AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat

In dit artikel:

De Autoriteit Persoonsgegevens (AP) waarschuwt dat Nederlandse gemeenten te vaak geen melding maken van datalekken die ontstaan door het verkeerde handelen van ambtenaren, en vreest dat veel gevallen zelfs onopgemerkt blijven. In een verkennend onderzoek bij drie gemeenten concludeert de AP dat het moeilijk is misbruik door personeel te signaleren; incidenten komen vaak pas aan het licht na een tip van de Rijksrecherche of een inwoner.

Hoewel gemeenten wettelijk verplicht zijn een datalek te melden zodra aan bepaalde criteria is voldaan, wordt dat niet altijd gedaan. De AP ontvangt jaarlijks 10–20 meldingen van gemeenten over ambtenaren die onrechtmatig persoonsgegevens verzamelden, maar vermoedt dat het werkelijke aantal hoger ligt omdat niet alles wordt gerapporteerd of als datalek wordt herkend. De autoriteit wijst ook op de ernstige risico’s: in 2025 zijn tientallen explosies en minstens twee moordpogingen in verband gebracht met een corrupte ambtenaar van de gemeente Amsterdam.

Motieven voor misbruik variëren van druk door criminelen tot familieconflicten of nieuwsgierigheid (bijvoorbeeld het opzoeken van gegevens over bekende personen). Om dit te beperken adviseert de AP gemeenten om systeemlogs en handelingen van medewerkers te registreren, toegangsrechten strikt te beperken, personeel te trainen in integriteit en incidenten systematisch vast te leggen en te analyseren. Daarnaast benadrukt de AP het belang van het uitwisselen van ervaringen tussen gemeenten om signalen eerder te herkennen en te voorkomen dat misbruik onopgemerkt blijft.