Postbus AA Bezoekadres Stadsplein 1 : IBAN: NL49 BNGH BIC: BNGHNI

Transcriptie

1 Postbus AA Bezoekadres Stadsplein 1 : IBAN: NL49 BNGH BIC: BNGHNI 04 dec 2017/1003 Nieuwegein Juridiscne zaken en Handhaving Contactpersoon Ronald Brouwer Telefoon R.Brouwer@nleuwegeln.nl College van Burgemeester en Wethouders van de gemeente Dsselstein Postbus AA IJSSELSTEIN Datum 29 november 2017 Zaaknummer fc>qö33q Berichtnummer 55^0^^ Onderwerp Melding Datalèk VERZONDEN - 1 DEC Geacht college, Op 5 oktober jl. constateerde de gemeente Nieuwegein een datalek in de vorm van verstrekking van persoonsgegevens aan een externe organisatie, SV-Land te Zoetermeer. Wij informeren u nu pas omdat wij eerst de nodige maatregelen hebben genomen en onderzoek hebben verricht om een overzicht te krijgen van de betreffende gegevens. Een voormelding aan u zou bij nader inzien op zijn plaats zijn geweest, onze excuses voor de late informatie. Wel heeft onze coördinator van de Regionale Sociale Recherche Nieuwegein (RSRN) telefonisch zijn contactpersoon bij uw gemeente geïnformeerd. SV-land doet in opdracht van Werk en Inkomen Lekstroom (WIL) onderzoek naar de samenwerking tussen handhaving van de WIL en de Regionale Sociale Recherche Nieuwegein (RSRN). Door SV-land was een informatieverzoek gedaan aan Nieuwegein om inzicht te krijgen in de besluitvormingsstructuur en financiële inrichting binnen de Regionale Sociale Recherche. In antwoord op dat verzoek was op 25 augustus informatie verstrekt door de leidinggevende van de RSRN. Diverse stukken waren door hem g d aan SV-land. Toen SV-land op 5 oktober om aanvullende informatie vroeg werd duidelijk dat bij de eerder verzonden data ook gegevens waren mee verstuurd over afgesloten en lopende fraudeonderzoeken. Hierbij zijn zeer gevoelige (strafrechtelijke) persoonsgegevens over verdachten en veroordeelden uit de gehele regio meegezonden, waaronder uw gemeente. Het betreft twee Excel-bestanden met daarin een tabblad met de genoemde persoonsgegevens over 105 personen, woonachtig in 13 gemeenten.

2 Bladnummer 2/3 Onderwerp Melding Datalek Na de ontdekking van de onjuiste verstrekking van persoonsgegevens is er onmiddellijk telefonisch en schriftelijk contact geweest met SV-land met het verzoek de betreffende gegevens te vernietigen en de mededeling dat de betreffende gegevens nadrukkelijk vallen onder de geheimhouding zoals genoemd in de artikelen 6.1 en 6.2 van de algemene voorwaarden van SV-land. SV-land bevestigde schriftelijk dat: 1. Alle gegevens zijn vernietigd; 2. Alleen de twee leden van het onderzoeksteam bij SV-land toegang hebben (gehad) tot deze bestanden; 3. De betreffende gegevens geen relevantie hebben voor het onderzoek en dus niet door SV-land zijn gebruikt of verspreid. Hiermee is het directe risico van verdere verspreiding en toegang tot de betrokken data afgedicht. SV-Land is een professionele organisatie op het werkgebied van sociale zekerheid en heeft in het contract met de WIL een geheimhoudingsverklaringsclausule. SV-Land heeft een duidelijk belang om enige impact van dit incident direct te beperken. Op geen enkel moment is de privacy van betrokken burgers/cliënten in het geding geweest, maar gezien de technische interpretatie van het begrip 'datalek' bij de Autoriteit Persoonsgegevens (AP) - mede ook i.r.t. eerdere datalekken, ook in regioverband - is besloten om het zekere voor het onzekere te nemen en dit geval te melden als datalek bij de AP. Dit is op 3 november 2017 gedaan (zie bijlage). Inmiddels zijn de nodige aanpassingen geïmplementeerd in het werkproces van de RSRN waardoor het op deze wijze onjuist verstrekken van persoonsgegevens niet meer kan voorkomen. Wij raden u aan als betrokken gemeente zelf een melding van het datalek te doen bij de AP met gebruikmaking van de tekst uit de bijlage en van de hieronder vermelde gegevens over de personen/cliënten voor uw gemeente. Voor uw gemeente betreft het de volgende aantallen/gegevens. Rapportage 1 helft 2013 Rapportage 1 kwartaal 2014 Dubbele namen Unieke namen 4 2 6

