NOS Nieuws•
Gemeenten publiceren nog steeds per ongeluk persoonsgegevens van burgers op internet, blijkt uit onderzoek van de NOS en Nieuwsuur. Dat terwijl het probleem al jarenlang bekend is en de toezichthouder Autoriteit Persoonsgegevens (AP) er in 2017 al bij gemeeenten op aandrong(opent in nieuw venster) om zorgvuldig om te gaan met het publiceren van gegevens van burgers.
Desondanks vonden de NOS en Nieuwsuur weer honderden documenten met e-mailadressen, privételefoonnummers en adresgegevens van burgers. Ook zaten er documenten tussen met nummers van identiteitsbewijzen en zelfs burgerservicenummers (bsn).
Het gebeurde bijvoorbeeld als inwoners een vergunning aanvroegen of reageerden op een plan in hun omgeving, zoals de komst van een azc. Als gemeenten dat publiceren op internet, onder meer omdat dat moet vanwege de Wet Open Overheid, dan moeten privégegevens worden weggelakt.
Dat gebeurt dus lang niet altijd of niet goed genoeg, waardoor privégegevens toch zichtbaar zijn. “Gemeenten nemen de uitkomsten van het NOS-onderzoek zeer serieus. Persoonsgegevens moeten goed beschermd zijn”, laat een woordvoeder van gemeentekoepel VNG weten.
Datalek
In 255 documenten trof de NOS bsn-nummers van burgers aan. In één document van de gemeente Pijnacker-Nootdorp stonden er zelfs 43, van burgers die hun mening gaven over een nieuwbouwproject. Naast hun bsn-nummers waren ook hun namen, adresgegevens, e-mailadressen en soms hun telefoonnummer te zien.
Onzorgvuldig gebruik van het burgerservicenummer kan tot misbruik van persoonsgegevens leiden, zoals identiteitsfraude, waarschuwt de Autoriteit Persoonsgegevens. Er is volgens kenners geen enkele reden waarom bsn’s gepubliceerd zouden moeten worden. “In de regel mag dat niet en is het dus een datalek”, laat een woordvoerder van de AP weten.
Ingelicht
Gemeenten werden eind vorige week ingelicht door de NOS over de gevonden gegevens. De gemeenten hebben sindsdien in veel gevallen de documenten verwijderd of zijn daar nog mee bezig, laat de VNG weten.
“Als persoonsgegevens onbedoeld openbaar zijn geworden, is dat zorgelijk.” Tegelijkertijd is het anonimiseren van miljoenen documenten een omvangrijke taak, schrijft de VNG. Apart budget krijgen de gemeenten daar niet voor.
Verschillende gemeenten zeggen melding te hebben gemaakt bij de Autoriteit Persoonsgegevens. “Het ging om een menselijke fout en we hebben de documenten meteen ontoegankelijk gemaakt. We hebben meteen een melding gedaan”, laat een woordvoerder van de gemeente Pijnacker-Nootdorp weten.
Het is aannemelijk dat het probleem in werkelijkheid groter is.
Bsn’s of paspoortnummers zijn niet de enige gegevens die een datalek kunnen vormen, benadrukt de toezichthouder. Daarvan kan al sprake zijn bij het onterecht vermelden van een adres of alleen een naam.
Hoe vaak dat precies voorkomt, is onbekend: de NOS en Nieuwsuur hebben gericht gezocht naar privédata die overduidelijk niet mogen worden gepubliceerd, zoals bsn-nummers.
AP kreeg dit jaar ruim 120 meldingen van gemeenten die per ongeluk data openbaar maakten. Vorig jaar waren dat er 75. “Het is aannemelijk dat het probleem in werkelijkheid groter is”, laat de organisatie weten in een schriftelijke reactie.
Verreweg de meeste gevonden documenten met bsn’s van burgers werden in 2016 en 2017 gepubliceerd. Sinds de introductie van strengere privacyregels in 2018 gebeurde dat nog 99 keer.
In de periode daarna zijn veel gemeenten begonnen met het gebruik van software om persoonsgegevens automatisch ’te lakken’. Daarna vindt in de meeste gevallen nog een controle van een medewerker plaats, voordat de documenten worden geüpload naar gemeentelijke informatiesystemen, waarin raadsinformatie en andere gemeentelijke stukken openbaar worden gemaakt.
Dat systeem heeft geen automatische check op eventueel gevoelige gegevens, laat een woordvoerder van Notubiz, een aanbieder van raadsinformatiesystemen, weten. “Wij bieden als leverancier enkel de applicatie, maar zijn niet verantwoordelijk voor de inhoud van gegevens die klanten zelf (online) plaatsen.”
Concurrent iBabs ging niet in op vragen van de NOS en Nieuwsuur over voorzorgsmaatregelen tegen datalekken.

