Datalekken: jouw gegevens liggen voor het oprapen

Volledige namen, geboortedata en zelfs burgerservicenummers. Fred de Meijer uit Leidschendam had met gemak een bankrekening kunnen openen namens vier voor hem compleet onbekende mensen. Hun gegevens kwamen via uitkeringsinstantie UWV onbedoeld in het dossier van zijn dochter terecht. De Autoriteit Persoonsgegevens (AP) krijgt steeds meer meldingen van dit soort datalekken.

In de eerste helft van 2019 zijn 11.906 meldingen binnengekomen, blijkt uit een halfjaarlijkse rapportage. Als die trend zich voortzet, verwacht de autoriteit voor heel 2019 een stijging van 14 procent ten opzichte van vorig jaar. Ook Fred de Meijer meldde het lek bij de Autoriteit Persoonsgegevens.

Een lek bij een overheidsinstantie, dat is niet uitzonderlijk. De meeste datalekken worden gemeld vanuit overheidsorganen (19 procent), de financiële sector (20 procent) en de zorg (31 procent). Die drie sectoren steken er ieder jaar met kop en schouders bovenuit als het gaat om datalek-meldingen, volgens AP.

Namen, geboortedata, burgerservicenummers

Fred en zijn vrouw Akke zijn al jaren bezig om een Wajong-uitkering aan te vragen voor hun 20-jarige dochter. Wegens een conflict met het UWV vroegen ze het volledige, zeventig pagina’s tellende, dossier op van hun dochter. “Tot onze verbazing ontdekten we dat er allerlei informatie tussen zat over vier andere mensen. Namen, geboortedata, burgerservicenummers, alles zit erin”, aldus Fred.

Ze namen contact op met de Autoriteit Persoonsgegevens en deden bij de politie aangifte van privacyschending. Ook is er contact geweest met het UWV: “Zij waren blij dat we de melding deden, maar hebben in eerste instantie nooit gevraagd of we de documenten wilden teruggeven. Pas weken laten kwamen ze het dossier ophalen.”

Het UWV is de afgelopen jaren vaker in verlegenheid gebracht als het gaat om datalekken. Minister Wouter Koolmees van Sociale Zaken meldde eerder dit jaar al aan de Tweede Kamer dat er bij de organisatie in de eerste vier maanden van 2019 al 165 datalekken hebben plaatsgevonden. De privacy van klanten zou slecht ­beschermd zijn.

‘Maak van privacybescherming prioriteit’

De zorgsector is het grootste zorgenkind voor de Autoriteit Persoonsgegevens. De toezichthouder richt zich in haar rapport dat vandaag is gepubliceerd specifiek tot deze branche:  “We hebben de afgelopen periode een aantal nare voorbeelden gezien van datalekken, die ontzettend vervelende gevolgen kunnen hebben voor de mensen om wie het gaat. Ziekenhuizen en andere zorginstellingen moeten daarom van privacybescherming een prioriteit maken.”

De vaakst gemelde oorzaak van een datalek is het versturen van persoonsgegevens aan de verkeerde ontvanger (63%).  Ook lekken met de post, mobiele apparatuur en datalekken door hacken komen vaker voor.

Datalekken: vrees voor eigen privacy

De onzorgvuldigheid van overheidsinstantie UWV baart Fred en Akke zorgen. Ze vrezen voor de privacy van hun dochter, want in haar dossier ontbreken tien pagina’s en het is onduidelijk waar die zijn gebleven. “Het gaat om medische stukken. Ik hoop niet dat die gegevens nu ook bij andere mensen zijn terechtgekomen”, aldus Fred.

Het UWV reageert desgevraagd op de situatie van de familie De Meijer. “Dit had nooit mogen gebeuren. Na constatering hebben we zoals gebruikelijk melding gedaan bij de Autoriteit Persoonsgegevens en zijn we een onderzoek gestart. Er is inmiddels contact geweest met de familie en de onterecht verstrekte gegevens zijn aan ons teruggegeven. Nog deze week versturen wij excuusbrieven naar betrokkenen.”