Volledig scherm
© AD

Hoge boete dreigt na niet melden gemeentelijk datalek

AMERSFOORT | De gemeente Amersfoort riskeert een hoge boete voor de onbedoelde verspreiding van vertrouwelijke gegevens van bijna tweeduizend zorgvragers. Het lange tijd verzwegen datalek kan daarnaast ook politieke gevolgen krijgen. Wat is er  aan de hand en wie moeten zich zorgen maken?

Welke gegevens zijn er precies gelekt en hoe ernstig is dat?
Sinds dinsdagavond weten we dat eind januari door een fout op het stadhuis een excel-bestand met privacygevoelige informatie van 1900 Amersfoorters in verkeerde handen is gekomen. Dit bestand bevatte hun namen, adressen, burgerservicenummers en vertrouwelijke informatie over zorgaanvragen.
Als de persoonsgegevens in verkeerde handen vallen, kan er onder meer identiteitsfraude mee worden gepleegd. Het kan zich ook tegen iemand keren, als zonder dat hij of zij dat wil in de omgeving bekend raakt dat er een zorgvraag is ingediend.

Wat ging er fout?
De verklaring is bedrieglijk simpel. Een ambtenaar op de afdeling sociale wijkteams - dat de zorgaanvragen van die teams verwerkt - zond een mail met het excelbestand aan de verkeerde persoon uit zijn adressenbestand in Outlook. De gemeente houdt het op een menselijke fout.
De vergissing werd snel ontdekt, maar de ontvanger was niet te bereiken. Op herhaalde verzoeken is tot op heden niet gereageerd. De gemeente Amersfoort wil dat het bestand gewist wordt. De gemeente weet dus wie de gegevens in handen heeft en dreigt met een kort geding als die persoon zich blijft verschuilen.

Wie is de onbekende ontvanger? En waarom meldde die zich wel bij de Autoriteit Persoons Gegevens en niet bij de gemeente?  
Zijn of haar identiteit is bekend op het stadhuis, maar wordt niet gedeeld met de buitenwereld. Of het gaat om een cliënt van een van de wijkteams, een andere ambtenaar of een willekeurige burger, blijft daardoor onduidelijk.
Een collega-ambtenaar ligt echter niet voor de hand, aangezien de ontvanger zich dan niet doof zou houden voor dringende oproepen van zijin werkgever.

Wie zijn de 1900 Amersfoorters? Zullen zij genoegen nemen met de uitleg over het lekken van hun persoonlijke gegevens?      
Het gaat om Amersfoorters uit verschillende wijken. Zij hebben zorgvragen variërend van huishoudelijke ondersteuning en  jeugdzorg tot psychiatrische hulp. De betrokkenen weten tweeënhalve maand na de fout nog altijd niet dat het hún gegevens waren die uitlekten. Ze ontvangen volgens de gemeente voor eind deze week een brief waarin staat dat ze tot de groep van 1900 behoren. Claims vanwege het schenden  van de privacy en te laat ingrijpen zijn niet uit te sluiten.


De ontvanger meldde het datalek bij de toezichthouder. Wat moet de gemeente zelf eigenlijk doen?
Sinds 1 januari 2016 gelden nieuwe strenge regels in het geval van lekken uit digitale bronnen. Deze Wet Meldplicht Datalekken maakt onderdeel uit van de Wet Bescherming Persoonsgegevens. Binnen 72 uur na een datalek moet de Autoriteit Persoonsgegevens (AP) in kennis worden gesteld. Op het niet of te laat melden staan boetes die op kunnen lopen tot 820.000 euro. Die melding is niet door Amersfoort gedaan.  De betrokken ambtenaren probeerden in plaats daarvan de misser ongedaan te maken door contact te zoeken met de ontvanger, met het verzoek het bestand te wissen. De  fout werd pas hoger in de organisatie bekend toen de AP zelf bij de gemeente aan de bel trok. Dat was pas tien weken ná het daadwerkelijke lek.

Wat betekent dit politiek?
De positie van wethouder Fleur Imming (PvdA) staat nu onder druk. Zij is verantwoordelijk, maar werd door haar ambtenaren onwetend gehouden.

In samenwerking met indebuurt Amersfoort