1. Bent u bekend met de uitzending van Nieuwsuur d.d over meer meldingen van datalekken door gemeenten?

Transcriptie

1 Datum 27 juni 2017 Onderwerp Antwoord van het college op de vragen van het raadslid de heer Elissen, luidend Meer meldingen van datalekken door gemeenten BEANTWOORDING SCHRIFTELIJKE VRAGEN RIS Het raadslid de heer Elissen heeft op 11 mei 2017 een brief met daarin dertien vragen aan de voorzitter van de gemeenteraad gericht. Overeenkomstig artikel 30 van het reglement van orde voor vergaderingen en andere werkzaamheden van de raad, beantwoordt het college deze vragen als volgt. Aangezien de meldplicht datalekken aan de Autoriteit Persoonsgegevens per 1 januari 2016 van kracht is, betreft de beantwoording de registratie vanaf 1 januari Bent u bekend met de uitzending van Nieuwsuur d.d over meer meldingen van datalekken door gemeenten? Ja. 2. Kunt u aangeven hoeveel datalekken er bij de gemeente Den Haag zijn geweest in de periode 2013 nu? Graag een overzicht per jaar. In 2016 zijn 75 interne meldingen gedaan van potentiële datalekken, waarvan in 23 gevallen is beoordeeld dat er sprake is van een datalek dat vervolgens bij de Autoriteit Persoonsgegevens gemeld is. In 2017 zijn tot 1 juni meldingen van potentiële datalekken gedaan, waarvan in 17 gevallen is beoordeeld dat sprake is van een datalek dat vervolgens bij de Autoriteit Persoonsgegevens is gemeld. 3. Kunt u per jaar aangeven om wat voor type datalekken het ging en hoe vaak dit voorkwam (conform het overzicht van Nieuwsuur)? Ja. Hieronder volgt een overzicht van de meldingen aan de Autoriteit Persoonsgegevens in 2016 en Overzicht 2016: Persoonsgegevens verstuurd of afgegeven aan de verkeerde ontvanger: 7 keer Gegevens die per ongeluk zijn gepubliceerd: 0 keer Gegevens op kwijtgeraakte USB-sticks, smartphones of laptops: 6 keer Brief verkeerd bezorgd of geopend retour ontvangen: 2 keer Malware en hacking van computers: 0 keer Persoonsgegevens van verkeerde klant/ burger in klantportaal, bij oud papier of op afgedankt apparaat: 0 keer Door de melders aangevinkt als overig : 8 keer Overzicht 2017: Persoonsgegevens verstuurd of afgegeven aan de verkeerde ontvanger: 8 keer

2 Gegevens die per ongeluk zijn gepubliceerd: 0 keer Gegevens op kwijtgeraakte USB-sticks, smartphones of laptops: 3 keer Brief verkeerd bezorgd of geopend retour ontvangen: 1 keer Malware en hacking van computers: 0 keer Persoonsgegevens van verkeerde klant/ burger in klantportaal, bij oud papier of op afgedankt apparaat: 0 keer Door de melders aangevinkt als overig : 5 keer. 4. Kunt u uiteenzetten wat voor privacygevoelige informatie er is gelekt (financiële gegevens, NAW-gegevens, Burgerservicenummers, enz.)? Graag een gespecificeerd overzicht per jaar met aantallen hoe vaak dit in het betreffende jaar voorkwam. Voorafgaand zij vermeld dat per melding meerdere soorten gegevens kunnen zijn gelekt. Dit verklaart onderstaand overzicht van de (meerdere) soorten gegevens per melding. Overzicht 2016: Naam-, adres- en woonplaatsgegevens: 21 keer Telefoonnummers: 9 keer adressen of andere adressen voor elektronische communicatie: 8 keer Toegangs- of identiteitsgegevens: 3 keer Financiële gegevens: 8 keer Burgerservicenummer (BSN): 11 keer Paspoortkopieën of kopieën van andere legitimatiebewijzen: 3 keer Geslacht, geboortedatum en/of leeftijd: 12 keer Bijzondere persoonsgegevens: 13 keer. Overzicht 2017: Naam-, adres- en woonplaatsgegevens: 12 keer Telefoonnummers: 4 keer adressen of andere adressen voor elektronische communicatie: 0 keer Toegangs- of identiteitsgegevens: 1 keer Financiële gegevens: 3 keer Burgerservicenummer (BSN): 6 keer Paspoortkopieën of kopieën van andere legitimatiebewijzen: 3 keer Geslacht, geboortedatum en/of leeftijd: 5 keer Bijzondere persoonsgegevens: 5 keer. 5. Hoe vaak is er in de periode 2013 nu privacygevoelige informatie gelekt door de gemeente n.a.v. een WOB-verzoek? Graag een overzicht per jaar. In geen van de gevallen is naar aanleiding van een WOB-verzoek door de gemeente privacygevoelige informatie gelekt. 6. Hoeveel gedupeerden van datalekken bij/ door de gemeente Den Haag waren er in de periode 2013 nu? Graag een overzicht per jaar. Voorafgaand zij nadrukkelijk het volgende opgemerkt. In geen van de meldingen van datalekken hebben betrokkenen daadwerkelijk schade ondervonden ten gevolge van het datalek. Zonder de uitzending van Nieuwsuur te bagatelliseren, zijn de in deze uitzending genoemde situaties niet vergelijkbaar met de meldingen van de gemeente Den Haag. Tevens wordt bij elke melding het 2/6

