Volledig scherm
Wethouder Fleur Imming moet de raad dinsdag opheldering geven over het datalek. © nico brons

'Wethouder moet opstappen om rol bij datalek'

Amersfoort | PvdA-wethouder Fleur Imming moet opstappen. Dat zegt oppositiepartij Amersfoort 2014, daags nadat bekend werd dat haar ambtenaren tweeënhalve maand zwegen over een kolossaal datalek. SP en GroenLinks twijfelen aan haar geloofwaardigheid.

Imming moet als portefeuillehouder sociaal domein komende dinsdag bij het debat over het weglekken van privacygevoelige informatie  hoe dan ook met de billen bloot, stellen oppositie en coalitie. De partijen willen opheldering over de foutief verstuurde mail met persoons- en zorggegevens van 1900 inwoners. Dit werd door de ontvanger wel,  maar door de gemeente niet gemeld bij de Autoriteit Persoonsgegegevens. De wethouder heeft daarnaast wat uit te leggen over het feit dat zij als verantwoordelijke tien weken onwetend bleef over het datalek.

Hoogleraar privacyrecht Gerrit-Jan Zwenne vindt de gemeente verantwoordelijk voor zowel het datalek zelf als de verzwijgactie op de afdeling sociale wijkteams, waar de blunder werd begaan. ,,Hier lijkt geen enkel excuus te zijn. Binnen 72 uur had de fout bij de toezichthouder gemeld moeten worden. Ambtenaren moeten daarover gewoonweg instructies hebben.''

Motie
Amersfoort 2014 kondigt bij monde van  fractievoorzitter Ben Stoelinga een motie van wantrouwen aan tegen Imming. Hij is witheet omdat de coalitie van PvdA, D66, VVD en ChristenUnie hun wethouder beschermde, door een spoeddebat te blokkeren. ,,Te schandalig voor woorden. Zo kan de raad zijn werk als controleur van het bestuur niet doen. Over deze wethouder kan ik na dinsdag kort zijn: ze heeft haar ambtenaren totaal niet in de hand. Dan rest er maar één conclusie: vertrekken.''

Oppositiepartijen SP en GroenLinks gaan niet zo ver, maar spreken van opvallende parallellen met de Eemhuis-affaire. D66-wethouder Mirjam Barendregt stapte in 2012 op omdat haar ambtenaren haar te laat informeerden over een miljoenenoverschrijding van de bouwkosten van dit gebouw.

GroenLinks tilt zwaar aan de privacyschending. Fractieleider Frans Prins: ,,Een heel kwalijke zaak. Er zijn door een menselijke fout of falend systeem vertrouwelijke gegevens van Amersfoorters naar buiten gegaan. Imming moet met een goed verhaal komen anders komt de vertrouwensvraag alsnog op tafel.''

Barbertje
De coalitie is terughoudender. VVD-Raadslid Kees Kraanen: ,,Dit gaat niet om Barbertje moet hangen, maar om een fout of vergissing met grote gevolgen en hoe dat in de toekomst te voorkomen.'' Ook al handelden ambtenaren achter haar rug om, de vertrouwensvraag is volgens fractieaanvoerder Bart Huijdts van  D66 niet aan de orde.  ,,Daar schieten we niks mee op. Natuurlijk willen we meer antwoorden van de wethouder, maar niet om haar er op voorhand op af te rekenen.'

'Hier geldt geen excuus voor'

De gemeente Amersfoort is zelf verantwoordelijk voor de fouten die er zijn gemaakt rondom het datalek met privacygegevens van bijna 2000 zorg-cliënten.

Amersfoort is óók verantwoordelijk voor het gedrag van de ambtenaren op de afdeling Sociale Wijkteams, die tien weken lang de blunder verzwegen. Dat stelt hoogleraar privacyrecht Gerrit-Jan Zwenne, verbonden aan de universiteit van Leiden.

,,Dat een ambtenaar een excel-bestand met zeer vertrouwelijke informatie naar de verkeerde afzender stuurde, is nog tot daar aan toe. Maar dat die fout tien weken op de afdeling wordt stigehouden is veel ernstiger. Daar lijkt geen enkel excuus voor,''  zegt Zwenne.  

Door het lek lopen bijna 2000 cliënten van sociale wijkteams het risico op identiteitsfraude, nu hun naam, adres en burgerservicenummer bij een derde bekend zijn. De gegevens kunnen worden misbruikt door uit naam van de gedupeerde spullen of diensten te verwerven. De fraude wordt vaak ontdekt door onbekende rekeningen, die moeten worden betaald.

Een dergelijk datalek moet, op basis van de wet Bescherming Persoonsgegevens binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. ,,Als dat niet gebeurt is de gemeente daarvoor verantwoordelijk. Ambtenaren moeten gewoonweg goed geïnstrueerd zijn wat te doen in het geval van een datalek. En dat is dus: zo snel mogelijk melden bij je meerdere. Want je hebt als gemeente maar 72 uur en de tijd loopt,'' aldus Zwenne.

De hoogleraar begrijpt de paniek, die ontstaat als een bestand per ongeluk bij de verkeerde persoon terechtkomt. En snapt dat eerst de ontvanger wordt gesommeerd om alles te vernietigen.
,,Maar als dat niet lukt, moet je na een half uur toch naar je leidinggevende stappen. En ook die moet alarm staan.''

De blunder van de  betreffende ambtenaren kan volgens hoogleraar ambtenarenrecht Loe Sprengers niet zonder gevolgen zijn. Van belang is niet alleen oorzaak van de misser, maar ook hoe er vervolgens is gehandeld. ,,Onderzocht moet worden waarom het datalek niet is gemeld. Dat is namelijk een keuze geweest.''

Sancties
Volgens Sprengers is het, op het moment dat een incident een politieke lading krijgt,  gebruikelijk dat het onderzoek door een extern bureau wordt uitgevoerd. Sancties die op basis van het ambtenarenrecht kunnen worden opgelegde variëren van overplaatsing, tot het inhouden van salaris en oneervol ontslag.

Zwenne noemt het ontzettend vreemd dat het vertrouwelijke bestand via outlook is verstuurd. ,,Dat had niet moeten kunnen. Ook daar is de gemeente verantwoordelijk voor. Met een beetje IT is zoiets snel te regelen.''

In samenwerking met indebuurt Amersfoort