3 Bladnummer 3/3 Onderwerp Melding Datalek De gemeenteraad van Nieuwegein is separaat - conform een interne afspraak - hierover geïnformeerd. Wij bieden u onze oprechte excuses aan voor de ontstane overlast en verzekeren u dat we alles in het werk hebben gesteld om dit incident snel af te handelen en dat wij tevens ervoor gezorgd hebben dat dit niet meer kan voorkomen. Wij verwachten u hiermee voldoende te hebben geïnformeerd. Ntet vriendelijke groet, buraerneester en wethouders. P. 1^^. Liebregts secretaris F.T.J.M. Backhuijs burgemeester Bijlage: Kopie melding datalek AP

4 Autoriteit persoonsgegevens - Meldloket pagina 1 van 8 Ontva ngstbevestigi ng Uw verzoek tot het indienen van een melding wordt in behandeling genomen. U kunt de melding niet online raadplegen. Maak daarom een print voor uw eigen administratie. Doe dit voordat u deze pagina afsluit. Na het afsluiten van deze pagina zijn de gegevens die u heeft opgegeven niet meer beschikbaar. Onder het onderstaande meldingsnummer is de melding bekend bij de Autoriteit Persoonsgegevens. U heeft het meldingsnummer nodig om de melding aan te kunnen passen of in te kunnen trekken. Vermeld het meldingsnummer bij eventuele correspondentie met de Autoriteit Persoonsgegevens over de melding. Tijdstip ontvangst Unieknummer :32:11 b56f d b-4f60-87d6-32f77ebcb244 Nieuwe of bestaande melding Gaat het om een nieuwe of Een nieuwe melding indienen bestaande melding? Wettelijk kader van de meldin CT O Op grond van welke wettelijke bepaling doet u deze melding? Wet bescherming persoonsgegevens (Wbp), artikel 34a, eerste lid Algemene informatie en contactpersoon Over welke organisatie of welk bedrijf gaat het? Naam van het bedrijf of de organisatie Gemeente Nieuwegein / Regionale Sociale Recherche Nieuwegein

5 Autoriteit persoonsgegevens - Meldloket pagina 2 van 8 Adres (bezoekadres) Postcode Vestigingsplaats Registratienummer bij de Kamer van Koophandel In welke sector is de organisatie of het bedrijf actief? Stadsplein LZ Nieuwegein Openbaar bestuur - Gemeente Wie meldt het datalek? Naam Functie adres Telefoonnummer Tweede telefoonnummer P.H. van der Hoog CISO/FG p.vd.hoog@nieuwegein.nl Met wie kan de Autoriteit Persoonsgegevens contact opnemen voor nadere informatie over de melding? De melder is contactpersoon Ja Gegevens over het datalek Wat is de aard van het incident Persoonsgegevens verstuurd of waarbij er een inbreuk op de afgegeven aan verkeerde ontvanger beveiliging van persoonsgegevens is geweest? Geef een samenvatting van het incident waarbij er een inbreuk op de beveiliging van persoonsgegevens is geweest De gemeente stuurde aan een externe organisatie die in opdracht van Werk en Inkomen Lekstroom (WIL) onderzoek doet naar de samenwerking tussen handhaving van de WIL en de Regionale Recherche Nieuwegein (RSRN), informatie over lopende en afgesloten zaken en de kengetallen over de werkvoorraad, voortgang en financiële gegevens over de dienstverlening, om inzicht te krijgen in de besluitvormingsstructuur en financiële inrichting binnen de SR. Het betreft hier gegevens van 11 bij de RSRN aangesloten

