Vragen en antwoorden over mogelijk datalek
4
Vragen en antwoorden over mogelijk datalek Wat is er gebeurd? Op 30 november 2016 ontvingen wij een melding dat er mogelijk bestanden met daarin privacygevoelige gegevens van een deel van de inwoners verloren zijn geraakt bij een diefstal van een laptop bij een externe leverancier. Onderstaande vragen en antwoorden is alle informatie die bekend is bij de gemeenten Laarbeek en Gemert-Bakel. 1. Welke gegevens zijn mogelijk naar buiten gekomen? Gegevens vanuit de applicatie voor de gemeentelijke belastingen. Deze gegevens betreffen onder meer naam, geboortedatum, adresgegevens, geslacht en Burgerservicenummer van woningeigenaren, niet-woningeigenaren en huurders van de gemeenten Laarbeek en Gemert-Bakel. Naast de mogelijke persoonlijke gegevens stonden er mogelijk ook gemeentelijke belastinggegevens (Onroerendezaakbelasting) van de eigenaren en huurders op de gestolen laptop. 2. Stond ook mijn DigiD in de bestanden? Nee, uw DigiD stond niet in de genoemde bestanden. Ook uw bankrekeninggegevens of e- mailadres kwamen niet in de bestanden voor. Deze gegevens kwamen NIET voor in de bestanden geen inlogcodes geen bankrekeningnummer(s) geen DigiD geen e-mailadressen geen wachtwoorden 3. Zijn er gegevens openbaar geweest? Momenteel is het niet bekend of de gegevens openbaar zijn geweest. Er is een laptop gestolen, bij een leverancier, waar mogelijk gegevens van de gemeente Laarbeek en Gemert-Bakel op staan. Onderzoek moet nog uitwijzen of de gegevens van de gemeente Laarbeek en Gemert-Bakel echt gelekt zijn. De leverancier geeft aan dat het niet uit te sluiten is dat er bestanden van de gemeente Laarbeek en Gemert-Bakel op de laptop hebben gestaan. 4. Is ook WOZ-informatie van huurders gelekt? In het bestand kwamen ook gegevens van huurders (gebruikers) voor. Hoe kon dit gebeuren? 5. Hoe kon het dat de gegevens naar buiten zijn gekomen? Een oud-medewerker van een voormalige applicatieleverancier heeft destijds mogelijk vertrouwelijke informatie op zijn laptop opgeslagen. Het is mogelijk dat hij heeft verzuimd deze op te schonen bij het stoppen van de samenwerking met de gemeente Laarbeek en Gemert-Bakel. De relatie met deze leverancier is beëindigd toen wij gingen samenwerken met andere gemeenten op het gebied van belasting (Tribuut). 6. Hoe is het ontdekt? De leverancier heeft melding gemaakt bij het IBD (Informatie BeveiligingsDienst) over diefstal van de laptop. Bij deze melding heeft de leverancier aangegeven op dit moment niet te kunnen achterhalen welke gegevens er op de laptop staan.
