Poliflw

De burgers van de gemeente Edam-Volendam hebben op pakjesavond van de gemeente een onverwacht en buitengewoon onaangenaam Sinterklaascadeau mogen ontvangen: er is een datalek geweest en mogelijk liggen uw persoonsgegevens, inclusief Burger Service Nummer, naam en adres, op straat. Of nog erger, in handen van criminelen die proberen op uw naam rekeningen te openen, producten te bestellen of telefoonabonnementen aan te gaan. Een buitengewoon ernstige situatie.

Op 5 december verschenen er in de media berichten dat er gemeenten in ons land mogelijk het slachtoffer zijn van een zogenaamd datalek. Aan het einde van de middag publiceerde de gemeente op haar website dat ook Edam-Volendam mogelijk getroffen is (dit is geenszins zeker en ook niet meer te achterhalen zegt men op dit moment). De oorzaak zou liggen bij een extern bedrijf waar een laptop is gestolen met daarop de informatie.

Wat opvalt is dat de gemeente kennelijk niet zorgvuldig omgaat met de persoonsgegevens van haar inwoners en hiermee de wet bescherming persoons gegevens overtreedt. Daarnaast schuift de gemeente de verantwoordelijkheid af op het externe bedrijf terwijl de gemeente volgens diezelfde wet toch echt verantwoordelijk is. De Partij van de Arbeid vindt dit zeer ernstig en heeft direct raadsvragen geformuleerd. Na overleg met de andere oppositiepartijen in de gemeenteraad is besloten deze gezamenlijk in te dienen, namens de PvdA, GroenLinks en Volendam’80. U vindt onze vragen onderaan dit artikel.

De oppositie is geschokt door deze gang van zaken en eist zo spoedig mogelijk opheldering van het college van Burgemeester en Wethouders. De onderste steen moet echt boven en de gemeente moet zich zo snel als mogelijk netjes aan de wet gaan houden waardoor deze risico’s in de toekomst beter vermeden kunnen worden. Ook vinden wij dat de informatievoorziening naar onze inwoners beter moet: niet weglopen voor je verantwoordelijkheid en alle inwoners netjes een brief sturen met uitleg en excuses.

Tot slot merken ook wij op dat het in dit specifieke geval mee kan vallen: het is niet bekend of er wel gegevens uit Edam-Volendam op de laptop stonden en het is niet perse zo dat elke dief hier bewust op uit is of ermee aan de haal gaat. Maar: wees alstublieft op uw hoede en neem onmiddellijk contact op met de gemeente als u iets raars ontdekt. Meer informatie vindt u op de website vind de gemeente: http://www.edam-volendam.nl/datalek

Namens de fractie PvdA,

Pim Bliek, fractievoorzitter

De door ons ingediende vragen:

Op 5 december heeft de gemeente het volgende artikel op haar website gepubliceerd:

http://www.edam-volendam.nl/portal-home/nieuws_43559/item/mogelijk-datalek-bij-leverancier-gemeente-edam-volendam_87070.html

Hieromtrent hebben de fracties van de PvdA, GroenLinks en Volendam’80 de volgende vragen:

