Datalek Amersfoort niet gemeld vanwege gebrek aan kennis
Ambtenaren van gemeente Amersfoort waren in de veronderstelling dat er geen sprake was van een datalek toen zij in januari 2016 een e-mail met gevoelige informatie van 1800 inwoners per abuis naar een verkeerd adres stuurden. Ze dachten dat een melding pas nodig zou zijn als het bestand ook daadwerkelijk geopend was.
Ambtenaren van gemeente Amersfoort waren in de veronderstelling dat er geen sprake was van een datalek toen zij in januari 2016 een e-mail met gevoelige informatie van 1800 inwoners per abuis naar een verkeerd adres stuurden. Ze dachten dat een melding pas nodig zou zijn als het bestand ook daadwerkelijk geopend was.
Geen melding bij AP
De verzending van de bestanden naar een verkeerd e-mailadres werd door de betrokken ambtenaren daarom niet gezien als een datalek, zo valt te lezen in extern onderzoek van onderzoeksbureau Verdonck, Klooster & associates. Om die reden werd ook afgezien van een melding bij de Autoriteit Persoonsgegevens, die binnen 72 uur gemaakt moet worden. De verantwoordelijke wethouder werd pas maanden later, begin april van dit jaar, ingelicht over de zaak. De ambtenaren hadden na het verzenden van de e-mail wel geprobeerd om contact te leggen met de onbedoelde ontvanger van de e-mail. Die vroeg vervolgens aan de gemeente de adresgegevens van het Meldpunt Datalekken van de AP, om daar zelf de melding te maken. Of het door de gemeente verstuurde bestand ook geopend is, liet de ontvanger in het midden.
Juridische procedure
De gemeente vroeg de ontvanger de mail te verwijderen, maar daarop werd niet gereageerd. Via een advocaat probeerde de gemeente nog wel de ontvanger te dwingen om de gegevens niet te delen en deze zo snel mogelijk te vernietigen. Op 7 april werd de wethouder dan toch ingelicht, door dat Autoriteit Persoonsgegevens aan de lijn hangt met vragen over de melding van het datalek.
Gebrek aan kennis
De onderzoekers schrijven dat de eerste reactie van de betrokken ambtenaar adequaat was, maar dat inschattingsfouten hebben geleid tot de indruk dat de situatie onder controle was en dat kon worden volstaan met een juridische, procedurele benadering. De gemeente was niet op de hoogte van het protocol dat geldt sinds januari, toen Meldplicht Datalekken in werking treedde. Dat gebrek aan kennis brak de gemeente op. 'Een protocol voor de afhandeling van datalekken had de gemeente niet geholpen het incident te voorkomen, maar had wel geholpen om de afhandeling van het incident beter en voorspoediger te laten verlopen', zo lichten de rapporteurs toe.
Aanbevelingen
De urgentie bij de gemeente werd volgens de onderzoekers pas gevoeld toen de AP een signaal gaf. De gemeente wordt in het rapport aanbevolen om blijvend een meldcultuur te onderhouden, 'waarbij medewerkers zich gestimuleerd voelen om incidenten direct te melden.' Het instellen van de binnenkort verplichte Functionaris Gegevensbescherming noemen onderzoek daarbij 'behulpzaam, gezien diens onafhankelijke rol binnen de organisatie.’ Ook leveranciers en ketenpartners moeten worden gestimuleerd om zo snel mogelijk incidenten te melden.'
Lees het volledige rapport hier.
Reacties: 4
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Het rapport meldt niet van hoeveel mensen de informatie zichtbaar was. Gesuggereerd wordt dat het er maar 75 zijn maar door een filter te deactiveren zijn het veel meer personen ("een groot aantal"). Hoeveel vermeld het rapport niet. Ook wordt niet vermeld in het rapport om welke informatie het precies gaat. Het gaat om "indicaties'. Zijn het NAW gegevens, BSN-nummers, medische gegevens, besprekingsverslagen? We weten het niet. Kortom, volgens mij een onvolledig rapport.
Maar ook vanuit de gemeente is het natuurlijk geklungel. Gewoon blijven hopen dat iemand gedurende twee maanden zijn email niet leest en dat proberen af te dwingen met een advocaat. Desondanks valt het niet onder datalekken en hoeven we de wethouder niet in te lichten zodat die het van een andere instantie moet horen.
Alle kenmerken van een bananerepubliek.
Ik krijg mail met een bestand en dat ga ik niet openen... LOL. (Tenzij de virusscanner me waarschuwt.) Wat een infantiele volslagen ongeloofwaardige ambtelijke smoes..