Menu Zoeken Mijn RTL Nieuws

10 mei 2016 16:01

Gemeenten overtraden maandenlang privacywet: BSN's op straat

Tien Nederlandse gemeenten hebben maandenlang de Nederlandse privacywet overtreden. Ondanks kritische Kamervragen over de slechte beveiliging van gemeentesites, lagen burgerservicenummers van inwoners gewoon voor het oprapen.

Uit onderzoek van RTL Nieuws blijkt dat in totaal 27 Nederlandse gemeenten geen beveiligde https-verbinding gebruikten om gegevens, zoals de volledige naam en het woonadres, te verwerken bij het maken van een afspraak. Een beveiligde verbinding herken je aan een slotje in de webadresbalk. 

Risico op fraude
Bij tien gemeenten, die verantwoordelijk zijn voor ruim 180.000 burgers, werd er ook om het burgerservicenummer gevraagd. Dit is een 'bijzonder persoonsgegeven' dat volgens de Autoriteit Persoonsgegevens alleen met een beveiligde verbinding mag worden verwerkt. Als dat niet gebeurt, overtreed je de Nederlandse privacywet.

Als een verbinding niet is beveiligd, wordt het voor kwaadwillenden erg makkelijk om de verstuurde gegevens te onderscheppen en te misbruiken, bijvoorbeeld voor het plegen van identiteitsfraude. Dit is overigens voor zover bekend niet gebeurd.

Bloemendaal, Wassenaar en Culemborg
Onder andere Bloemendaal, Wassenaar en Culemborg verwerkten het burgerservicenummer van inwoners maandenlang zonder beveiligde verbinding. En daarvoor zijn ze herhaaldelijk gewaarschuwd, melden bronnen binnen de it-dienstverlening voor gemeenten. Na melding van RTL Nieuws hebben de drie gemeenten het gebruik van een https-verbinding doorgevoerd. 

"We betreuren dat het beveiligingsprobleem niet eerder is verholpen", aldus een woordvoerder van de gemeente Bloemendaal. "We hebben hier geen goede reden voor, want het mag gewoon niet gebeuren." Culemborg zegt intern onderzoek te doen, Wassenaar wilde niet op de vragen reageren.

De Informatie Beveiligingsdienst Gemeenten (IBD) heeft van RTL Nieuws een lijst met kwetsbare gemeenten ontvangen. "Daar gaan we direct mee aan de slag", aldus een woordvoerder.  De andere gemeenten worden vanwege veiligheidsoverwegingen niet genoemd.

Kamervragen over beveiliging gemeenten
RTL Nieuws stelde eerder de slechte beveiliging van gemeentesites aan de kaak. Daar werden door de VVD en PvdA Kamervragen over gesteld, die minister Plasterk van Binnenlandse Zaken eind maart beantwoordde. "Mij zijn [...] geen gemeenten bekend die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben", schreef de minister toen.

Plasterk zegt dat de IBD bij eventuele kwetsbaarheden altijd de betrokken gemeenten op de hoogte stelt en hen ondersteunt met het implementeren van de juiste beveiligingsmaatregelen. Op de vraag of Plasterk nog vertrouwen heeft dat burgers veilig online zaken kunnen doen met de overheid, wil de minister niet reageren.

'Overheid moet actief helpen'
Tweede Kamerlid Astrid Oosenbrug (PvdA) gaat opnieuw Kamervragen stellen: "Gemeenten moeten hun zaken op orde hebben, maar opnieuw blijkt dat niet zo te zijn. Hoe kan het toch dat er bij het bouwen van een huis wel aan de veiligheid van inwoners wordt gedacht, maar niet als het gaat om het bouwen van een website?"

Oosenbrug pleit al jaren voor algemene privacyregels voor gemeenten: "Minister Plasterk is verantwoordelijk voor de gemeenten en we zouden als overheid actief moeten helpen bij het op orde maken van de beveiliging. Dat kan door regels op te stellen waaraan elke gemeente zich moet houden, bijvoorbeeld door het verplicht maken van het gebruik van 'https' bij het verwerken van persoonsgegevens."

Boete van 820.000 euro
De Autoriteit Persoonsgegevens wil niet specifiek op de overtredingen van de gemeenten reageren, maar kan voor het schenden van de Wet bescherming persoonsgegevens (Wbp) een maximale boete van 820.000 euro opleggen.

Topnieuws