Gemeente Emmen onder vuur over late bekendmaking van datalek

De gemeente Emmen is onder vuur komen te liggen vanwege de late bekendmaking van een datalek dat zevenduizend inwoners raakte. Dat meldde Security.nl maandag. En laat is het: een inbraak op e-mailaccounts met daarin persoonsgegevens van burgers vond plaats op 8 april 2021, de melding naar die burgers werd pas 4 april dit jaar gedaan. Nee, dat is geen 72 uur nee, en ook geen “zo snel mogelijk” zoals de AVG eist. Wat is hier gebeurd?

In april vorig jaar kregen derden toegang tot vier e-mailaccounts van gemeentemedewerkers, waarschijnlijk via een phishingaanval. In de mailboxen stonden twee bestanden met persoonsgegevens van ruim zevenduizend inwoners uit de drie gemeenten die in het kader van de Participatiewet en Wet maatschappelijke ondersteuning (Wmo) waren verzameld. Er waren geen aanwijzingen dat er daadwerkelijk in de mailboxen is gekeken, maar uitgesloten kon het ook niet worden. Dat is dan dus een datalek: tenzij je kunt bewijzen dat er géén onbevoegde toegang is geweest, moet je handelen alsof dat wel is gebeurd.

Het duurde even voordat de gemeente het doorhad: pas op 7 juli werd de aanval ontdekt. 7 juli 2021 dus. Twee dagen later werd het zoals wettelijk verplicht gemeld bij de Autoriteit Persoonsgegevens, en daarna leek het klaar totdat de AP in december oordeelde dat niet kan worden uitgesloten dat er gegevens zijn ingezien. De gemeente had de getroffen burgers nooit geïnformeerd, ik denk omdat zij dachten dat er dus geen aanwijzingen waren dat er wél iets misgegaan was met die gegevens en dat er dan dus geen risico’s voor betrokkenen zijn.

Er zit een veiligheidsmechanisme in de regels rond datalekken in de AVG: als de verwerkingsverantwoordelijke denkt dat hij niet hoeft te melden, maar de AP meent van wel, dan moet je dat alsnog doen. Dat moet “onverwijld”, er is geen harde termijn voor deze mededeling aan betrokkenen (zoals dat heet, art. 34 AVG). Dat is natuurlijk omdat je mogelijk meer moet uitzoeken, eerst maatregelen wilt nemen of afspraken maken zoals kredietbewaking zodat je de betrokkenen meteen wat kunt beloven. Emmen had echter tot 9 juli nodig voordat de brief dan alsnog uitging, en de periode van december tot juli is wat mij betreft een tikje wel héél erg lang.

D66 Emmen laakt de late afhandeling van de gemeente. “Op 16 maart 2022 waren de gemeenteraadsverkiezingen. In de weken daarvoor hebben we vele persberichten vanuit het college voorbij zien komen, allen uitsluitend positief. Dit onderwerp is echter op de plank blijven liggen tot direct na de verkiezingen”, stelde gemeenteraadslid Joey Koops.
Wethouder Otten ziet dat anders: na zo’n lange periode alleen een heel vage brief sturen met “het zou kunnen dat men uw gegevens heeft gezien maar er is al deze tijd niets gebeurd dus we weten niet waar u zich zorgen over hoeft te maken” is niet bepaald handig. En dat punt zie ik ook wel weer. Desondanks: het gaat om gevoelige gegevens, dus dat had voortvarender opgelost moeten worden.

Dit nog los van de vraag: waarom stáán er überhaupt gegevens van 7.000 zorggerechtigden in mailboxen?

Arnoud

8 reacties

  1. Ik begrijp de gemeete ook wel: Als er al een half jaar overheen is gegaan, dan is de schade toch al gebeurd. En als dan de AP ‘oordeelde dat niet kan worden uitgesloten dat er gegevens zijn ingezien’ (met andere woorden: er is een theoretische kans, maar meer ook niet), kan ik me voorstellen dat dit niet meteen hoogste prioriteit was.

    Misschien bepaalt de wet wel anders (‘onverwijld’), en een half jaar is inderdaad wel lang, maar aan de andere kant: als de schade (lekken) in het eerste half jaar niet is onstaan, is het wel heel waarschijnlijk dat die in het tweede half jaar zal ontstaan. Ik weet dus niet of de wet wel voorzien is voor dit soort scenario’s

  2. Toch frappant dat er geen logging was en dat 2FA naar aanleiding hiervan ‘versneld’ is ingevoerd; 2FA is toch al jaren gemeengoed? Hoe valt dit te rijmen met “passende technische en organisatorische maatregelen”…?

  3. Dit nog los van de vraag: waarom stáán er überhaupt gegevens van 7.000 zorggerechtigden in mailboxen?

    Waarschijnlijk om dezelfde reden dat de meeste huisartspraktijken nog geen steeds veilige dropbox hebben voor privacy-gevoelige informatie, maar gewoon vragen: “Kunt u een foto van de uitslag rond de gevoelige delen sturen via e-mail?” (wat grote problemen kan geven)

    Dat blijft allemaal ingewikkeld, zowel voor de gebruikers die al dan niet het internet überhaupt begrijpen, als voor de medewerkers die hiervoor goed getraind moeten worden met middelen die ze niet (willen?) hebben.

    1. Ik denk dat de verklaring voor het aantreffen van die lijst in de mailbox is dat die lijst per email verstuurd is. In mijn ogen is dat al een datalek, want email is per definitie niet geschikt voor het versturen van vertrouwelijke informatie.

      Mijn vragen zijn dus “Wie was de afzender van betreffende mail?” en “Heeft hij zijn heropvoedingscursus met een goed resultaat afgerond?”

      1. Dit is precies waar mijn comment dus over gaat. Natuurlijk snappen jij en ik dat elke persoon die dat soort lijsten (of persoonsgegevens in grote getale of professionele context überhaupt) via e-mail verstuurd aan de schandpaal mag en met rotte tomaten door het publiek bekogeld mag worden.

        Maar dat is jammer niet de wereld waarin wij leven… wij hebben jammer genoeg alleen maar voor de leek hopeloos ingewikkelde “veilige” oplossingen, die vaker mis gaan omdat ze wij techneuten dit dus niet uitgelegd krijgen aan anderen. Dan maar e-mail, want dat snapt men ten minste.

        Jammer genoeg zijn wij nog steeds heel slecht in het maken van software die voor iedereen begrijpelijk en toegankelijk is.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.