Van verloren telefoons tot een gehackt e-mailaccount: geen enkele provincie heeft vorig jaar zoveel datalekken binnen de organisatie geconstateerd als Fryslân.

Met een druk op de knop stuurde een medewerker van personeelszaken per abuis de salarisgegevens van 180 medewerkers van de provincie Fryslân naar 10 managers binnen de organisatie. Niet alleen slordig, het incident gaat ook de boeken in als een datalek. Persoonsgegevens van ambtenaren zijn onterecht openbaar geworden onder een – zij het beperkte – groep leidinggevenden.

Dubieuze eer

Fryslân heeft de dubieuze eer koploper te zijn in het aantal geregistreerde datalekken in 2018. In totaal is er 16 keer melding gedaan van het ten onrechte verspreiden van privacygevoelige informatie van medewerkers en burgers. Brabant noteerde 14 datalekken en Drenthe 13. Onderaan de lijst staat Zeeland, met één geconstateerd lek.

De cijfers zijn via een Wob-verzoek (beroep op de Wet openbaarheid van bestuur) opgevraagd door Reporter Radio, het onderzoeksjournalistieke programma van Radio 1 waarmee de Leeuwarder Courant samenwerkt. Ook Omroep Brabant en dagblad De Limburger nemen deel aan het onderzoek.

Fanatieker melding

Het is de vraag of ambtenaren van de provinsje Fryslân daadwerkelijk slordiger omspringen met persoonsgegevens en vaker slachtoffer worden van hacken dan hun collega’s in andere provincies, of dat ze aan de kantoren aan de Tweebaksmarkt in Leeuwarden gewoon fanatieker melding maken van incidenten.

Feit is dat er sinds de invoering van de AVG (Algemene verordening persoonsgegevens), op 25 mei vorig jaar, ineens veel meer meldingen van datalekken binnenkomen dan daarvoor. Zo noteerde Fryslân in 2017 slechts één datalek en zijn alle 16 gemelde lekken van afgelopen jaar allemaal van na de invoering van de AVG. Ook landelijk is er een explosieve groei van het aantal geregistreerde lekken: van 37 in 2016, naar 52 in 2017 en 90 vorig jaar.

,,It is seker sa dat de ynfiering fan de AVG as gefolch hân hat dat kollega’s faker meldingen dogge fan datalekken”, zegt Jelmer Hiemstra, functionaris gegevensbescherming van de provincie. ,,It hat foar bewustwording soarge. It libbet mear. En sûnt de ynfiering fan de AVG hawwe wy ek in protokol foar de omgong mei datalekken.”

Tussen de oren

Dat is heel goed, zegt Pauline Gras van de Autoriteit Persoonsgegevens (AP). ,,Het belang van het tegengaan van datalekken moet echt tussen de oren van de medewerkers komen”, aldus Gras. ,,Want we zien dat de mens een heel belangrijke factor is bij het ontstaan van lekken.”

Stuit een medewerker van de provincie op een mogelijk lek van de persoonsgegevens, dan moet hij of zij hier melding van doen via het intranet van de organisatie. De melding en de omschrijving van het incident komen binnen bij Hiemstra, die er verder onderzoek naar doet. Gaat het inderdaad om persoonsgegevens die zichtbaar zijn geweest voor onbevoegden, dan gaat het de boeken in als datalek.

Met de collega die verantwoordelijk was voor het incident, wordt een ‘bewustwordingsgesprek’ gevoerd. ,,Sa wolle wy der as organisaasje learing út lûke, om der better fan te wurden”, aldus Hiemstra. Bovendien vindt de provincie het ook gewoon belangrijk dat er zorgvuldig met de gegevens van personen wordt omgesprongen, benadrukt hij.

Niet gemeld

Een van de 16 incidenten uit 2018 heeft de provinsje gemeld aan de Autoriteit Persoonsgegevens (AP). Dat ging om de mail van de 180 medewerkers met daarin informatie over hun salaris. De rest van de incidenten zijn volgens de provincie niet gemeld, omdat dit in die gevallen niet noodzakelijk zou zijn geweest.

Landelijk werden 66 van de 90 lekken vorig jaar niet gemeld aan de privacywaakhond. De provinsje Fryslân heeft twee incidenten uit de eerste maanden van dit jaar gemeld aan de AP. Wat deze incidenten behelst, wil Hiemstra niet kwijt. ,,At wy it melde moatte oan de AP, dan melde wy it. En at it net hoecht, dan dogge wat dat ek net”, aldus de functionaris gegevensbescherming.

Verloren laptops en ongewenste felicitatie

Van de 16 datalekken die de provinsje Fryslân vorig jaar constateerde, ging het in drie gevallen om laptops die op locatie werden verloren. Een keer ging het om een telefoon. Op 13 augustus werden honderden brieven van de afdeling personeel en organisatie (P en O) aan medewerkers over bezoeken aan de bedrijfsarts en ontslag op een openbare schijf van de provincie geplaatst. Verder was er sprake van het meerdere keren versturen van mails naar een verkeerd e-mailaccount (.nl in plaats van .com) en verloren usb-sticks. Wellicht de meest opmerkelijke is de klacht die een medewerker op 23 juli indiende. De persoon ontving op diens verjaardag al jaren een felicitatiemail van een niet-directe collega. De klager wilde weten hoe de mailer op de hoogte kon zijn van persoonlijke informatie als een verjaardag. De ‘dader’ hield een lijst bij van verjaardagen van collega’s en bedoelde de felicitaties volgens Jelmer Hiemstra, functionaris gegevensbescherming, alleen maar goed. ,,Mar offisjeel is sa’n list wol in datalek”, zegt Hiemstra. ,,It jout mar oan dat wy ús goed oan de wet hâlde.”

Luister naar LC-journalist Stef Altena over datalekken bij de provincie Friesland, uitgezonden door Radio 1 Reporter Radio

Je kunt deze onderwerpen volgen
Friesland
Plus artikel gelezen
Je las zojuist een artikel.
Onbeperkt PREMIUM-artikelen lezen?

Lees nu PREMIUM vanaf € 1,15 per week. Je krijgt dan onbeperkt toegang tot al onze artikelen, video’s, columns en meer.

Probeer PREMIUM direct