In de gemeenten Borger-Odoorn, Coevorden en Emmen (BOCE) vond afgelopen jaar een datalek plaats. Criminelen hadden toegang tot de e-mailaccounts van vier medewerkers. Daarbij zijn mogelijk persoonsgegevens van 7.000 burgers ingezien, dan wel gekopieerd. Uit voorzorg is de kwestie gemeld bij de Autoriteit Persoonsgegevens.
Dat schrijft het college van burgemeester en wethouders van de gemeente Emmen in een brief aan de gemeenteraad. Het document is begin deze week openbaar gemaakt.
Hackers wisten via phishing toegang te krijgen tot mailboxen van ambtenaren
In de brief schrijft de gemeente dat de kwestie zich in juli 2021 voordeed in de BOCE-gemeenten. De mailboxen van vier ambtenaren was mogelijk ingezien door hackers. Via phishing wisten ze toegang te krijgen tot de e-mailadressen. Zodra de gemeenten de ongeoorloofde toegang ontdekten, hebben ze direct de accounts afgesloten voor onbevoegden.
De gemeenten huurden een forensisch onderzoeksbureau in om onderzoek te doen naar het voorval. De onderzoekers concludeerden dat er geen aanwijzingen waren dat de e-mailadressen waren ingezien door ongeoorloofde personen. Vanwege de beperkte aanwezigheid van logbestanden kunnen ze het echter ook niet volledig uitsluiten.
Om herhaling te voorkomen hebben de BOCE-gemeenten versneld extra beveiligingsmaatregelen ingevoerd. Eén daarvan is multifactorauthenticatie. Naast een gebruikersnaam en wachtwoord heb je tevens een inlogcode nodig. Deze verandert voortdurend en is veelal alleen toegankelijk via een smartphone. Daardoor is “herhaling uitgesloten”, zo schrijft de gemeente Emmen in haar brief aan de gemeenteraad. Verder gaan de gemeenten meer aandacht besteden aan logging, zodat ze in het vervolg beter in staat zijn om bewijslast te verzamelen.
Gemeenten informeren betrokkenen
De afgelopen maand zijn de mailboxen gescand, aldus de gemeente Emmen. Daarbij zijn twee bestanden met informatie over persoonsgegevens van ruim 7.000 inwoners uit de BOCE-gemeenten aangetroffen. Het ene bestand ging over de Participatiewet, de ander over de Wet maatschappelijke ondersteuning (Wmo).
“We gaan zorgvuldig om met de privacygegevens van inwoners en andere betrokkenen. Ondanks dat het risico in dit geval laag wordt geschat, is het niet volledig uit te sluiten dat e-mails zijn geopend en ingezien. We volgen daarom de aanwijzingen van de AP en informeren alle betrokkenen”, schrijft de burgemeester van Emmen, Eric van Oosterhout.
Gemeenten gaan vaker de fout in
Het is niet de eerste keer dat gemeenten in verlegenheid worden gebracht omdat de cybersecurity niet goed geregeld is, of de privacy van inwoners in het geding is. Eind 2020 wisten hackers de computersystemen van de gemeente Hof van Twente binnen te dringen en privacygevoelige informatie van de gemeente en haar inwoners te versleutelen. Het duurt naar verwachting nog zeker twee jaar om de schade te herstellen. De financiële schade wordt geschat op 3,9 miljoen euro.
In april 2021 concludeerde de Rekenkamer Utrecht dat de informatiebeveiliging van de gemeente niet op orde was. Medewerkers zijn onvoldoende op de hoogte van de gevaren van social engineering en phishing en was geheime informatie niet goed opgeborgen. Verder werkt de gemeente met verouderde besturingssystemen en zijn wachtwoorden eenvoudig te bemachtigen of te kraken.
De gemeente Enschede kreeg van de Autoriteit Persoonsgegevens een boete van 600.000 euro voor het meten van de drukte van de binnenstad via WiFi-signalen. Volgens de toezichthouder was dit in strijd met de Algemene Verordening Gegevensbescherming (AVG). Iedere smartphone die een WiFi-signaal uitzond, werd geregistreerd met een unieke code. Door bezoekers lang genoeg op deze manier te volgen, is het mogelijk om gedetailleerde profielen op te stellen. Zo is het aannemelijk dat iemand die iedere ochtend op hetzelfde tijdstip in het centrum aankomt en ’s avonds weer vertrekt, daar werkt. Dat is niet hetzelfde als anoniem mensen tellen om vast te stellen hoe druk het is.
De gemeente vond de boete onterecht en disproportioneel en besloot daarom in beroep te gaan.