Waarom is de gemeenteraad niet direct na het constateren van het lek, of in ieder geval voor publicatie, (vertrouwelijk) geïnformeerd? Is het college het met ons eens dat dit wel had moeten gebeuren bij een dusdanig ernstige calamiteit? Welke stappen zijn ondernomen in dit traject qua communicatie en escalatie binnen de organisatie? Hoe snel was de gemeentesecretaris en het college van deze calamiteit op de hoogte? Was dit in lijn met het afgesproken beleid bij calamiteiten? Wat is het beleid rond het escalatietraject bij gevoelige communicatie? Welk beleid voert de gemeente omtrent dataveiligheid, privacy en datalekken? Welke wethouder is verantwoordelijk voor dit beleid en welke acties heeft die wethouder in dit dossier ondernomen? Welke mitigerende maatregelen heeft de gemeente genomen zodra dit lek bekend was? Hoeveel burgers of bedrijven hebben al contact gezocht met de gemeente naar aanleiding van deze calamiteit en hoe worden hun vragen beantwoord? Hoe kan het dat een medewerker (al dan niet eigen of extern) rondloopt met onversleutelde data op een laptop? Waarom worden dit soort vertrouwelijke data aan externe bedrijven verstrekt? Het is gebruikelijk dat voor de (door)ontwikkeling en testen van software niet wordt gewerkt met productie-data maar met bijvoorbeeld geanonimiseerde datasets. Waarom is daar hier niet mee gewerkt? Als dit niet mogelijk was, kunt u toelichten waarom niet? De IBD adviseert om gevoelige data niet op mobiele gegevensdragers op te slaan. De IBD adviseert tevens om, mocht het toch nodig zijn mobiele gegevensdragers te gebruiken, de data minimaal te versleutelen. Waarom zijn deze richtlijnen van de IBD niet gevolgd? (https://www.ibdgemeenten.nl/wat-te-doen-tegen-datalekken/) Heeft de gemeente een wettelijk verplichtte bewerkersovereenkomst met de leverancier gesloten? Zo nee wilt u dat alsnog doen? (zie Wet bescherming persoonsgegevens (Wbp) artikel 14 ,lid 2) U stelt in het artikel dat u niet verantwoordelijk bent (de schuldvraag). Tegelijkertijd merkt u terecht op dat de gemeente verantwoordelijk is voor de omgang met gegevens. Deze twee beweringen lijken met elkaar in tegenspraak. De burger moet erop kunnen vertrouwen dat bij de overheid data veilig is. Het afschuiven van die verantwoordelijkheid op een extern bedrijf vinden wij op zijn minst niet sjiek. Immers, de data had niet onversleuteld of niet ongeanonimiseerd aan externen mogen worden verstrekt. Immers, volgens de Wet bescherming persoonsgegevens (Wbp) is de gemeente de ‘verantwoordelijke’ (Wpb artikel 1, lid d) en dient deze verantwoordelijkheid dan ook te dragen, los van het feit of eventuele schade al dan niet op het bedrijf, de ‘bewerker’ volgens de wet, Wbp artikel 1, lid e, kan worden verhaald. Voor de burger moet en mag dat niet uitmaken. Wij vragen u dit standpunt te heroverwegen en de communicatie hierover te rectificeren.

Het bericht Onaangenaam Sinterklaascadeau verscheen eerst op PvdA Edam-Volendam.

De burgers van de gemeente Edam-Volendam hebben op pakjesavond van de gemeente een onverwacht en buitengewoon onaangenaam Sinterklaascadeau mogen ontvangen: er is een datalek geweest en mogelijk liggen uw persoonsgegevens, inclusief Burger Service Nummer, naam en adres, op straat. Of nog erger, in handen van criminelen die proberen op uw naam rekeningen te openen, producten te bestellen of telefoonabonnementen aan te gaan. Een buitengewoon ernstige situatie.

Op 5 december verschenen er in de media berichten dat er gemeenten in ons land mogelijk het slachtoffer zijn van een zogenaamd datalek. Aan het einde van de middag publiceerde de gemeente op haar website dat ook Edam-Volendam mogelijk getroffen is (dit is geenszins zeker en ook niet meer te achterhalen zegt men op dit moment). De oorzaak zou liggen bij een extern bedrijf waar een laptop is gestolen met daarop de informatie.

Wat opvalt is dat de gemeente kennelijk niet zorgvuldig omgaat met de persoonsgegevens van haar inwoners en hiermee de wet bescherming persoons gegevens overtreedt. Daarnaast schuift de gemeente de verantwoordelijkheid af op het externe bedrijf terwijl de gemeente volgens diezelfde wet toch echt verantwoordelijk is. De Partij van de Arbeid vindt dit zeer ernstig en heeft direct raadsvragen geformuleerd. Na overleg met de andere oppositiepartijen in de gemeenteraad is besloten deze gezamenlijk in te dienen, namens de PvdA, GroenLinks en Volendam’80. U vindt onze vragen onderaan dit artikel.

De oppositie is geschokt door deze gang van zaken en eist zo spoedig mogelijk opheldering van het college van Burgemeester en Wethouders. De onderste steen moet echt boven en de gemeente moet zich zo snel als mogelijk netjes aan de wet gaan houden waardoor deze risico’s in de toekomst beter vermeden kunnen worden. Ook vinden wij dat de informatievoorziening naar onze inwoners beter moet: niet weglopen voor je verantwoordelijkheid en alle inwoners netjes een brief sturen met uitleg en excuses.

