Gemeenten hebben moeite om misbruik van persoonsgegevens door eigen medewerkers te herkennen.

Het gaat daarbij bijvoorbeeld om ambtenaren die onder druk of tegen betaling gegevens delen met criminelen. Zulke datalekken komen meestal pas aan het licht als de Rijksrecherche of een inwoner melding doet. Ook komt het voor dat gemeenten ontdekte datalekken niet doorgeven aan de Autoriteit Persoonsgegevens (AP), hoewel dat wel verplicht is.

Dat blijkt uit een verkennend onderzoek van de AP. De toezichthouder roept gemeenten op om datalekken door integriteitsschendingen beter te voorkomen, sneller op te sporen en daadkrachtiger aan te pakken. Jaarlijks ontvangt de AP meldingen van ongeveer 10 tot 20 gemeenten waarin een ambtenaar onrechtmatig persoonsgegevens bekeek. Het gaat bijvoorbeeld om ambtenaren die:

gegevens delen met een criminele organisatie;

informatie opzoeken over familie vanwege een privéconflict;

of uit nieuwsgierigheid de gegevens van een bekende Nederlander inzien.

Volgens AP-vicevoorzitter Monique Verdier kunnen dergelijke privacyschendingen ernstige gevolgen hebben. “Gemeenten beheren veel gevoelige informatie over inwoners. Mensen moeten erop kunnen vertrouwen dat die gegevens veilig blijven,” zegt zij. Zo werd vorig jaar een corrupte ambtenaar van de gemeente Amsterdam in verband gebracht met tientallen explosies en enkele pogingen tot moord.

Meer misbruik dan gemeld

De AP vermoedt dat het daadwerkelijke aantal gevallen van misbruik veel hoger ligt dan het aantal meldingen doet vermoeden. Dat komt doordat integriteitsincidenten niet altijd als datalek worden herkend, of simpelweg onopgemerkt blijven. Bovendien bestaan er bij gemeenten nog veel misverstanden over wat precies als een datalek geldt en wanneer melding verplicht is.

Het melden van dit soort incidenten is belangrijk, benadrukt de AP. Alleen dan kan de toezichthouder ingrijpen als beveiligingsmaatregelen tekortschieten of als betrokkenen onvoldoende worden geïnformeerd.

Adviezen voor gemeenten

Om datalekken te helpen voorkomen, opsporen en bestrijden, geeft de AP gemeenten verschillende aanbevelingen:

Beperk toegang tot gevoelige informatie en controleer handelingen van medewerkers in systemen.

Leg duidelijke regels vast rond integriteit en privacy, en train personeel daarop.

Houd een register bij van alle datalekken en analyseer incidenten structureel.

Raadpleeg de Rijksrecherche bij vermoedens van misbruik en doe aangifte wanneer nodig.

Wissel kennis en ervaringen uit met andere gemeenten.

Onderzoek

Voor het onderzoek sprak de AP met 29 gemeentelijke privacyfunctionarissen (FG’s), bezocht drie gemeenten en voerde gesprekken met de Rijksrecherche en de Vereniging van Nederlandse Gemeenten (VNG). Daarnaast vergeleek de AP een lijst met integriteitsschendingen bij gemeenten met haar eigen overzicht van gemelde datalekken.