3 minimaal en potentieel maximaal aantal gedupeerden aangegeven. Dit houdt in dat in sommige meldingen een inschatting is gemaakt van de potentieel gelekte persoonsgegevens. In sommige gevallen is daarbij niet exact inzichtelijk of überhaupt, en zo ja in hoeverre (gevoelige) persoonsgegevens daadwerkelijk zijn gelekt. Voor de volledigheid wordt in een melding zowel het minimum als het maximum aantal gedupeerden opgenomen. In 2016 waren er potentieel, aldus zónder daadwerkelijke gevolgen en op grond van een inschatting, minimaal 2769 en maximaal 8605 gedupeerden. In 2017 zijn er tot op heden (peildatum 1 juni 2017) minimaal 681 en maximaal 1403 gedupeerden. 7. Zijn alle gedupeerden van gelekte privacygevoelige informatie bij/ door de gemeente Den Haag hiervan op de hoogte gebracht door de gemeente? Zo nee, hoeveel gedupeerden niet en waarom niet? Nee. Hierin volgt de gemeente Den Haag de beleidsregels van de Autoriteit Persoonsgegevens 1 alsmede de adviezen van de Artikel-29 werkgroep, het onafhankelijke advies- en overlegorgaan van Europese privacy-toezichthouders. Over de melding aan betrokkenen wordt in de beleidsregels van de Autoriteit Persoonsgegevens het volgende gesteld: Het informeren van de betrokkene over een opgetreden datalek is met name noodzakelijk in situaties waarin er voor hem of haar daadwerkelijk ongunstige gevolgen voor de persoonlijke levenssfeer te duchten zijn. Door de kennisgeving is de betrokkene alert op de mogelijke gevolgen van het datalek en kan hij of zij zich, voor zover dat mogelijk is, daartegen wapenen door bijvoorbeeld extra voorzorgsmaatregelen te treffen (zoals vervanging van een wachtwoord) of door diensten of producten van een andere marktpartij af te nemen. Wanneer persoonsgegevens van gevoelige aard zijn gelekt, meldt de gemeente Den Haag het datalek aan de betrokkene. In de andere gevallen weegt de gemeente Den Haag de belangen zorgvuldig af op basis van de omstandigheden van het geval. In 2016 zijn 139 betrokkenen geïnformeerd over het datalek dat tevens is gemeld aan de Autoriteit Persoonsgegevens. In 2017 zijn 141 betrokkenen geïnformeerd over het datalek dat tevens is gemeld aan de Autoriteit Persoonsgegevens. 8. Door welke gemeentelijke afdeling(en) werd er privacygevoelige informatie gelekt? Graag een gespecificeerd overzicht per jaar per afdeling met het aantal keer dat dit voorkwam. De meldingen vinden in de regel plaats vanuit de diensten. Hieronder volgt een overzicht van de meldingen door de betrokken diensten en/ of afdelingen: Overzicht 2016: SZW: 6 OCW: 6 DPZ: 4 IDC: 2 DSB: 2 1 Zie: De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp). Beleidsregels voor toepassing van artikel 34a van de Wbp, p. 39 e.v. Vindplaats op internet (uitgelezen op 7 juni 2017): 3/6

