Nieuws

Persoonsgegevens 65 duizend ambtenaren glippen door datalek bij ministerie

De persoonsgegevens van zo’n 65 duizend overheidsmedewerkers, voornamelijk werkzaam bij het ministerie van Justitie en Veiligheid, zijn door een datalek op plekken terechtgekomen waar ze niet thuishoren.

Minister Grapperhaus heeft aangegeven de zaak hoog op te nemen. Er zijn drie onderzoeken ingesteld naar het datalek. Beeld ANP
Minister Grapperhaus heeft aangegeven de zaak hoog op te nemen. Er zijn drie onderzoeken ingesteld naar het datalek.Beeld ANP

Demissionair minister Ferd Grapperhaus meldde het lek op vrijdagavond in een brief aan de Tweede Kamer. Hij liet weten de zaak hoog op te nemen. De data zijn volgens hem niet op straat beland, maar wel bij andere overheidsinstellingen waar deze informatie niet hoort te zijn: koepelorganisatie GGD GHOR en het Openbaar Ministerie.

Het gaat om persoonsgegevens als naam, organisatie, dienstverband, paspoortnummer, mailadres, geboorteplaats- en datum, geslacht en nationaliteit. Andere gevoelige informatie als privéadressen, telefoonnummers of wachtwoorden maken geen deel uit van het lek.

Volgens Grapperhaus, bij wie het incident op 30 juni werd gemeld, is het lek veroorzaakt door een externe medewerker. Deze persoon voerde kwaliteitscontroles uit op toegangsdiensten, zoals de pas waarmee medewerkers het ministerie in- en uitkunnen. Hij kopieerde software (een analysetool) naar ‘een eigen werkomgeving’, wat streng verboden is. Zo kwam het terecht bij de twee andere overheidsdiensten, waar hij ook werkte. De betreffende data zaten aan deze software vast en werden zo meegekopieerd.

Direct na de ontdekking van het lek is het gemeld bij de Autoriteit Persoonsgegevens. De gegevens in kwestie zijn verwijderd of onbruikbaar gemaakt. De medewerkers van wie gegevens zijn gelekt, worden hiervan op de hoogte gebracht. Het gaat voornamelijk om ambtenaren bij het ministerie van Justitie en Veiligheid, en daarmee om een fors deel van de werknemers daar: bij het ministerie werken ongeveer 100 duizend mensen.

Onderzoek

‘Op dit moment heb ik geen indicatie dat deze data door onbevoegden zijn ingezien of gebruikt’, schrijft Grapperhaus. Er loopt nog een drietal onderzoeken naar het lek: om te kijken wat is misgegaan en of anderen de data hebben kunnen inzien; om zwakke plekken in de beveiliging op te sporen; en een intern onderzoek. Er worden pas vervolgstappen ondernomen als de uitkomsten van de onderzoeken bekend zijn, aldus Grapperhaus.

Eerder dit jaar was er nog een groot datalek bij de GGD. Twee coronasystemen van de dienst bleken zo lek als een mandje. Als gevolg daarvan konden criminelen handel drijven met miljoenen adresgegevens, telefoonnummers en burgerservicenummers. Medewerkers konden te gemakkelijk bij de data. Bovendien konden ze deze exporteren met een handige exporteerfunctie. Twee medewerkers stonden in mei voor de rechter.