De vuurtoren van Schiermonnikoog in de duinen vanaf het Westerduinenpad. Foto: Romy Dam
De gemeente Schiermonnikoog had de burgerservicenummers (bsn’s) van alle inwoners per ongeluk verstuurd naar afvalverwerker Omrin. Hierdoor lekten de gegevens uiteindelijk naar buiten door een cyberaanval. De Autoriteit Persoonsgegevens spreekt van een datalek.
Op 12 oktober werd Omrin getroffen door een grootschalige cyberaanval. Duizenden documenten van het afvalbedrijf zouden twee weken later door de criminelen worden gepubliceerd, waaronder een document met daarin alle namen, woonadressen en bsn’s van de gemeente Schiermonnikoog. Ook stonden hier gegevens in van bedrijven en eigenaren van vakantiewoningen op het eiland.
Die gegevens had Omrin nooit mogen hebben. Van andere gemeenten worden burgerservicenummers ook niet verzameld, verzekert woordvoerder Jelmar Helmhout. Alleen specifieke bedrijven in bijvoorbeeld de zorg of het onderwijs mogen volgens de privacywet burgerservicenummers bewaren.
Fout van gemeentemedewerker
„Er is door ons een bestand gedeeld met te veel informatie”, vertelt Ineke van Gent, burgemeester van Schiermonnikoog. „Dat bestand was bedoeld om mensen te informeren over nieuwe tags voor onze ondergrondse containers. Daarvoor had Omrin namen en adressen nodig.”
Van Gent werkt nog tot 1 januari 2026 als burgemeester van Schiermonnikoog. In 2022 werd ze benoemd tot voorzitter van het Adviescollege Openbaarheid en Informatiehuishouding. Deze instantie adviseert bij het uitvoeren van de Wet open overheid, waarmee bijvoorbeeld journalisten overheidsinformatie kunnen opvragen.
‘Dit had nooit mogen gebeuren’
Die namen en adressen stonden in het bestand, maar daarbij stonden ook de burgerservicenummers van iedere individuele bewoner.
„Dit had nooit mogen gebeuren”, benadrukt van Gent. „Het is gewoon supervervelend. Maar dat de gegevens zijn gedeeld is niet zo erg, het is pas erg als iemand er misbruik van maakt.”
De directie van Omrin zegt het datalek te betreuren en meldt in een verklaring: ‘Er is destijds direct contact geweest en we hebben het bestand aangepast, maar we balen dat het nog op de gehackte schijf stond.’ Binnen het afvalbedrijf zou de doorlopen procedure inmiddels zijn aangescherpt.
In 2024 gelekt
De gevoelige informatie werd in 2024 door een gemeentemedewerker naar Omrin gestuurd, daarna is geen melding gedaan bij de Autoriteit Persoonsgevens. Wettelijk zijn instanties verplicht om dat te doen bij een datalek. Van Gent zou het zelf „niet een datalek willen noemen” en zegt dat een privacyexpert binnen de gemeente nu onderzoek doet.
De blunder komt nu pas aan het licht, omdat de gegevens naar buiten lekten bij de cyberaanval op Omrin. De gemeente en afvalverwerker deden afgelopen weekend daarom melding van het lek. „Als dat niet was gebeurd, zouden die gegevens nooit op het darkweb zijn gelekt”, aldus Van Gent.
Autoriteit Persoonsgegevens spreekt van datalek
„Als de gemeente gegevens aan Omrin heeft verstuurd waarbij ook een burgerservicenummer stond, kun je dat zien als een datalek”, stelt woordvoerder Elizabeth Palandeng van de Autoriteit Persoonsgegevens (AP), de waakhond bij wie datalekken gemeld worden.
Bij datalekken geldt in Nederland een meldplicht. Binnen 72 uur moeten instanties melding doen van een lek bij de AutoriteitAPPersoonsgevens, vertelt privacyjurist Caroline van Ekeren van ICT Recht. Wie dat niet doet, doet inbreuk op de Algemene Verordening Gegevensbescherming (AVG), ofwel de privacywet. „Het idee van die hele AVG is dat controle over data wordt teruggegeven aan de getroffen individuen.”
Of bij het lek van de gemeente Schiermonnikoog een meldplicht gold, is volgens Palandeng discutabel. Hoewel de woordvoerder niet over deze specifieke zaak kan uitweiden, wijst ze er op dat „als er een zakenrelatie met de gemeente was, gevraagd kan worden die gegevens niet te gebruiken of weg te gooien”. Dat werkt in zo’n situatie risicoverlagend, waardoor melding niet gedaan hoeft te worden.
De Autoriteit Persoonsgegevens wilde niet vertellen of er een onderzoek loopt of gestart wordt naar het lek.
Voer voor identiteitsfraude
„De kans dat je slachtoffer wordt van identiteitsfraude wordt veel groter als ze je bsn hebben”, weet Harm Teunis van antivirusbedrijf ESET. Alleen dat nummer is voor criminelen onvoldoende, maar bij het lek zijn ook namen en woonadressen gepubliceerd. Dit maakt het veel makkelijker om gedupeerden online na te doen.
„Het vervelende is dat je een burgerservicenummer niet kunt vervangen’’, vervolgt Teunis. ,,Je moet altijd alert blijven op het feit dat iemand die gegevens kan misbruiken om je bijvoorbeeld een misleidende phishingmail te sturen.”
Criminelen zouden zich in zo’n e-mail bijvoorbeeld kunnen voordoen als een medewerker van de gemeente Schiermonnikoog of afvalverwerker Omrin, met de boodschap dat ze nog een achterstallige factuur moeten betalen. En je op die manier verleiden om op een linkje te klikken dat bijvoorbeeld een virus installeert.
