Gemeenten melden misbruik van persoonsgegevens door ambtenaren niet altijd

Dat concludeert de Autoriteit Persoonsgegevens (AP) in een verkennend onderzoek. Voor dit onderzoek bevroeg de AP 29 interne privacytoezichthouders en functionarissen gegevensbescherming van gemeenten over misbruik van gegevens door ambtenaren. Daarnaast bezocht de AP drie gemeenten en sprak met de Rijksrecherche en de Vereniging van Nederlandse Gemeenten (VNG). Ook vergeleek de AP een lijst van integriteitsschendingen bij gemeenten met een eigen overzicht van datalekken.

Tot 20 meldingen per jaar

Jaarlijks ontvangt de AP tussen de 10 en 20 meldingen van gemeenten over ambtenaren die onrechtmatig persoonsgegevens inzien. Voorbeelden hiervan zijn ambtenaren die onder druk of tegen betaling gegevens delen met criminelen, informatie opzoeken over familieleden in het kader van een familieconflict, of uit nieuwsgierigheid gegevens van bekende Nederlanders raadplegen.

Monique Verdier, vicevoorzitter AP: "Zulke privacyschendingen kunnen verstrekkende gevolgen hebben. Het is belangrijk dat gemeenten dit soort datalekken beter voorkomen, opsporen en aanpakken. Gemeenten gebruiken en bewaren veel gevoelige informatie over hun inwoners. Mensen moeten erop kunnen vertrouwen dat de informatie vertrouwelijk blijft. Als gegevens met criminelen worden gedeeld, kunnen zelfs ernstige veiligheidsrisico’s voor mensen ontstaan. Zo heeft het Openbaar Ministerie vorig jaar tientallen explosies en zeker 2 pogingen tot moord en doodslag gelinkt aan een corrupte ambtenaar van de gemeente Amsterdam."

Het werkelijke aantal gevallen van misbruik ligt waarschijnlijk hoger dan het aantal gemelde datalekken. Dit komt doordat misbruik onopgemerkt blijft of doordat gemeenten integriteitsincidenten niet herkennen als datalek. Ook bestaan er misvattingen over wat een datalek is en wanneer melding verplicht is. Melding bij de AP is essentieel, zodat de toezichthouder kan ingrijpen wanneer beveiligingsmaatregelen ontoereikend zijn of slachtoffers niet worden geïnformeerd.

Adviezen voor gemeenten

Om datalekken te voorkomen, op te sporen en aan te pakken, geeft de AP gemeenten een aantal adviezen. Zo kunnen gemeenten bepalen welke informatie medewerkers wel en niet mogen inzien en handelingen in systemen registreren en controleren. Dit beschermt medewerkers ook tegen criminele invloeden. Daarnaast is het belangrijk om regels voor integriteit en privacy vast te leggen en trainingen te organiseren. Ook moeten gemeenten elk datalek vastleggen in een register en incidenten analyseren. Bij vermoedens van misbruik kan advies worden ingewonnen bij de Rijksrecherche, en bij vastgesteld misbruik moet aangifte worden gedaan. Tot slot wordt gemeenten geadviseerd kennis en ervaringen met elkaar te delen.

Voor dit onderzoek bevroeg de AP 29 interne privacytoezichthouders en functionarissen gegevensbescherming van gemeenten over misbruik van gegevens door ambtenaren. Daarnaast bezocht de AP drie gemeenten en sprak met de Rijksrecherche en de Vereniging van Nederlandse Gemeenten (VNG). Ook vergeleek de AP een lijst van integriteitsschendingen bij gemeenten met een eigen overzicht van datalekken.