4 Haeghe Groep: 1 BSD: 1 DSO: 1 Overzicht 2017: SZW: 7 OCW: 6 DPZ: 2 DSB: 1 BSD: Welke criteria hanteert de gemeente voor het verstrekken van privacygevoelige informatie aan (1) andere afdelingen/ diensten binnen de gemeente (intern) en (2) derden/ partners (extern)? De Wet bescherming persoonsgegevens geeft het wettelijk kader voor verwerkingen en is rechtstreeks van toepassing op het gemeentelijk handelen. De in deze wet genoemde criteria worden in acht genomen. Dit betekent dat zowel binnen als buiten de organisatie niet zonder meer gegevens worden gedeeld, dat wordt gestreefd naar dataminimalisatie en dat voor elke gegevensverwerking een grondslag is zoals in de Wet bescherming persoonsgegevens neergelegd. De gemeente hanteert intern aan de hand van autorisatiematrices welke gegevens door welke medewerkers kunnen worden bewerkt. Voorafgaand aan de verstrekking van gegevens aan derden/ partners wordt een bewerkersovereenkomst opgesteld. Hierin wordt afgesproken dat de bewerker de gemeentelijke gegevens goed zal beveiligen en deze niet door mag verstrekken aan derden of voor eigen doeleinden mag gebruiken. 10. Is er voor de ambtenaren op het stadhuis een werkinstructie waarin duidelijkheid wordt gegeven over doelbinding en autorisatie t.a.v. het gebruik van privacygevoelige informatie voor burgers? Zo ja, hoe luidt deze? Zo neen, waarom niet? Wanneer een ambtenaar bij de gemeente Den Haag in dienst treedt, legt hij de eed of belofte af. Tijdens de introductiebijeenkomst wordt voorts uitgebreid stil gestaan bij de gedragscode van de gemeente Den Haag, alsook bij de Regeling gebruik ICT-middelen en gemeentelijke informatie De COR heeft voorts in een advies het toetsingskader privacy: gegevensverwerking in de personele sfeer opgesteld hetgeen de gemeente heeft omarmd. Daarnaast legt de ambtenaar een aanvullende geheimhoudingsverklaring af wanneer hij met bijzondere persoonsgegevens van gevoelige aard werkt. Met bovengenoemde algemene gemeentelijke kaders voert de ambtenaar zijn werkzaamheden met de waarborg van gegevensbescherming voor medewerkers en burgers uit. Voorts worden specifieke trainingen georganiseerd voor medewerkers die met algemene of bijzondere persoonsgegevens werken in een bepaalde dienst, en voor sommige werkzaamheden wordt een aparte geheimhoudingsverklaring van de medewerker vereist. Tevens zijn voor het sociaal domein specifieke privacyregels opgesteld, RIS Tot slot is voor de burger naast de algemene informatie over gegevensbescherming -, een boekje verschenen over gegevensbescherming: Welke ontwikkelingen signaleert het college op het gebied van datalekken bij/ door de gemeente Den Haag? 4/6

