Amersfoort wil schade van groot datalek verhalen op leverancier

Het college van gemeente Amersfoort gaat de schade van een grootschalig datalek verhalen op een externe softwareleverancier. Deze zou mogelijke tekort zijn geschoten in de nakoming van verplichtingen.  

Bij het datalek werden namen, adressen, woonplaatsen, geboortedata, geslachtsaanduidingen, e-mailadressen en telefoonnummers gestolen. Daarnaast is van ongeveer 7000 mensen ook het burgerservicenummer (BSN) buitgemaakt.

Dat er persoonsgegevens van inwoners zijn gelekt en te lang bewaard zijn gebleven, erkent het college in de beantwoording op schriftelijke vragen van de raad. Naar aanleiding van het incident zullen de portefeuillehouders kijken naar hoe de informatiehuishouding versneld op orde kan worden gebracht en welke capaciteit en middelen daarbij nodig zijn.

Beperkte capaciteit en middelen

De gegevens van bewoners werden volgens Amersfoort te lang bewaar vanwege beperkte capaciteit en middelen werd gekozen om te wachten met vernietigen van gegevens. De wettelijke bewaartermijnen werden hierbij niet aangehouden omdat de leverancier de on-premise versie van de software niet meer verder ontwikkelt en de cloud versie in de ogen van Amersfoot een logische doorontwikkeling is. 'We hebben er voor gekozen om te starten met vernietigen nadat de overgang naar de cloud heeft plaatsgevonden. Gezien capaciteit en middelen vonden wij dit de meest efficiënte methode.'

Onvoldoende concrete informatie

Volgens Amersfoort is er alles wat binnen de mogelijkheden lag in werk gesteld om betrokkenen bij het datalek zo snel mogelijk te informeren. Maar niet alles lag in eigen hand. Het beveiligingsincident vond plaats bij de leverancier. 'Daarom lagen de eerste stappen bij de leverancier. We hebben de IBD geconsulteerd, een cybersecurityexpert ingeschakeld en een advocaat ingehuurd. Daarnaast hebben we zelf geprobeerd de database en het potentiële datalek te reconstrueren, omdat wij onvoldoende concrete informatie van de leverancier over de aard en omvang van het datalek ontvingen.'

De gemeente heeft geen verzekering voor de opgeslopen schade, maar probeert deze te verhalen op het bedrijf. De gevolgen voor de lopende samenwerking kan de gemeente nog niet melden.