Ambtenaren van gemeente Hellevoetsluis hebben sinds 2001 gevoelige informatie van inwoners online toegankelijk gemaakt. Het gaat in totaal om 21.000 documenten met namen, bsn-nummers, woonadressen en telefoonnummers. Deze waren ook nog via Google vindbaar, achterhaalde RTL Nieuws.
De documenten met de persoonlijke informatie staan in het raadsinformatiesysteem van de Zuid-Hollandse gemeente. In dit systeem staan alle adviezen en besluiten van de gemeenteraad. Deze worden regelmatig voorzien van bijlagen, waarvan de openbare stukken via een url raadpleegbaar zijn op de site van de gemeente.
Onder de bijlagen bevonden zich echter ook stukken met gevoelige informatie, zoals bouwvergunningen, conflictbrieven en verzoeken aan de onderwijsambtenaar. Soms was zelfs een volledige e-mailcorrespondentie tussen burgers en de gemeente bijgevoegd. Enkele documenten stammen uit 2001, het jaar dat het raadsinformatiesysteem in gebruik werd genomen.
Degene die de bijlagen toevoegt, moet per document aangeven of het openbaar is of niet. Blijkbaar is dit niet altijd goed gedaan, waardoor documenten met gevoelige inhoud niet werden afgeschermd en Google alles kon vinden. Het is onbekend hoeveel inwoners de dupe zijn van het datalek, schrijft RTL Nieuws.
‘Menselijke fout’
De gemeente reageert geschrokken. In een online reactie schrijft de organisatie: ‘Privacygevoelige informatie en documenten mogen uiteraard niet op de gemeentelijke website staan. Het kan desondanks voorkomen dat een menselijke fout wordt gemaakt in het openbaar maken van een advies of bijlage.’
De betreffende site is direct offline gehaald en de documenten zijn niet meer online te vinden. Het incident is gemeld bij de Autoriteit Persoonsgegevens.
“NAW-gegevens worden in principe onzichtbaar gemaakt als de documenten worden gepubliceerd op de website. Daarnaast heeft gemeente een CISO (Chief Information Security Officer) en een FG (Functionaris Gegevensbescherming) aangesteld en is het thema informatieveiligheid bestuurlijk belegd.” – Onderzoek digitale dienstverlening 2017 door rekenkamer Hellenvoetsluis
In principe moeten we klaarblijkelijk lezen als ‘in theorie’ omdat uit de praktijk blijkt dat er 18 jaar lang documenten gearchiveerd zijn binnen het Raads Informatie Systeem zonder deze te anonimiseren. Dat is geen menselijke fout maar een procedurele tekortkoming want geen één gebruiker – lees raadslid – had klaarblijkelijk door dat hiermee privacywetgeving geschonden werd. En het opvolgende rapport van de rekenkamer over privacy awareness bij de gemeente Hellenvoetsluit is dan ook nog zorgwekkender want onderaan in de conclusies staat:
“Wel komt uit dit rekenkameronderzoek het aandachtspunt naar voren dat medewerkers documenten op hun eigen computer opslaan. Met het oog op gegevensbescherming, archivering en de bewaartermijn voor bepaalde stukken is dit niet wenselijk” – Quickscan privacy en informatieveiligheid sociaal domein 2018 door rekenkamer Hellenvoetsluis
Eén zinnetje haalt het juichverhaal van privacy bewustwording en AVG-proof onderuit want gemeente Hellevoetsluis (en vele andere gemeenten) vergeet dat als op eigen computer gearchiveerd wordt daarmee het recht om vergeten te worden belemmerd wordt. Ik weet dat de beste stuurlui aan wal staan maar adoptie van een klantsysteem zoals CSAM maakt een organisatie niet AVG-proof als de functiescheiding niet meer is dan een digitale façade. Discussie met CISO’s leert dat als de achterliggende opslag geen gebruik maakt van versleuteling het kinderlijk eenvoudig is om documenten met gevoelige persoonsgegevens te kopiëeren. Verder leert ervaring dat gebruikers niet zo goed zijn in het bewaken van wettelijke bewaartermijnen, een probleen dat ook opgelost kan worden met versleuteling want daarmee zijn ook toegangstermijnen in te stellen. Nu is versleuteling niet het antwoord op elke vraag want uiteindelijk kan ook dit weer omzeilt worden als een bewustwording van de privacy niet verder gaat dan het eigen gemak maar het is wel een begin.
Verder is de reactie over onbekendheid van aantal inwoners die getroffen zijn door gemeentelijke fouten tenenkrommend want het doorploegen van 21.000 documenten aangaande de privacy impact zal met de juiste middelen niet meer dan 8 uur kosten, de AI van OCR is geen rocket science als je weet waar je naar moet zoeken. Dezelfde technologie kun je trouwens preventief inzetten om data vooraf te classificeren, persoonsgegevens kunnen automatische onzichtbaar gemaakt worden voordat de data ergens een internet dienst ingeschoven wordt. En dit kan zowel onomkeerbaar als omkeerbaar gedaan worden, het verschil tussen anonimiseren en pseudonimiseren middels een nietszeggend referentienummer is een betere optie dan overal je BSN opgeven in processen. De communicatie tussen burger en overheid is trouwens ontworpen voordat de AVG/GDPR van kracht werd en voldoet op verschillende punten niet aan het ‘privacy-by-design’ principe als we kijken naar de soms onredelijke identificatieplicht.