De gemeente Emmen is onder vuur komen te liggen vanwege de late bekendmaking van een datalek dat zevenduizend inwoners raakte. Vorig jaar april wist een aanvaller door middel van phishing toegang tot de e-mailaccounts van vier gemeentemedewerkers te krijgen met daarin gegevens van zevenduizend inwoners van de gemeenten Emmen, Coevorden en Borger-Odoorn. De inbraak op de e-mailaccounts vond plaats op 8 april 2021. Pas op 7 juli werd dit door de gemeente Emmen ontdekt. Op 4 april van dit jaar werd het datalek naar de inwoners toe gecommuniceerd.

Emmen meldde het datalek op 9 juli vorig jaar bij de Autoriteit Persoonsgegevens. Eind december oordeelde de privacytoezichthouder over de afhandeling van het incident dat niet kan worden uitgesloten dat er gegevens zijn ingezien. Daarom moest de gemeente getroffen inwoners alsnog over het datalek informeren. D66 Emmen laakt de late afhandeling van de gemeente. "Op 16 maart 2022 waren de gemeenteraadsverkiezingen. In de weken daarvoor hebben we vele persberichten vanuit het college voorbij zien komen, allen uitsluitend positief. Dit onderwerp is echter op de plank blijven liggen tot direct na de verkiezingen", stelde gemeenteraadslid Joey Koops (pdf). Gisteren werd er in de gemeenteraad van Emmen over het datalek gesproken.

"Ergens voor de zomer zijn we gehackt, zeg ik dan maar even populair. Dat is geconstateerd en toen zijn er maatregelen genomen. Misschien is ook wel in eerste instantie vergeten de Autoriteit Persoonsgegevens daarover te informeren, maar dat is uiteindelijk wel gebeurd", reageerde wethouder Jisse Otter. "De Autoriteit heeft verder niet gereageerd en in december kwam dus die aanwijzing. Ik worstelde met welke brief ik naar de getroffenen moest sturen. Want een half jaar later moet je met een hele vage boodschap naar betrokkenen komen. Ik wilde daar met de Autoriteit nog over spreken. Hoe vaker je een brief krijgt van 'pas op' des te minder indruk gaat zo'n brief maken."

Daarnaast zou de getroffen doelgroep minder affiniteit met het onderwerp hebben, ging Otter verder. Die besloot met de Autoriteit Persoonsgegevens over de brief en de inhoud daarvan te overleggen. Uit het loggingsysteem bleek namelijk dat er iets was gebeurd, maar wat precies kon niet worden gezegd. Daardoor zou de boodschap richting gedupeerden niet heel duidelijk zijn. Inmiddels heeft de gemeente Emmen het loggingsysteem aangepast. Otter stelde dat hij de discussie met de AP had "verloren", waarop werd besloten om inwoners toch te informeren. Volgens de wethouder lag de late melding aan de inwoners mede aan de Autoriteit Persoonsgegevens.

Als onderdeel van de genomen maatregelen moeten alle medewerkers van de gemeente Emmen met toegang tot de ict-omgeving voortaan een authenticator gebruiken en is de e-mailomgeving alleen te benaderen vanaf systemen die door de gemeente worden beheerd (pdf).