Transcript of Vragen en antwoorden over mogelijk datalek
Vragen en antwoorden over mogelijk datalek Wat is er gebeurd? Op 30 november 2016 ontvingen wij een melding dat er mogelijk bestanden met daarin privacygevoelige gegevens van een deel van de inwoners verloren zijn geraakt bij een diefstal van een laptop bij een externe leverancier. Onderstaande vragen en antwoorden is alle informatie die bekend is bij de gemeenten Laarbeek en Gemert-Bakel. 1. Welke gegevens zijn mogelijk naar buiten gekomen? Gegevens vanuit de applicatie voor de gemeentelijke belastingen. Deze gegevens betreffen onder meer naam, geboortedatum, adresgegevens, geslacht en Burgerservicenummer van woningeigenaren, niet-woningeigenaren en huurders van de gemeenten Laarbeek en Gemert-Bakel. Naast de mogelijke persoonlijke gegevens stonden er mogelijk ook gemeentelijke belastinggegevens (Onroerendezaakbelasting) van de eigenaren en huurders op de gestolen laptop. 2. Stond ook mijn DigiD in de bestanden? Nee, uw DigiD stond niet in de genoemde bestanden. Ook uw bankrekeninggegevens of e-mailadres kwamen niet in de bestanden voor. Deze gegevens kwamen NIET voor in de bestanden
geen inlogcodes
geen bankrekeningnummer(s)
geen DigiD
geen e-mailadressen
geen wachtwoorden
3. Zijn er gegevens openbaar geweest? Momenteel is het niet bekend of de gegevens openbaar zijn geweest. Er is een laptop gestolen, bij een leverancier, waar mogelijk gegevens van de gemeente Laarbeek en Gemert-Bakel op staan. Onderzoek moet nog uitwijzen of de gegevens van de gemeente Laarbeek en Gemert-Bakel echt gelekt zijn. De leverancier geeft aan dat het niet uit te sluiten is dat er bestanden van de gemeente Laarbeek en Gemert-Bakel op de laptop hebben gestaan. 4. Is ook WOZ-informatie van huurders gelekt? In het bestand kwamen ook gegevens van huurders (gebruikers) voor. Hoe kon dit gebeuren? 5. Hoe kon het dat de gegevens naar buiten zijn gekomen? Een oud-medewerker van een voormalige applicatieleverancier heeft destijds mogelijk vertrouwelijke informatie op zijn laptop opgeslagen. Het is mogelijk dat hij heeft verzuimd deze op te schonen bij het stoppen van de samenwerking met de gemeente Laarbeek en Gemert-Bakel. De relatie met deze leverancier is beëindigd toen wij gingen samenwerken met andere gemeenten op het gebied van belasting (Tribuut). 6. Hoe is het ontdekt? De leverancier heeft melding gemaakt bij het IBD (Informatie BeveiligingsDienst) over diefstal van de laptop. Bij deze melding heeft de leverancier aangegeven op dit moment niet te kunnen achterhalen welke gegevens er op de laptop staan.
Welke actie heeft de gemeente ondernomen? 7. Wat heeft de gemeente gedaan na de constatering? Wij hebben direct het protocol en de procedures uitgevoerd die horen bij deze situatie. Dit betekent:
We hebben direct onderzocht wat de situatie was en of het hier om privacygevoelige gegevens ging.
Toen bleek dat dat laatste het geval was, hebben wij volgens protocol binnen 72 uur na de eerste ontdekking melding gemaakt bij de Autoriteit Persoonsgegevens..
Wij hebben hierover gecommuniceerd via onze website en met een persbericht.
Op onze website is deze lijst met vragen en antwoorden geplaatst.
8. Treft de gemeente nu extra maatregelen? Door de verscherpte wetgeving op het gebied van informatieveiligheid en gegevensbescherming zijn wij al geruime tijd bezig met aanscherping van ons beleid. 9. Is er een aantekening gemaakt bij de burgerlijke stand, om te voorkomen dat derden mijn adresgegevens online wijzigen? Adresgegevens kunnen niet zomaar online worden gewijzigd. Hiervoor is het DigiD van de betreffende persoon nodig. DigiD maakte geen deel uit van de bestanden die uitgewisseld zijn. 10. Waren mijn persoonlijke gegevens gemakkelijk vindbaar? Nee. Op dit moment is het niet duidelijk of er wel gegevens gelekt zijn. Op het moment van dit schrijven is er geen reden om aan te nemen dat de gegevens van de gestolen laptop zijn gehaald en nu worden misbruikt. We kunnen het echter niet uitsluiten. 