Gemeenten publiceren nog steeds per ongeluk persoonsgegevens van burgers op internet, blijkt uit onderzoek van de NOS en Nieuwsuur. Dat terwijl het probleem al jarenlang bekend is en de toezichthouder Autoriteit Persoonsgegevens (AP) er in 2017 al bij gemeeenten op aandrong om zorgvuldig om te gaan met het publiceren van gegevens van burgers.

Desondanks vonden de NOS en Nieuwsuur weer honderden documenten met e-mailadressen, privételefoonnummers en adresgegevens van burgers. Ook zaten er documenten tussen met nummers van identiteitsbewijzen en zelfs burgerservicenummers (bsn).

Het gebeurde bijvoorbeeld als inwoners een vergunning aanvroegen of reageerden op een plan in hun omgeving, zoals de komst van een azc. Als gemeenten dat publiceren op internet, onder meer omdat dat moet vanwege de Wet Open Overheid, dan moeten privégegevens worden weggelakt.

Dat gebeurt dus lang niet altijd of niet goed genoeg, waardoor privégegevens toch zichtbaar zijn. “Gemeenten nemen de uitkomsten van het NOS-onderzoek zeer serieus. Persoonsgegevens moeten goed beschermd zijn”, laat een woordvoeder van gemeentekoepel VNG weten.

Datalek

In 255 documenten trof de NOS bsn-nummers van burgers aan. In één document van de gemeente Pijnacker-Nootdorp stonden er zelfs 43, van burgers die hun mening gaven over een nieuwbouwproject. Naast hun bsn-nummers waren ook hun namen, adresgegevens, e-mailadressen en soms hun telefoonnummer te zien.

Asielzoekerscentrum

Vorige zomer ging de gemeente Midden-Delfland de fout in door per ongeluk een document te publiceren met namen en adressen van 133 inwoners die tegen de komst van een asielzoekerscentrum waren. Dat leidde tot zorgen onder de inwoners over de gevolgen. De gemeente verving het document direct door een geanonimiseerde versie en stuurde de inwoners een brief.

Onzorgvuldig gebruik van het burgerservicenummer kan tot misbruik van persoonsgegevens leiden, zoals identiteitsfraude, waarschuwt de Autoriteit Persoonsgegevens. Er is volgens kenners geen enkele reden waarom bsn’s gepubliceerd zouden moeten worden. “In de regel mag dat niet en is het dus een datalek”, laat een woordvoerder van de AP weten.

Ingelicht

Gemeenten werden eind vorige week ingelicht door de NOS over de gevonden gegevens. De gemeenten hebben sindsdien in veel gevallen de documenten verwijderd of zijn daar nog mee bezig, laat de VNG weten.

“Als persoonsgegevens onbedoeld openbaar zijn geworden, is dat zorgelijk.” Tegelijkertijd is het anonimiseren van miljoenen documenten een omvangrijke taak, schrijft de VNG. Apart budget krijgen de gemeenten daar niet voor.

Verschillende gemeenten zeggen melding te hebben gemaakt bij de Autoriteit Persoonsgegevens. “Het ging om een menselijke fout en we hebben de documenten meteen ontoegankelijk gemaakt. We hebben meteen een melding gedaan”, laat een woordvoerder van de gemeente Pijnacker-Nootdorp weten.

Bsn’s of paspoortnummers zijn niet de enige gegevens die een datalek kunnen vormen, benadrukt de toezichthouder. Daarvan kan al sprake zijn bij het onterecht vermelden van een adres of alleen een naam.

Hoe vaak dat precies voorkomt, is onbekend: de NOS en Nieuwsuur hebben gericht gezocht naar privédata die overduidelijk niet mogen worden gepubliceerd, zoals bsn-nummers.

AP kreeg dit jaar ruim 120 meldingen van gemeenten die per ongeluk data openbaar maakten. Vorig jaar waren dat er 75. “Het is aannemelijk dat het probleem in werkelijkheid groter is”, laat de organisatie weten in een schriftelijke reactie.

Verreweg de meeste gevonden documenten met bsn’s van burgers werden in 2016 en 2017 gepubliceerd. Sinds de introductie van strengere privacyregels in 2018 gebeurde dat nog 99 keer.

Software

In de periode daarna zijn veel gemeenten begonnen met het gebruik van software om persoonsgegevens automatisch ‘te lakken’. Daarna vindt in de meeste gevallen nog een controle van een medewerker plaats, voordat de documenten worden geüpload naar gemeentelijke informatiesystemen, waarin raadsinformatie en andere gemeentelijke stukken openbaar worden gemaakt.

Dat systeem heeft geen automatische check op eventueel gevoelige gegevens, laat een woordvoerder van Notubiz, een aanbieder van raadsinformatiesystemen, weten. “Wij bieden als leverancier enkel de applicatie, maar zijn niet verantwoordelijk voor de inhoud van gegevens die klanten zelf (online) plaatsen.”

Concurrent iBabs ging niet in op vragen van de NOS en Nieuwsuur over voorzorgsmaatregelen tegen datalekken.

Verantwoording

Voor dit onderzoek zochten de NOS en Nieuwsuur geautomatiseerd naar gevoelige gegevens in zogenoemde raadsinformatiesystemen. Daarvoor gebruikten we reguliere zoektermen als burgerservicenummer en paspoortnummer, maar zochten we bijvoorbeeld ook naar cijfers met de structuur van een burgerservicenummer. We beoordeelden vervolgens handmatig of er daadwerkelijk sprake was van echte persoonsgegevens van burgers.

Om het aantal met de hand te beoordelen documenten terug te dringen, gebruikten we een AI-model om foutieve hits op te sporen en uit de dataset te halen. Dat deden we met een lokaal gehost model, dat dus niet bij een clouddienst draait. Ook zijn AI-modellen gebruikt voor het schrijven van de software om documenten binnen te halen en te doorzoeken.

De bsn’s en andere persoonsgegevens die de NOS en Nieuwsuur hebben verzameld, zullen worden vernietigd.