Datalek bij gemeente Amsterdam: vertrouwelijke or-gespreksverslagen op straat

Gespreksverslagen van de ondernemingsraad en verschillende onderdeelcommissies van de gemeente Amsterdam zijn online in te zien geweest. Dat blijkt uit onderzoek van Het Parool. Hoe lang de vertrouwelijke stukken online stonden, is niet bekend. Inmiddels heeft de gemeente ze verwijderd.

Ook ondernemingsraden zijn gevoelig voor datalekken. Veel gespreksverslagen en andere documenten zijn immers vertrouwelijk. In Amsterdam ging het mis, zo blijkt uit berichtgeving van Het Parool over een datalek bij de or van die gemeente.

Een journalist van die krant ontdekte dat door het invoeren van bepaalde zoektermen in zoekmachines als Google of Bing vertrouwelijke documenten van de or en enkele onderdeelcommissies van de gemeente Amsterdam zichtbaar werden. Nadat de gemeente was getipt over het datalek zijn de betreffende documenten direct offline gehaald. Toch blijft in AI-samenvattingen of zoekresultaten soms nog informatie uit die documenten zichtbaar, waaronder de namen van ambtenaren waarover is gesproken.

Melding Autoriteit Persoonsgegevens

Een woordvoerder van de gemeente noemt het tegenover Het Parool 'zeer ernstig' dat vertrouwelijke en gevoelige informatie van medewerkers online heeft gestaan en nog steeds vindbaar is. De gemeente heeft melding gedaan van het lek bij de Autoriteit Persoonsgegevens.

In de documenten staan namelijk ook namen en andere persoonsgegevens van ambtenaren en gemeentemedewerkers, soms in combinatie met gevoelige informatie zoals afgewezen interne sollicitaties of het ziekteverloop van een ambtenaar.

Hoewel de documenten inmiddels offline zijn gehaald, geven zoekmachines in hun resultaten altijd nog een kort voorbeeld van de tekst achter de link. Daarin zijn delen van de documenten nog wel te lezen, waaronder namen en functies van ambtenaren, agendapunten en delen van inhoudelijke discussies.

Oorzaak onbekend

Hoe het lek is ontstaan, is niet bekend. Waarschijnlijk zijn documenten van de ondernemingsraad van de gemeente Amsterdam en minstens één onderdeelcommissie per ongeluk op een niet-afgeschermd deel van de gemeentelijk website terechtgekomen, mogelijk door een menselijke fout.

Ook wanneer het lek is ontstaan, is niet bekend. Uit kort onderzoek van ORnet blijkt dat in ieder geval documenten uit februari 2025 en oktober 2021 online hebben gestaan. Hoeveel vertrouwelijke documenten waren in te zien, is ook onbekend.

Rol voor de or bij bescherming privacy

Als or doe je er goed aan regelmatig in kaart te brengen welke risico's jouw organisatie loopt op het gebied van datalekken en andere privacyschendingen. Is er een protocol aanwezig? Wordt er voldoende gemonitord op mogelijke lekken?

Denk daarbij zowel aan het lekken van gegevens van klanten, gebruikers of patiënten als aan het lekken van gegevens van medewerkers, zoals in het geval van Amsterdam.

De AVG schrijft bovendien voor dat organisaties in sommige gevallen een Functionaris Gegevensbescherming moeten hebben en/of een Data Protection Impact Assessment (DPIA) moeten uitvoeren. Check of dit voor jouw organisatie verplicht is en of aan deze verplichtingen wordt voldaan.

Lees meer over

Demian van der Reijden

Hoofdredacteur OR/net & OR/magazine

Demian van der Reijden is sinds februari 2024 hoofdredacteur van OR/net en OR/magazine. Daarnaast is hij voorzitter van de ondernemingsraad van VMN media. Voor zijn overstap naar OR/net en OR/magazine schreef hij als senior redacteur jarenlang over horeca bij vakblad Misset Horeca, ook een uitgave van VMN media.

demianvanderreijden@vmnmedia.nl