De gemeente Amersfoort heeft begin dit jaar een datalek, waardoor privacygevoelige zorggegevens van minimaal 1800 mensen per e-mail naar een verkeerde ontvanger werden gestuurd, voor de Autoriteit Persoonsgegevens verzwegen omdat ambtenaren niet wisten wat de definitie van een datalek was.
Dat blijkt uit een extern onderzoek dat de gemeente liet uitvoeren. De e-mail werd eind januari verstuurd, maar de verantwoordelijke wethouder werd pas op 7 april ingelicht. Alle betrokken ambtenaren, waaronder de gemeentesecretaris, hadden het datalek voor de wethouder verzwegen. Nadat het bericht was verstuurd probeert de gemeente meerdere malen contact met de ontvanger te krijgen. Op 7 maart mailt de onterechte ontvanger de gemeente en vraagt om de adresgegevens van het meldpunt datalekken van de Autoriteit Persoonsgegevens. De ontvanger zegt dat hij van plan is het datalek te melden.
In de mail doet de ontvanger geen mededeling over het bestand of over de opening van de e-mail. Op 8 maart beantwoordt de gemeente de e-mail van de ontvanger en stelt een ultimatum. De ontvanger moet uiterlijk vrijdag 11 maart bevestigen dat het e-mailbericht en de bijlage zijn verwijderd. Op maandag 14 maart heeft de ontvanger nog niet gereageerd. Weer wordt geprobeerd om in contact te komen, de boodschap is nu dat de zaak aan de advocaat van de gemeente zal worden overgedragen.
Op 5 april worden de voorbereidingen getroffen om het kort geding te starten met behulp van de advocaat. Twee dagen later belt een medewerker van de Autoriteit Persoonsgegevens met de gemeente en meldt dat er melding van een datalek is gedaan. De gemeente krijgt de boodschap dat zij diezelfde dag het datalek bij de Autoriteit Persoonsgegevens moet melden. Om de melding te doen wordt het verzonden bestand opnieuw bekeken. Bij nadere bestudering van het bestand blijkt dat achter het eerste tabblad nog meerdere tabbladen staan.
Er blijken filters aan te staan en verborgen kolommen aanwezig te zijn in het bestand. Het blijkt te gaan om gegevens van veel meer personen en andere typen persoonsgegevens dan eerder werd verondersteld. Bij de melding wordt dan ook ingevuld dat het om minimaal 1800 en maximaal 2000 mensen gaat, en niet 75 zoals eerst werd aangenomen. Op 8 april stuurt de advocaat van de gemeente een brief naar de onterechte ontvanger waarin hij vraagt om een verklaring dat de gegevens niet zijn gedeeld en vernietigd. Op 13 april mailt de onterechte ontvanger terug dat hij het bestand heeft verwijderd. Een dag later worden de getroffen personen via brief ingelicht.
"Een directe signalering van een mogelijk datalek en het melden ervan is iets wat van cruciaal belang is voor een snelle en passende afhandeling. De eerste reactie van de betrokken ambtenaar was adequaat", aldus de onderzoekers in hun rapport (pdf). "Tijdens de afhandeling op dezelfde middag en kort erna zijn inschattingsfouten gemaakt die hebben geleid tot een indruk dat de situatie onder controle was en dat kon worden volstaan met een juridische, procedurele benadering. De combinatie van onjuiste inschattingen heeft geleid tot een inhoudelijke tunnelvisie." Om herhaling te voorkomen zijn er verschillende aanbevelingen gedaan. De gemeente heeft aangegeven die te zullen overnemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.