Gemeenten hebben afgelopen jaar zo’n 10 procent meer datalekken gemeld dan in 2018. Simpelweg versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger, komt ‘verreweg het meeste voor’. Gemeenten zijn verder relatief vaak slachtoffer van ‘phishing’ door cybercriminelen.
Dat schrijft de Autoriteit Persoonsgegevens donderdag in haar jaarrapport over datalekken. Gemeenten deden 1525 meldingen. Daarmee nemen ze een derde van de incidenten in het openbaar bestuur voor hun rekening. De toename bij gemeenten blijft beperkt vergeleken met andere organisaties, zowel binnen als buiten de overheid. In totaal rapporteert de AP bijna 30 procent meer meldingen ten opzichte van 2018.
Foutje, bedankt
Knulligheid is de meest voorkomende oorzaak waardoor persoonsgegevens op straat komen te liggen. ‘In veel gevallen gaat het om datalekken als gevolg van het gebruik van verouderde adressen, of de verwisseling van klant/relatienummers, waardoor klanten de verkeerde brief ontvangen. Daarnaast gaat het vaak om incidenten waarbij per ongeluk meerdere brieven aan verschillende personen in één envelop zijn gestopt of dubbelzijdig zijn geprint.’
Onveilig e-mailen
Bij gemeenten signaleert de AP ook dat ‘onbeveiligd e-mailen naar externe partijen’ voorkomt. Als een medewerker bijvoorbeeld een typefout maakt in het e-mailadres, kan de inhoud direct bij de verkeerde ontvanger terechtkomen. Tip van de privacywaakhond: ‘Dit soort incidenten kan voorkomen worden door de gevoelige gegevens als bijlage op te nemen in het e-mailbericht en deze bijlage te versleutelen met een wachtwoord. Of door de communicatie via een beveiligd portaal te laten verlopen.’
Onbevoegd grasduinen
De AP wijst ook op het belang van gegevensbescherming in de documentenberg van gemeenten. Door verkeerde instellingen in de software kunnen onbevoegden binnen de organisatie soms onbekommerd grasduinen. ‘Dat kan er onder meer toe leiden dat gemeentelijke ambtenaren in brieven kunnen kijken van burgers of collega’s zonder dat dat noodzakelijk is voor de uitvoering van hun taken. Dit is een ernstige overtreding van de AVG,’ zo verwijst de toezichthouder naar de privacyregels.
Ingescande brieven
De informatiehuishouding van gemeenten bevat doorgaans veel gevoelige data onder één dak, zoals brieven in het kader van jeugdzorg, bijstand, maatschappelijke ondersteuning en schuldhulpverlening. ‘Veel gemeenten scannen al deze brieven in waarna ze worden opgeslagen in een gezamenlijk documentmanagementsysteem.’ Gegevens van personeel, zoals aanstellingsbrieven, verslagen van evaluatiegesprekken en brieven over re-integratietrajecten, huizen vaak in hetzelfde systeem.
Klikken op foute link
Cybercriminaliteit is slechts bij 1 procent van de overheidslekken de oorzaak. Daarbij valt op dat gemeenten relatief veel phishing melden, vooral in de laatste maanden van 2019. Dat begint met klikken op een foute link in een e-mail. Medewerkers worden naar een neppagina gelokt, waar ze hun inloggegevens invullen en daarmee onbedoeld afstaan aan kwaadwillenden. ‘De hacker krijgt bij een geslaagde aanval ook toegang tot de inhoud van de mailbox van deze medewerkers, die vaak gevoelige persoonsgegevens bevat.’
Mail direct blokkeren
Gemeenten die hiermee te maken krijgen, moeten direct stappen ondernemen, zoals het blokkeren van het aangevallen mailadres. Mogelijke gedupeerden van het lek, zoals Wmo- of jeugdzorgcliënten, dienen op de hoogte te worden gebracht. Gemeenten kunnen ook de overkoepelende informatiebeveiligingsdienst inschakelen.
Klacht tegen wethouder J Janssen van de gemeente Maastricht wegens schending van de privacy (AVG) van burger, is door de burgemeester van Maastricht gegrond verklaard