De Friese gemeente Dantumadiel heeft per ongeluk persoonlijke gegevens van inwoners openbaar gemaakt. In een door de gemeente verstuurde e-mail waren de e-mailadressen van alle 108 geadresseerden voor iedereen zichtbaar, meldt Nieuws Impuls.
Dit datalek is niet een incidenteel probleem. Interne documenten tonen aan dat de gemeente haar privacybeleid structureel niet op orde heeft. Vorige week vond het datalek plaats toen de gemeente een e-mail over een woningbouwproject verstuurde. De adressen werden in de gewone adresbalk van de e-mail geplaatst in plaats van verborgen in de BCC. De gemeente heeft aangekondigd dat er een melding is gedaan bij de Autoriteit Persoonsgegevens. Volgens Dantumadiel zijn er geen andere persoonsgegevens gedeeld.
Zorgen over privacybeleid
Uit de documenten blijkt dat er al langere tijd zorgen zijn over het privacybeleid van Dantumadiel. De functionaris gegevensbescherming heeft de afgelopen jaren meermalen alarm geslagen over de manier waarop de gemeente omgaat met privacy en gegevensbescherming.
Bijvoorbeeld, tot dit jaar had Dantumadiel geen verwerkingsregister, waarin vastgelegd moet worden welke gegevens worden verwerkt. Een dergelijke registratie is sinds 2018 verplicht onder de privacywet. Bovendien heeft de gemeente geen privacy officer, wat betekent dat taken zoals het melden van datalekken ondergebracht worden bij andere ambtenaren. De functionaris gegevensbescherming waarschuwt dat dit leidt tot een conflict van belangen: “Een slager die zijn eigen vlees keurt”.
Eerdere fouten
In mei bleek uit onderzoek dat de gemeente was vergeten de domeinnaam dantumadiel.nl te registreren, waardoor e-mails met persoonsgegevens en andere vertrouwelijke informatie gemakkelijk konden worden onderschept. Daarnaast raakten in 2023 twee enveloppen met inloggegevens kwijt, en vorig jaar werd een Wmo-verslag met medische gegevens naar de verkeerde persoon gestuurd.
In reactie op deze problemen laat de gemeente weten dat er “concrete stappen” zijn gezet om de privacy en gegevensbescherming te verbeteren. Er is inmiddels een vacature voor een privacy officer uitgezet en Dantumadiel heeft sinds een jaar een verwerkingsregister. De gemeente erkent echter dat er nog geen compleet overzicht is van de gegevens van burgers en bedrijven.
Sinds kort een zelfstandige organisatie
De gemeente zelf erkent dat de basis nog niet op orde is. De interne score voor gegevensbescherming was eind 2024 een 0,9 op een schaal van 5. Digitalerechtenbewaker Bits of Freedom noemt deze score “extreem laag”, vooral gezien het feit dat de Algemene verordening gegevensbescherming (AVG) al zeven jaar van kracht is.
Volgens Dantumadiel is deze lage score gedeeltelijk te wijten aan de ontvlechting van de gemeente met buurgemeente Noardeast-Fryslân. De twee gemeenten werkten jaren samen, maar sinds vorig jaar is Dantumadiel weer een zelfstandige organisatie met eigen personeel. De gemeente verwacht dat bij de volgende meting begin volgend jaar de score “aanzienlijk verbeterd” zal zijn.
‘Overheid moet zich houden aan de wet’
Bits of Freedom heeft scherp op deze tekortkomingen gereageerd. “Dit kan echt niet, het verwerkingsregister hadden ze al lange tijd moeten hebben”, zegt beleidsadviseur Nadia Benaissa. Zij benadrukt dat vanwege de ingrijpende gevolgen van datalekken bescherming de hoogste prioriteit zou moeten hebben. “Stel je voor dat een kind met een depressie kampt, en zijn dossier lekt uit waardoor alle klasgenoten kunnen meelezen. Dat kan mensen echt tot wanhoop drijven.” Daarnaast bestaat het risico dat gevoelige data in criminele handen terechtkomen. “Het minste dat de overheid kan doen is zich houden aan de wet.”