11. Hoe zijn betrokkenen op de hoogte gebracht van deze situatie? Er is een persbericht verzonden, een nieuwsbericht op www.laarbeek.nl en www.gemert-Bakel.nl geplaatst met deze lijst van vragen en antwoorden (met verwijzingen vanaf het Facebook en Twitteraccount van de gemeente Laarbeek en Gemert-Bakel). De lijst met vragen en antwoorden wordt geactualiseerd als dat nodig is. 12. Word ik nog verder geïnformeerd? Wij publiceren alle informatie over het mogelijke datalek op onze website www.laarbeek.nl en www.gemert-bakel.nl (en via onze social media accounts Facebook en Twitter). Misbruik van persoonsgegevens 13. Ik maak me zorgen dat mijn gegevens gebruikt worden om een paspoort of subsidie aan te vragen. Bij de aanvraag van een paspoort moet u zelf aanwezig zijn om u te legitimeren met al uw identiteitsbewijzen. Bij de aanvraag van subsidies en gelijksoortige producten officiële instanties is in vrijwel alle gevallen een kopie van paspoort of rijbewijs, een inlog met DigiD of van bankgegevens nodig. Bankgegevens kwamen niet voor in de computerbestanden. Ook uw DigiD kwam hier niet in voor. 14. Heeft de gemeente al meldingen ontvangen van identiteitsfraude na deze situatie? Nee, wij hebben tot op heden geen melding ontvangen van poging tot misbruik. 15. Wat kan een kwaadwillende met deze informatie? Een kwaadwillende zou misbruik kunnen maken van uw gegevens. Het risico hierop is klein, maar valt helaas niet helemaal uit te sluiten. Zo kunnen ze bijvoorbeeld goederen kopen op naam van iemand anders zonder te betalen. Wij willen benadrukken dat officiële instanties bij aanvragen in vrijwel alle gevallen een kopie vragen van paspoort of rijbewijs, of van bankgegevens. Deze gegevens hebben wij niet verstrekt aan de leverancier. Wij adviseren u
alert te zijn en bij een vermoeden van misbruik contact op te nemen met de gemeente Laarbeek en Gemert-Bakel. 16. Wat kan ik doen als er fraude is gepleegd? Meer informatie daarover staat op: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/wat-doe-ik-bij-mogelijke-identiteitsfraude Wat kunt u zelf doen? 17. Hoe kan ik misbruik van mijn persoonsgegevens herkennen? Uit informatie van het Centraal Meldpunt Identiteitsfraude (CMI) is gebleken dat u in dit geval alert moet zijn op rekeningen voor producten of diensten die u niet zelf heeft aangevraagd of besteld. 18. Kan ik een nieuw Burgerservicenummer (BSN) aanvragen? Nee, dat is in dit geval niet mogelijk. Het BSN kan alleen gewijzigd worden in twee situaties: als een BSN fout is toegekend (bijv. hetzelfde BSN aan meerdere personen of één persoon met meerdere BSN's) of bij een heel ernstige bedreiging. Bij ernstige bedreiging gaat het om hele uitzonderlijke situaties waarbij iemand bijvoorbeeld een nieuwe identiteit nodig heeft (getuigenbescherming). Meer informatie 19. Relevante links
Informatie van de politie over identiteitsfraude: https://www.politie.nl/themas/identiteitsfraude.html
Informatie van de Rijksoverheid over identiteitsfraude: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude
Presentatie over identiteitsfraude van de Rijksoverheid: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/documenten/publicaties/2015/12/02/geef-oplichters-geen-kans-een-veilig-id
Filmpje over identiteitsfraude van de Rijksoverheid: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/documenten/videos/2015/11/04/identiteitsfraude-voorkomen
Beleidsregels over datalekken van Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematische-beleidsregels/beleidsregels-meldplicht-datalekken-2015
20. Bijlage mogelijk gelekte informatie Onderstaande gegevens zijn de feitelijke gegevens die aan de leverancier waren doorgegeven.
Subjectgegevens
A-nummer natuurlijk persoon
Sofinummer
voorletters
voorvoegsels
geslachtsnaam-/bedrijfsnaam
partnernaam/bedrijfsnaam verkort
voorvoegsels behorend bij partnernaam
aanvulling Sofinummer
aanduiding naamgebruik
Subject gegevens (vervolg)
Sofinummer
Straatnaam, Huisnummer, Huisletter, Huisnummertoevoeging, Aanduiding bij huisnummer, Postcode, Woonplaatsnaam
Landnaam
Locatieomschrijving
Aanvulling Sofinummer
Handelsregisternummer
Subjectnummer Kadaster
Adellijke titel of predicaat
Geslachtsaanduiding
Geboortedatum natuurlijk persoon
Datum overlijden natuurlijk persoon
Identificatie eigenaar / gebruiker, relatie naar subjecten en kadastrale objecten
A-nummer natuurlijk persoon
Sofinummer
Aanduiding eigenaar/gebruiker
Zakelijk-rechtcode
Aanvulling Sofinummer
Subjectnummer Kadaster
