverantwoordelijke, niet de processor.

Hoe vervolgens intern zaken geregeld worden, of ik ontslagen wordt of op extra cursus wordt gestuurd, of er extra maatregelen worden genomen in vorm van een DLP of wat dan ook, dat is een interne aangelegenheid van het bedrijf.

[Reactie gewijzigd door SunnieNL op 27 januari 2026 18:27]

Reageer
downtime @boner27 januari 2026 13:01
Hoe kom je daar nou weer bij? Nergens in het stuk wordt de privacy van de ambtenaar genoemd.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq