Getroffen inwoners veel te laat geïnformeerd over datalek gemeente Ede

De Wet bescherming persoonsgegevens (Wbp -> http://bit.ly/2aWjSOQ) omschrijft helder en laat in stromingsdiagrammen goed zien waartoe de gemeente Ede gehouden is. De wet geeft aan dat de gemeente een melding moet doen aan de betrokkenen als het datalek ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De melding door de gemeente stelt de betrokkenen in staat om alert te zijn op mogelijke gevolgen van het datalek en zich daar waar mogelijk tegen te wapenen. De gemeente moet de datalek onverwijld melden aan de betrokkenen (artikel 34, tweede lid, Wpb). Het lijkt erop dat de gemeente niet voldaan heeft aan zijn wettelijk verplichting.

Verder valt op dat logbestanden voor een bepaalde periode van 5 dagen zoek zijn waardoor het niet duidelijk is of er sprake is van een datalek. Dat is wel raar en opvallend. Data van voor die tijd en na die tijd zijn kennelijk wel beschikbaar.

Een attente inwoner schreef – zie bijlage:

Het kan niet zo zijn dat er delen van het logbestand verdwenen zijn *zonder* menselijk ingrijpen. Dit kan twee dingen betekenen: -

1.       De hacker heeft zijn  sporen weten te wissen (meestal wordt dan het hele logbestand/ alle logbestanden gewist) - Waarom extra inspanning leveren om precies een periode te wissen met het risico dat je iets over het hoofd ziet ? Makkelijker en veiliger is om gelijk alles weg te gooien.

2.       Gemeente Ede heeft ingegrepen. Of er is weer eens gelogen en komen de vijf dagen toch voor in het logbestand. Mag ik de bestanden inzien; alle log bestanden ? Ik zou wel eens een second opinion willen uitvoeren.’ 

In de brief aan de getroffen inwoners verwijst U naar een link die niet werkt -> https://www.politie.nl/themas/identiteitsfraude Bijzondere aandacht vroeg de VVD Ede om duidelijkheid te verschaffen over welke risico’s die getroffen inwoners lopen en hoe deze risico’s zijn te minimaliseren. In uw brief gaat U daar in het geheel niet op in. U maakt er zich gemakkelijk vanaf door een link te sturen naar een site van de rijksoverheid. Het gevoel dat opkomt is: de getroffen inwoner zoekt het maar uit.  


Vragen

-        Heeft het college zich aan alle verplichtingen zoals die in de wet zijn omschreven en helder uiteen worden gezet in ‘Meldplicht datalekken’ gehouden?

-        Graag per verplichtingen omschrijven hoe de gemeente daarmee is omgegaan?

-        Heeft het college volgens de wet gehandeld door de datalek onverwijld te melden bij de betrokken inwoners?

-        Kan het college hierover ook schriftelijk de mening vragen aan de Autoriteit Persoonsgegevens?

-        Kan er sprake zijn dat iemand de data bewust heeft verwijderd waardoor sporen  zijn gewist?

-        Is dit onderzocht?

-        Zo niet, kan dit alsnog uitgezocht worden?

-        Is het college bereid om een second opinion te laten uitvoeren?

-        Is gemeente Ede een instantie waar burgers met vertrouwen gegevens aan kan toevertrouwen?


Gelderlander -> Kritiek van Brenno de Winter op handelwijze Ede na hack  -> http://bit.ly/2beWfD5 

Ede Stad -> 'Informatie over datalek duurde te lang’ -> http://bit.ly/2bjhdR9  

Ede Stad ->  Kamervragen over datalek gemeente Ede -> http://bit.ly/2aSGq6Y