Schiermonnikoog erkent fouten na datalek door ransomware-aanval

In dit artikel:

De gemeente Schiermonnikoog erkent fouten te hebben gemaakt bij de verwerking van persoonsgegevens nadat afvalverwerker Omrin vorig jaar het slachtoffer werd van een ransomware-aanval waarbij ook een bestand met burgerservicenummers werd gestolen en openbaar gezet. De gemeente had Omrin een bestand geleverd om bewoners te informeren over nieuwe tags voor de ondergrondse container; naast namen en adressen stonden daarin echter ook BSN‑nummers.

Een evaluatie door het college van burgemeester en wethouders concludeert dat op drie punten onjuist is gehandeld: het aanleveren van data met overbodige persoonsgegevens, het doorsturen van die data zonder controle, en het opslaan van gegevens door een externe partij. De burgemeester noemde het incident onacceptabel; Omrin heeft aangegeven dat het bestand later is aangepast maar betreurt dat de data toch op de gehackte schijf bleef staan.

Als antwoord op het datalek kondigt de gemeente meerdere maatregelen aan: invoering van een integraal privacybeleid, een informatiebeheerplan, het verwijderen van onnodige gegevens, het opstellen van verwerkersovereenkomsten en DPIA’s, invoering van een datalekprocedure, AVG‑checks, periodieke datacontroles en interne bewustwordingscampagnes en trainingen. De gemeentesecretaris bevestigt dat er eerder geen volledig vastgesteld privacybeleid bestond, maar benadrukt dat er al langer privacybeschermende activiteiten plaatsvinden en dat men nu versneld verbeteringen doorvoert.

Extra context: BSN’s worden als bijzondere persoonsgegevens gezien onder de AVG; verlies of openbaarmaking kan leiden tot identiteitsrisico’s en vraagt doorgaans strikte contractuele en technische waarborgen tussen gemeenten en leveranciers.