6 Autoriteit persoonsgegevens - Meldloket pagina 3 van 8 gemeentes. Op het moment van het verzoek om aanvullende informatie werd duidelijk dat bij eerder verzonden data gegevens waren mee verstuurd over afgesloten en lopende fraudeonderzoeken waarbij zeer gevoelige (strafrechtelijke) persoonsgegevens over verdachten en veroordeelden uit de gehele regio was meegezonden. Het betreft twee Excel- bestanden met daarin een tabblad met de genoemde persoonsgegevens, te weten "prestatie overzicht 2013 Ie halfjaar" en de "Marap Ie kwartaal 2014". Het betreft 105 personen en 11 aangesloten gemeentes en twee andere gemeentes waar in de benoemde tijdvakken assistentie was verleend. Op geen enkel moment is er sprake geweest van enig risico van enige inbreuk op de persoonlijke levenssfeer van betrokkene. Vond de inbreuk plaats in een ja, namelijk: verwerking die is uitbesteed aan een andere organisatie? Naam van de organisatie waaraan de verwerking is uitbesteed Van minimaal hoeveel personen zijn Regionale Sociale Recherche Nieuwegein (RSRN) 105 persoonsgegevens betrokken bij de inbreuk? Van maximaal hoeveel personen zijn 105 persoonsgegevens betrokken bij de inbreuk? Omschrijf de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk. Van fraude verdachte verdachten en veroordeelden uit de gehele regio. Is bekend wanneer de inbreuk was? Ja Is de exacte datum bekend wanneer Ja de inbreuk was? Exacte datum waarop de inbreuk was Startdatum van de periode waarbinnen de inbreuk was

7 Autoriteit persoonsgegevens - Meldloket pagina 4 van 8 Einddatum van de periode waarbinnen de inbreuk was Wanneer werd de inbreuk ontdekt? Wat is de aard van de inbreuk? Lezen (vertrouwelijkheid) Kopiëren Veranderen (integriteit) Verwijderen of vernietigen ja (beschikbaarheid) Diefstal Nog niet bekend Om welk type persoonsgegevens gaat het? Naam-, adres-en ja woonplaatsgegevens Telefoonnummers adressen of andere adressen voor elektronische communicatie Toegangs- of identificatiegegevens Financiële gegevens Burgerservicenummer(BSN) Paspoortkopieën of kopieën van ja ja andere legitimatiebewijzen Geslacht, geboortedatum en/of ja leeftijd Bijzondere persoonsgegevens (art. 16 Wbp) Over iemands godsdienst of levensovertuiging Over iemands ras Over iemands politieke gezindheid Over iemands gezondheid Over iemands seksuele leven

8 Autoriteit persoonsgegevens - Meldloket pagina 5 van 8 Overhetlidmaatschap van een vakvereniging Strafrechtelijke persoonsgegevens Over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag Ja Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkenen? Stigmatisering of uitsluiting Schade aan de gezondheid Blootstelling aan (identiteits)fraude Blootstelling aan spam of phishing Ja Vervolgacties naar aanleiding van hetdatalek Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen? De RSRN heeft dit direct gemeld aan het afdelingshoofd. Deze heeft onmiddellijk de onderzoeksorganisatie telefonisch op de hoogte gebracht en aansluitend het volgende aan SVIand g d: 1. Ik verzoek u de betreffende gegevens te vernietigen. 2. Ik begreep zojuist al van u dat alleen de twee leden van het onderzoeksteam bij SV-land toegang hebben (gehad) tot deze bestanden. 3. Ook begreep ik van u dat de betreffende gegevens geen relevantie hebben voor jullie onderzoek en dus niet door jullie zijn gebruikt of verspreid. 4. Wij merken de betreffende gegevens nadrukkelijk aan als vallend onder de geheimhouding zoals genoemd in de artikelen 6.1 en 6.2 van uw algemene voorwaarden. Hierbij is ook gevraagd om bevestiging van de vernietiging van de betrokken data. Dat is ook gebeurd. Hiermee is het directe risico van verdere verspreiding en toegang tot de betrokken data afgedicht. De onderzoeksorganisatie is een professionele organisatie op het werkgebied van sociale zekerheid en heeft in het contract met de WIL een

