Een datalek?! Wat nu?

Een beknopte handleiding voor datalekken bij gemeenten

Het constateren van een datalek zorgt voor onrust. Niet alleen bij medewerkers van een gemeente, maar ook bij de bewoners. Waarom? Het beveiligingsincident met persoonsgegevens treft niet alleen het eigen personeel binnen de gemeente, maar ook de inwoners. Een datalek van een zekere omvang brengt veel meerwerk mee voor een gemeente. Daarnaast ontbreekt het regelmatig aan relevante kennis bij de medewerkers. Want waar moet je beginnen? - EIFFEL

Désirée Roelse en Linda Willems, beiden jurist bij EIFFEL, zijn actief op het gebied van privacy. Vanuit hun ervaring als privacy jurist voor gemeenten, zetten zij beknopt op een rij wat de te nemen stappen zijn en op welke aspecten je moet letten in het geval van een datalek.

1. Dicht het lek!
Dat deze eerste stap niet altijd eenvoudig is, bleek onlangs: een gemeente haalde weliswaar de gelekte documenten (waarin persoonsgegevens opgenomen waren) direct van de website, maar na enige tijd bleken deze documenten nog steeds open te staan in het openbaar (website)archief. De vraag kwam naar voren of het offline halen van de documenten in het archief in strijd is met de Archiefwet. Dit is niet het geval. De Archiefwet bepaalt dat documenten moeten worden bewaard, maar niet dat deze documenten openbaar zijn. Gelet op het belang van de bescherming van persoonsgegevens werd het archief (tijdelijk) offline gehaald. In deze eerste fase moet – binnen 72 uur – ook een melding worden gedaan bij de Autoriteit Persoonsgegevens.

2. Inventariseer en beoordeel
Na het dichten van het lek, moet je de gelekte documenten gaan inventariseren en beoordelen. Waar moet je op letten en wat is nu echt belangrijk? Als een BSN zichtbaar is, is het noodzakelijk om de betreffende persoon hiervan op de hoogte te stellen. Een BSN-nummer is uniek en kan worden gebruikt om gegevens aan elkaar te koppelen. Dit brengt een verhoogd risico op identiteitsfraude mee. Ook medische en financiële gegevens zijn gevoelige gegevens. Criminelen kunnen hiermee de identiteit van de persoon waarvan de persoonsgegevens zijn gelekt gebruiken om toegang te krijgen tot een ander land of werkzaamheden verrichten. Sommige criminelen gebruiken zelfs andermans gegevens om hun eigen identiteit te verhullen. Naast de genoemde persoonsgegevens dient men ook waakzaam te zijn voor privé-mailadressen. In ons digitale tijdperk zijn spam en phishing helaas eerder regel dan uitzondering.

3. Is er reden tot paniek?
Het is vervelend als naam, adres en woonplaatsgegevens (NAW) openbaar worden, maar dit betekent niet automatisch dat er een reden is tot paniek. Dit is anders wanneer persoonsgegevens openbaar zijn gemaakt van een burger die heeft aangegeven dat deze gegevens geheim moeten blijven. Zoek eerst uit waarom de burger hiervoor heeft gekozen. Mensen kunnen bijvoorbeeld in een opvang of blijf-van-mijn-lijfhuis zitten vanwege hun veiligheid. Het openbaar worden van deze persoonsgegevens kan dan leiden tot levensgevaarlijke situaties. Het is aan te raden om personen met een indicatie ‘geheim’ persoonlijk aan te schrijven en hen direct het contact met een klantmanager aan te bieden.

4. Gaat het om medische gegevens?
Als een aanvraag voor een gehandicaptenparkeerplaats op kenteken openbaar wordt met enkel de vermelding dat het om een ‘aanvrager’ gaat, dan hoeft dat geen grote consequenties te hebben. Iedereen kan met eigen ogen waarnemen dat er een gehandicaptenparkeerplaats is, waarbij het kenteken zichtbaar is op het verkeersbord. Als aan de voorgaande gegevens een naam en adres worden gekoppeld, gaat het om een grotere inbreuk op je privacy. Want dan geef je een indicatie van de medische gesteldheid van die persoon, een bijzonder persoonsgegeven dus.

5. Gaat het om minderjarigen?
Wanneer minderjarigen onderwerp van de gelekte documenten zijn, is het (voornamelijk) van belang dat je kijkt naar de strekking van het document. Gevoelige informatie kan opgenomen zijn in documenten over Jeugdzorg, maar ook in iets schijnbaar onschuldigs als het aanbieden van assertiviteitstraining of de aanvraag voor muzieksubsidies. Daarin staan vaak niet alleen NAW-gegevens van een kind, maar ook de namen van de wettelijk vertegenwoordigers en het inkomen. Als een document gegevens bevat met betrekking tot een kind jonger dan 16 jaar, wordt de kennisgeving van het datalek gericht aan de wettelijk vertegenwoordigers. Dit kan problemen geven, bijvoorbeeld als het kind Jeugdzorg heeft ingeschakeld. Niet elke ouder hoeft van deze ingeschakelde hulp op de hoogte te zijn. Je moet dan een afweging maken of je de betrokkene informeert of dat je hiervan afziet.

6. Nieuwsgierigheid of een ander doel?
Het is van belang om constant in het achterhoofd te houden dat niet alleen nieuwsgierige personen op zoek gaan naar informatie van het datalek, maar ook personen die misbruik willen maken van de gepubliceerde gegevens, lees criminelen. Zoals eerder aangegeven, kunnen criminelen gebruik maken van iemand zijn persoonsgegevens om diverse redenen.

7. Informeer
Nadat je de documenten hebt geïnventariseerd en beoordeeld, informeer je de betrokkenen. Een bericht in een landelijke krant en het plaatselijke krantje is een goede manier om het ‘grote’ publiek te informeren. We raden je ook aan om een bericht op de gemeentelijke website te plaatsen waarbij een FAQ-lijst is opgenomen. Verder kun je persoonlijke brieven maken om betrokkenen te informeren wat voor persoonsgegevens van hen zijn gelekt. Wat zet je nu precies in zo’n brief? Het is belangrijk om te beginnen met excuses. Dit betekent niet automatisch dat de gemeente aansprakelijk is, maar wel dat je als gemeente de situatie erg vervelend vindt. Daaropvolgend kun je de betreffende persoon informeren welke persoonsgegevens er zijn gelekt en hem waarschuwen voor mogelijke gevolgen. Verwijs in de brief ook naar verschillende websites waar de betrokkene informatie en tips kan vinden. Tot slot verstrek je de contactgegevens waar de persoon meer informatie over het datalek kan krijgen binnen de gemeente zelf.

8. Evalueer
Ter afronding is van belang om met elkaar de situatie te bespreken en leermomenten vast te leggen. Een lek is al een lek is op het moment dat iemand toegang heeft tot gegevens waar diegene niets mee van doen heeft. Als een medewerker van een gemeente zich bezighoudt met bestemmingsplannen toegang heeft tot de gegevens van een medewerker van een andere afdeling, is dit al een lek.

Bij ieder document moet je de afweging maken of er noodzaak is tot publicatie. Aanvragen waarin verschillende persoonsgegevens – zoals het BSN en NAW-gegevens – staan, hoef je niet te publiceren. Publicatie van de geanonimiseerde beslissing volstaat. Ledenlijsten hoeven niet openbaar te zijn, het aantal noemen is voldoende. Als je rapportages opstelt, bijvoorbeeld op wijkniveau, moet je rekening houden met de herleidbaarheid daarvan. Als een rapportage op een te klein aantal huishoudens zit, bijvoorbeeld door gebruikmaking van de postcode-6, zijn de gegevens alsnog herleidbaar tot individuele personen. Weergeef aantallen kleiner dan 10 (bijvoorbeeld 3 personen in een wijk die een aanvraag doen voor een traplift) in de rapportage als ‘<10’.

Het is van groot belang om medewerkers bewust te maken van de mogelijke gevolgen van het plaatsen van gevoelige informatie op internet. Iedere ambtenaar moet weten dat een privacy jurist of de Functionaris Gegevensbescherming eerst expliciete toestemming moet geven om documenten waarin persoonsgegevens zijn opgenomen openbaar te maken. Beter één keer te veel gevraagd dan de trammelant van een datalek!

Op zoek naar handvatten voor de implementatie van de AVG? Volg onze reeks en lees het eerste artikel: De 5 belangrijkste ontwikkelingen van de AVG voor gemeenten.