Wat de gemeente niet opslaat, raakt ze ook niet kwijt

Hackaanvallen, verloren usb-sticks, zorgdossiers die op een verkeerd adres terechtkomen. De beveiliging van bijzondere persoonsgegevens van cliënten is in gemeenten niet waterdicht. Soms gaat er digitaal iets mis, veel vaker gaat het om fouten van medewerkers. Redenen genoeg om de hoeveelheid gevoelige informatie bij gemeenten tot een minimum te beperken.

Hoe veilig is de gemeente voor de medische privacy van burgers? Niet gek om die vraag te stellen, nu ze verschillende zorgtaken hebben en hiervoor veel gevoelige informatie verwerken en opslaan.

Meldplicht

De cijfers stemmen niet gerust. Sinds 1 januari 2016 moeten bedrijven en organisaties het melden als er inbreuk is gemaakt op persoonsgegevens van burgers. Anders gezegd: als er een datalek is. In de eerste acht maanden gaven al 172 gemeenten (44%) één of meer datalekken door aan de toezichthouder Autoriteit Persoonsgegevens (AP). Samen ging het om meer dan driehonderd incidenten, wat gemiddeld neerkomt op meer dan één per dag. Let wel, dit zijn ernstige datalekken, kleine missers worden sowieso niet gemeld. Toch namen veel gemeenten de meldplicht in het eerste jaar nog niet serieus, blijkt uit recent onderzoek van Reporter Radio: slechts de helft van alle incidenten over 2016 is bij de AP gerapporteerd.

Letterlijk op straat

De meeste datalekken ontstaan door hoe medewerkers met gevoelige informatie omspringen. Zo plaatste een ambtenaar in Schiedam de informatie van een cliënt online. In Wijchen kwam post met bijzondere persoonsgegevens letterlijk op straat terecht, en in De Bilt kon onbedoeld iedereen bepaalde afdelingsmappen inzien. In het sociaal domein, waar vaak tientallen, en in grote steden zelfs honderden ambtenaren werken, komen dit soort missers met regelmaat voor. In Noordwijk waren de gegevens van 1214 gedupeerden voor derden toegankelijk en in Enkhuizen werd een telefoon met persoonsinformatie gestolen. Oostzaan verstuurde brieven aan jongeren én aan hun ouders, terwijl ze anoniem in een hulptraject zaten, soms zonder dat hun ouders het wisten.

Zwakste schakel

De mens is de zwakste schakel zo blijkt keer op keer, maar datalekken die te maken hebben met virussen, phishing mails en hackaanvallen moeten we zeker niet uitsluiten. In Ede bijvoorbeeld probeerden onbekenden het computersysteem binnen te dringen, net als in Vlaardingen, Dinkelland en Helmond. In het pas verschenen onderzoeksrapport Een nooit gelopen race van het onafhankelijke Rathenau Instituut staat dat Nederland een aantrekkelijk doelwit is voor cybercriminelen, -spionnen en hackers. De onderzoekers waarschuwen: ‘Zeker voor … lagere overheden, zoals gemeenten, geldt dat ze de basisbeveiliging vaak niet op orde hebben.’

Ransomware

Hoe veilig zijn de digitale systemen voor de privacy van burgers? Hierover verschillen de meningen. Volgens Remco Groet van de IBD, de informatiebeveiligingsdienst voor gemeenten, wordt de soep niet zo heet gegeten als die wordt opgediend: ‘Het Rathenau-instituut baseert zich op weinig bronnen voor deze wel heel sterke uitspraak’, zegt hij. ‘Gemeenten nemen informatiebeveiliging zeer serieus en die is in het algemeen goed op orde.’ Volgens Groet gaat het bij cybercriminaliteit vooral om ransomware waarmee computerbestanden versleuteld en ontoegankelijk gemaakt worden nadat iemand abusievelijk op een linkje in de phishing mail heeft geklikt. Groet: ‘De eigenaar moet losgeld betalen om er weer bij te kunnen; in de meeste gevallen worden de gegevens van de computer niet naar de criminelen verstuurd.’

Identiteitsfraude

Volgens de Autoriteit Persoonsgegevens gaat het bij een datalek niet alleen om het vrijkomen (lekken) van gegevens, maar ook om het onrechtmatig verwerken van die gegevens. Die kunnen door derden vernietigd, of gewijzigd worden. Allerlei vormen van identiteitsfraude zijn dus ook mogelijk. Sandra Konings verantwoordelijk voor cyber security bij BDO accountants & adviseurs ziet hierom wel degelijk bedreigingen van cyberaanvallen. BDO deed afgelopen herfst een peiling naar datalekken bij gemeenten. Konings: ‘Bij cyberaanvallen blijft het onduidelijk in wiens handen de informatie terecht is gekomen. Er kan van alles mee gebeuren. Zekerheid heb je niet.’

Beste beveiliging

Samengevat: de digitale beveiliging bij gemeenten is doorgaans op orde, maar door cyberaanvallen blijven datalekken in verschillende vormen mogelijk. En mensen blijven nu eenmaal fouten maken. Toch is een oplossing heel simpel. ‘De beste manier om data te beveiligen is door bepaalde informatie níet, of zo kort mogelijk op te slaan’, stelt Sandra Konings. ‘Gemeenten verwerken doorgaans veel meer bijzondere persoonsgegevens dan ze wettelijk nodig hebben. Maar wat je niet opslaat, kun je ook niet kwijtraken.’

Mijn gekozen waardering € -