9 Autoriteit persoonsgegevens - Meldloket pagina 6 van 8 geheimhoudingsverklaringsclausule. De onderzoeksorganisatie heeft een duidelijk belang om enige impact van dit incident direct te beperken. Om herhaling te voorkomen, zijn de volgende opdrachten verstrekt aan de RSRN: Als het centrale spreadsheet een onlosmakelijk onderdeel van administratie en rapportage is, dan is het raadzaam om dit niet op een persoonlijk of afdelingsschijf op te slaan maar in een afdoend afgesloten deel van SharePoint. Hiermee is het minder gevoelig voor externe data inbraken en virusaanvallen. Voor de rapportage aan het afdelingshoofd is het raadzaam om te bespreken wat deze werkelijk nodig heeft aan interne rapportage. Mogelijk is een totaaloverzicht van de geanonimiseerde MARAP voor de regio voldoende. Het verdient aanbeveling dat het afdelingshoofd dit overzicht niet meer toegezonden krijgt, maar kan inzien op SharePoint. Versturen als bijlage via is per definitie risicovol hier. In het versturen van de rapportages naar de deelnemende gemeentes verdient het aanbeveling om dat ook niet meer per te doen, maar beveiligd via msafe. Het verdient aanbeveling om te bezien of de (persoonlijke) inhoud van het spreadsheet kan worden losgekoppeld van de MARAP (aparte spreadsheets) en dat zelfs de deelrapportages in aparte tabs/spreadsheets kunnen worden opgeslagen. Hoe minder bewerkingen, hoe minder kans op fouten. Heeft u het datalek gemeld aan de betrokkenen of bent u van plan dat te gaan doen? Wat is de inhoud van de melding aan de betrokkenen? NVT Hoeveel betrokkenen heeft u 0 geïnformeerd of gaat u informeren? Welk communicatiemiddel of welke communicatiemiddelen gebruikt u of gaat u gebruiken om de betrokkenen te informeren? NVT

10 Autoriteit persoonsgegevens - Meldloket pagina 7 van 8 Waarom ziet u af van het melden van het datalek aan de betrokkenen? Het is onwaarschijnlijk dat het datalek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen, want: Het lek is direct bemerkt en er is direct - binnen 24 uur - contact opgenomen met de onderzoeksorganisatie. Slechts een administratief medewerker en 2 onderzoekers hadden toegang tot de verstuurde gegevens, maar hadden de inhoud zelf nog niet bemerkt. De geadresseerden komen zelf uit de hoek van Sociale Recherche en begrepen direct de ernst van dit datalek en hebben direct meegewerkt aan het vernietigen van de gelekte data. Ik heb zwaarwegende redenen om de melding aan de betrokkene achterwege te laten, namelijk: Los van het bovenstaande, er is geen risico geweest op verspreiding in het openbaar domein, gaat het hier om zeer gevoelige data over wegens fraude veroordeelde personen, maar ook verdachten daarvan, waarbij schuld dus niet bewezen is en betrokkenen mogelijk ook niet weten dat zij op enig moment als verdachte in beeld zijn geweest. Technische beschermingsmaatregelen Waren de persoonsgegevens op het moment van het ontdekken van het datalek versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk voor onbevoegden? Internationale aspecten Heeft de inbreuk betrekking op personen in andere EU-landen? Heeft uw organisatie of bedrijf, het datalek gemeld bij toezichthouders

11 Autoriteit persoonsgegevens - Meldloket pagina 8 van 8 in een of meer andere EU-landen, of gaat u dat nog doen? Vervolgmelding Is naar uw mening deze melding compleet? Ja, de vereiste informatie is verstrekt en er is geen vervolgmelding nodig