Gemeente Emmen onder vuur over late bekendmaking van datalek

| AE 13563 | Privacy | 7 reacties

De gemeente Emmen is onder vuur komen te liggen vanwege de late bekendmaking van een datalek dat zevenduizend inwoners raakte. Dat meldde Security.nl maandag. En laat is het: een inbraak op e-mailaccounts met daarin persoonsgegevens van burgers vond plaats op 8 april 2021, de melding naar die burgers werd pas 4 april dit jaar gedaan. Nee, dat is geen 72 uur nee, en ook geen “zo snel mogelijk” zoals de AVG eist. Wat is hier gebeurd?

In april vorig jaar kregen derden toegang tot vier e-mailaccounts van gemeentemedewerkers, waarschijnlijk via een phishingaanval. In de mailboxen stonden twee bestanden met persoonsgegevens van ruim zevenduizend inwoners uit de drie gemeenten die in het kader van de Participatiewet en Wet maatschappelijke ondersteuning (Wmo) waren verzameld. Er waren geen aanwijzingen dat er daadwerkelijk in de mailboxen is gekeken, maar uitgesloten kon het ook niet worden. Dat is dan dus een datalek: tenzij je kunt bewijzen dat er géén onbevoegde toegang is geweest, moet je handelen alsof dat wel is gebeurd.

Het duurde even voordat de gemeente het doorhad: pas op 7 juli werd de aanval ontdekt. 7 juli 2021 dus. Twee dagen later werd het zoals wettelijk verplicht gemeld bij de Autoriteit Persoonsgegevens, en daarna leek het klaar totdat de AP in december oordeelde dat niet kan worden uitgesloten dat er gegevens zijn ingezien. De gemeente had de getroffen burgers nooit geïnformeerd, ik denk omdat zij dachten dat er dus geen aanwijzingen waren dat er wél iets misgegaan was met die gegevens en dat er dan dus geen risico’s voor betrokkenen zijn.

Er zit een veiligheidsmechanisme in de regels rond datalekken in de AVG: als de verwerkingsverantwoordelijke denkt dat hij niet hoeft te melden, maar de AP meent van wel, dan moet je dat alsnog doen. Dat moet “onverwijld”, er is geen harde termijn voor deze mededeling aan betrokkenen (zoals dat heet, art. 34 AVG). Dat is natuurlijk omdat je mogelijk meer moet uitzoeken, eerst maatregelen wilt nemen of afspraken maken zoals kredietbewaking zodat je de betrokkenen meteen wat kunt beloven. Emmen had echter tot 9 juli nodig voordat de brief dan alsnog uitging, en de periode van december tot juli is wat mij betreft een tikje wel héél erg lang.

D66 Emmen laakt de late afhandeling van de gemeente. “Op 16 maart 2022 waren de gemeenteraadsverkiezingen. In de weken daarvoor hebben we vele persberichten vanuit het college voorbij zien komen, allen uitsluitend positief. Dit onderwerp is echter op de plank blijven liggen tot direct na de verkiezingen”, stelde gemeenteraadslid Joey Koops.
Wethouder Otten ziet dat anders: na zo’n lange periode alleen een heel vage brief sturen met “het zou kunnen dat men uw gegevens heeft gezien maar er is al deze tijd niets gebeurd dus we weten niet waar u zich zorgen over hoeft te maken” is niet bepaald handig. En dat punt zie ik ook wel weer. Desondanks: het gaat om gevoelige gegevens, dus dat had voortvarender opgelost moeten worden.

Dit nog los van de vraag: waarom stáán er überhaupt gegevens van 7.000 zorggerechtigden in mailboxen?

Arnoud

Deel dit artikel

  1. Ik begrijp de gemeete ook wel: Als er al een half jaar overheen is gegaan, dan is de schade toch al gebeurd. En als dan de AP ‘oordeelde dat niet kan worden uitgesloten dat er gegevens zijn ingezien’ (met andere woorden: er is een theoretische kans, maar meer ook niet), kan ik me voorstellen dat dit niet meteen hoogste prioriteit was.

    Misschien bepaalt de wet wel anders (‘onverwijld’), en een half jaar is inderdaad wel lang, maar aan de andere kant: als de schade (lekken) in het eerste half jaar niet is onstaan, is het wel heel waarschijnlijk dat die in het tweede half jaar zal ontstaan. Ik weet dus niet of de wet wel voorzien is voor dit soort scenario’s

  2. Dit nog los van de vraag: waarom stáán er überhaupt gegevens van 7.000 zorggerechtigden in mailboxen?

    Waarschijnlijk om dezelfde reden dat de meeste huisartspraktijken nog geen steeds veilige dropbox hebben voor privacy-gevoelige informatie, maar gewoon vragen: “Kunt u een foto van de uitslag rond de gevoelige delen sturen via e-mail?” (wat grote problemen kan geven)

    Dat blijft allemaal ingewikkeld, zowel voor de gebruikers die al dan niet het internet überhaupt begrijpen, als voor de medewerkers die hiervoor goed getraind moeten worden met middelen die ze niet (willen?) hebben.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS