Woensdrecht

Woensdrechts datalek: Persoonlijke gegevens uit Woo-verzoeken online beschikbaar

Hans-Jorg van Broekhoven Hans-Jorg van Broekhoven

Griffier Kees Adriaanse van de gemeente Woensdrecht schrok behoorlijk van de boodschap die we hem maandagmiddag telefonisch meedeelden. Er is binnen zijn organisatie sprake van een zeer serieus datalek. Wie online zoekmachines bepaalde namen of andere opdrachten geeft, vindt documenten in pdf-vorm die direct gelinkt zijn aan personen.

Soms staan de namen van mensen, bedrijven en organisaties in de hoofdbeschrijving van de links die een zoekopdracht oplevert. Soms staan ze in de korte inhoudsweergave die zoekmachines erbij tonen. Het zijn aanklikbare links die vervolgens leiden naar documenten die medewerkers van de gemeente opslaan en die, onbedoeld, online te vinden zijn.

Privé-informatie

De nodige gemeentes maken gebruik van de diensten en software van SIMgroep, een bedrijf dat voornamelijk lokale en regionale overheden ondersteunt met websites, ICT en systemen om bestanden te delen met de buitenwereld. Met dat laatste is het mogelijk om bijvoorbeeld folders, aanvraagformulieren, plannen en andere informatie online beschikbaar te maken.

Hier is het echter bij de gemeente Woensdrecht misgegaan. Er zijn bestanden gepubliceerd met privé-informatie die absoluut niet publiekelijk toegankelijk mocht zijn. Het betreft vooral correspondentie in het kader van de Wet open overheid (Woo).

Soms is er niets weggelakt

Zowel verzoeken om informatie als reacties van de gemeente op die aanvragen zijn vrijelijk terug te vinden. Inclusief de namen van burgers, bedrijven of organisaties die deze Woo-verzoeken indienden. Veel van die correspondentie is nog vrij actueel, het gaat om mails en verwante stukken uit 2021, 2022 en 2023. In een aantal gevallen zijn namen en andere info weggelakt maar geeft de zoekmachine die toch weer. Bij sommige documenten is niets of niet alles zwart gemaakt. We kwamen zelfs een brief tegen waar het gelakte deel grijs en doorzichtig was, en dus de namen nog leesbaar zijn. Kortom, een zeer serieus datalek.

Gemeente wist van niets

We beschikken door dit lek over een flink aantal gedownloade documenten met persoonlijke informatie, die we natuurlijk niet openbaar gaan maken. Vanzelfsprekend vroegen we de gemeente Woensdrecht om te reageren op de misser. Een woordvoerder laat weten blij te zijn met onze waarschuwing, zodat er meteen maatregelen getroffen konden worden. Men was zich er niet bewust van het datalek.

‘Slecht werkend programma’

Volgens de gemeente bleek het programma dat werd gebruikt om stukken te anonimiseren niet naar behoren te werken. De woordvoerder laat weten: “Het betreft overigens een tool die we nu niet meer gebruiken. De huidige tool hebben we naar aanleiding van jouw melding meteen extra getest. Deze blijkt wel naar behoren te functioneren, waarmee we dus kunnen concluderen dat het enkel de stukken betreft die met de vorige tool bewerkt zijn.” Een verklaring waarom in bepaalde bestanden delen wel en andere delen niet zwart zijn, hebben we hiermee nog niet gekregen.

Nog niet alles weggehaald

De gemeente heeft naar aanleiding van onze melding meteen maatregelen getroffen en zegt de betreffende stukken offline te hebben gehaald, om ze alsnog te anonimiseren. Toch treffen wij ook daarna nog correspondentie online die privégegevens bevat.

Strikte regels

Er gelden strikte regels voor hoe organisaties, en zeker overheden moeten omgaan met een datalek. Het is gemeld in een interne procedure en ook de mensen dan wel organisaties die in de stukken terug te vinden waren, zullen geïnformeerd moeten worden. De gemeentelijke functionaris gegevensbescherming heeft hier voorlopig de handen vol aan.