Tot slot merken ook wij op dat het in dit specifieke geval mee kan vallen: het is niet bekend of er wel gegevens uit Edam-Volendam op de laptop stonden en het is niet perse zo dat elke dief hier bewust op uit is of ermee aan de haal gaat. Maar: wees alstublieft op uw hoede en neem onmiddellijk contact op met de gemeente als u iets raars ontdekt. Meer informatie vindt u op de website vind de gemeente: http://www.edam-volendam.nl/datalek

Namens de fractie PvdA,

Pim Bliek, fractievoorzitter

De door ons ingediende vragen:

Op 5 december heeft de gemeente het volgende artikel op haar website gepubliceerd:

http://www.edam-volendam.nl/portal-home/nieuws_43559/item/mogelijk-datalek-bij-leverancier-gemeente-edam-volendam_87070.html

Hieromtrent hebben de fracties van de PvdA, GroenLinks en Volendam’80 de volgende vragen:

Waarom is de gemeenteraad niet direct na het constateren van het lek, of in ieder geval voor publicatie, (vertrouwelijk) geïnformeerd? Is het college het met ons eens dat dit wel had moeten gebeuren bij een dusdanig ernstige calamiteit? Welke stappen zijn ondernomen in dit traject qua communicatie en escalatie binnen de organisatie? Hoe snel was de gemeentesecretaris en het college van deze calamiteit op de hoogte? Was dit in lijn met het afgesproken beleid bij calamiteiten? Wat is het beleid rond het escalatietraject bij gevoelige communicatie? Welk beleid voert de gemeente omtrent dataveiligheid, privacy en datalekken? Welke wethouder is verantwoordelijk voor dit beleid en welke acties heeft die wethouder in dit dossier ondernomen? Welke mitigerende maatregelen heeft de gemeente genomen zodra dit lek bekend was? Hoeveel burgers of bedrijven hebben al contact gezocht met de gemeente naar aanleiding van deze calamiteit en hoe worden hun vragen beantwoord? Hoe kan het dat een medewerker (al dan niet eigen of extern) rondloopt met onversleutelde data op een laptop? Waarom worden dit soort vertrouwelijke data aan externe bedrijven verstrekt? Het is gebruikelijk dat voor de (door)ontwikkeling en testen van software niet wordt gewerkt met productie-data maar met bijvoorbeeld geanonimiseerde datasets. Waarom is daar hier niet mee gewerkt? Als dit niet mogelijk was, kunt u toelichten waarom niet? De IBD adviseert om gevoelige data niet op mobiele gegevensdragers op te slaan. De IBD adviseert tevens om, mocht het toch nodig zijn mobiele gegevensdragers te gebruiken, de data minimaal te versleutelen. Waarom zijn deze richtlijnen van de IBD niet gevolgd? (https://www.ibdgemeenten.nl/wat-te-doen-tegen-datalekken/) Heeft de gemeente een wettelijk verplichtte bewerkersovereenkomst met de leverancier gesloten? Zo nee wilt u dat alsnog doen? (zie Wet bescherming persoonsgegevens (Wbp) artikel 14 ,lid 2) U stelt in het artikel dat u niet verantwoordelijk bent (de schuldvraag). Tegelijkertijd merkt u terecht op dat de gemeente verantwoordelijk is voor de omgang met gegevens. Deze twee beweringen lijken met elkaar in tegenspraak. De burger moet erop kunnen vertrouwen dat bij de overheid data veilig is. Het afschuiven van die verantwoordelijkheid op een extern bedrijf vinden wij op zijn minst niet sjiek. Immers, de data had niet onversleuteld of niet ongeanonimiseerd aan externen mogen worden verstrekt. Immers, volgens de Wet bescherming persoonsgegevens (Wbp) is de gemeente de ‘verantwoordelijke’ (Wpb artikel 1, lid d) en dient deze verantwoordelijkheid dan ook te dragen, los van het feit of eventuele schade al dan niet op het bedrijf, de ‘bewerker’ volgens de wet, Wbp artikel 1, lid e, kan worden verhaald. Voor de burger moet en mag dat niet uitmaken. Wij vragen u dit standpunt te heroverwegen en de communicatie hierover te rectificeren.

Het bericht Onaangenaam Sinterklaascadeau verscheen eerst op PvdA Edam-Volendam.