Fors datalek gemeente Bergen op Zoom: persoonsgegevens op straat
De gemeente Bergen op Zoom kampt met een fors datalek. Cybercriminelen hebben toegang gekregen tot het netwerk van de gemeente en daar aanzienlijke hoeveelheden gevoelige persoonsgegevens buitgemaakt, blijkt uit een brief van burgermeester Frank Petter aan de gemeenteraad.
Het lek ontstond nadat cybercriminelen via phishing toegang kregen tot de e-mailaccounts van negen medewerkers. In de gehackte mailboxen zaten gegevens van ruim vierhonderd inwoners. Die zijn inmiddels op de hoogte gesteld van het lek. Het valt niet uit te sluiten dat van meer inwoners gegevens zijn buitgemaakt.
Namen, adressen en BSN-nummers
Hackers kregen al in februari toegang tot de mailboxen, maar nu zijn de resultaten van een uitgebreid onderzoek binnen. Daaruit blijkt dat criminele toegang kregen tot databestanden van de gemeente. Niet alleen waren de namen, adressen en burgerservicenummers (BSN-nummers) van Bergenaren inzichtelijk voor kwaadwillenden, er waren ook zaken als CV’s van sollicitanten aanwezig in de mailboxen. Ook die waren voor de hackers toegankelijk.
De gemeente adviseert inwoners alert te zijn op identiteitsfraude. Door de gelekte namen, adressen en BSN-nummers kunnen kwaadwillenden berichten sturen die afkomstig lijken van de overheid en burgers zo geld afhandig maken of meer gegevens stelen. De gemeente heeft inmiddels een melding gedaan bij de Autoriteit Persoonsgegevens. Dit is wettelijk verplicht bij een dergelijk datalek.
Bergen op Zoom al eerder gehackt
Het is niet de eerste keer dat de gemeente Bergen op Zoom kampt met een datalek. In 2017 ging het ook al eens fout, toen ontdekte Reporter Radio ook een lek in Bergen. De grootte en impact daarvan is echter altijd onbekend geleven.
Burgemeester Petter schrijft in de raadsbrief dat er maaregelen zijn genomen om herhaling te voorkomen. Medewerkers moeten nu een tweede, extra stap doorlopen voordat ze bij systemen met persoonsgegevens kunnen. Dit is ook wel bekend als twee-staps-verificatie en zorgt ervoor dat alleen een gebruikersnaam en wachtwoord weten niet meer genoeg is.