5 Het thema privacy krijgt veel aandacht en hangt nauw samen met de aandacht voor veiligheid en integriteit. Reeds ter voorbereiding op de meldplicht datalekken die per 1 januari 2016 is ingegaan, is een half jaar tevoren een werkgroep onder auspiciën van Hoofd Juridische Zaken gestart met de voorbereiding van de meldplicht. Hiertoe zijn procedures en interne richtlijnen opgesteld en voorlichting in de organisatie is gegeven. Dit heeft in 2016 geleid tot het aantal meldingen als hierboven opgenomen. Na een zorgvuldige interne afweging wordt vervolgens een gedeelte van de interne meldingen doorgeleid naar de Autoriteit Persoonsgegevens. Daarenboven wordt in het vervolgproces een grondanalyse uitgevoerd naar de oorzaak van het datalek. Tevens is ter voorbereiding op de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 van toepassing is, een functionaris gegevensbescherming (FG) aangesteld. Zij werkt samen met de Concern Information Security Officer (CISO) en de Wbp (Wet bescherming persoonsgegevens)- coördinatoren in de gemeente, de Gemeentelijke Accountantsdienst en Juridische Zaken. Zij richt zich op advisering (tevens advisering over kaderstelling), toezicht en de meldplicht datalekken. Ook heeft zij periodiek overleg met de G4 collega s. 12. Per geldt de meldplicht datalekken. Heeft de gemeente sindsdien alle datalekken bij de Autoriteit Persoonsgegevens gemeld. Zo neen, waarom niet? Nee. Per incident wordt een bewuste afweging gemaakt. Ook de Autoriteit persoonsgegevens acht een melding van alle incidenten onwenselijk. De gemeente volgt hierin de beleidsregels die de Autoriteit Persoonsgegevens ingevolge artikel 34a van de Wet bescherming persoonsgegevens (Wbp) heeft opgesteld. 13. Is het college met de PVV van mening dat privacygevoelige informatie van burgers veilig moet zijn bij de gemeente Den Haag? Zo ja, wat gaat het college doen om datalekken in de toekomst te voorkomen n.a.v. deze schokkende cijfers? Ja. Privacy en beveiliging van persoonsgegevens zijn en blijven belangrijke aandachtspunten van het college. Het college verwerkt persoonsgegevens van haar burgers in overeenstemming met de vigerende wet- en regelgeving, zoals de Wet bescherming persoonsgegevens, de Wet Basisregistratie Personen (BRP) en de Algemene Verordening Gegevensbescherming (AVG) en andere bij de uitvoering van bijzondere taken van toepassing zijnde privacyregelingen. Uitgangspunt is dat er niet meer gegevens worden verwerkt en opgeslagen over Haagse burgers dan noodzakelijk voor het doel waarvoor de gegevens worden verwerkt (proportionaliteit). Voor wat betreft de beveiliging van persoonsgegevens voldoet de gemeente aan de Baseline Informatiebeveiliging Gemeenten (BIG). Het college verwijst in dit licht tevens naar het antwoord op de volgende schriftelijke vragen: a) Antwoord op de schriftelijke vragen van het raadslid mevrouw Faïd, luidend Privacy bij zorg van 7 maart 2017 (RIS296249); b) Antwoord op de schriftelijke vragen m.b.t. privacy persoonsgegevens gemeente van het raadslid de heer Kapteijns van 31 mei 2016 ( RIS294005); c) Antwoord op de schriftelijke vragen van het raadslid de heer Grinwis betreffende privacy en declaraties jeugdhulp ( RIS285544); d) Antwoord op de schriftelijke vragen van het raadslid de heer Balster betreffende oog voor privacy in de jeudgzorg van 10 februari 2015 (RIS279641). 5/6

6 De gemeente zet voorts in op de bewustwording van medewerkers op het gebied van privacy. Dit gebeurt door middel van voorlichting, en (E-learning) modules over het veilig werken met persoonsgegevens. Daarnaast worden Privacy Impact Assessments (PIA s) uitgevoerd, maatregelen getroffen voor de waarborg van privacy bij nieuwe en lopende projecten, en audits uitgevoerd. Vanaf 18 april 2017 is een Functionaris Gegevensbescherming in dienst getreden. Wat tot slot de berichtgeving in de uitzending van Nieuwsuur betreft over een sterke stijging van het aantal datalekken, geeft het college aan dat de meldplicht datalekken sinds 1 januari 2016 geldt. Dit betekent dat gegevens bekend zijn van datalekken over een relatief korte periode. Het is niet altijd mogelijk om hieruit finale conclusies te trekken. Het college streeft naar verdere optimalisatie van de driehoek van privacy, security en integriteit. Het college van burgemeester en wethouders, de secretaris, de burgemeester, Annet Bertram Pauline Krikke 6/6